FreeNAS 9.2.1 手冊中文化習作-第八章服務設定(1/2)
服務設定
此GUI的服務章節允許你建立、啟動及停用多種預載於FreeNAS®系統的服務。FreeNAS®支援以下服務
服務控制
服務 → 服務控制 顯示於 Figure 8.1a 允許你快速瞭解何項服務正在執行,開啟或停用並建立該服務。預設所有服務(除 S.M.A.R.T. 外)均為停用。
若 圖示顯示紅色 OFF 服務停止。顯示藍色 ON 服務執行中,啟動/停用 ,按下ON/OFF 圖示 即可。
要設定的核心服務,按下扳手與該服務關聯圖示,或按下樹狀選單中的服務名稱即可。
若服務無法啟動,前往 系統 →設定 → 進階 然後按下“Show console messages in the footer”。主控端訊息將顯示於 瀏覽器的底部。若按下主控端訊息區,將彈出視窗,允許你捲動輸出及複製訊息。當你啟動或停用此類有問題的服務時注視該訊息。
若需讀取系統紀錄以獲得更多服務失敗的資訊,開啟指令列然後鍵入 more /var/log/messages
AFP
Apple Filing Protocol (AFP) 是一種提供 Mac電腦使用的檔案服務協定。組建該服務前,應先行建立 AFP 共享區 共享 → Apple (AFP) 共享 → 新增 Apple (AFP) 共享。之後 再以服務 → 服務控制 啟用該服務
啟用該服務時,雖已將AFP共享區啟用,仍可能因受服務未啟動影響故無法使用。
啟用此服務時FreeNAS®系統應開啟以下通信埠
- TCP 548 (afpd)
- TCP 4799 (cnid_metadata)
- UDP 5353 and a random UDP port (avahi)
Figure 8.2a顯示設定選項 而Table 8.2a中可見相關選項描述
Figure 8.2a: AFP 設定
Table 8.3a: AFP 設定選項
Setting
|
Value
|
Description
|
|---|---|---|
Guest Access
|
checkbox
|
若勾選,客端將不提示存取AFP共享區的授權提示
|
Guest Account
|
drop-down menu
|
選定用於 guest存取的使用者帳號;選定的帳號必須具有該分享區 (磁區/資料集)的許可權
|
Max Connections
|
integer
|
同時連接的最大連線數量
|
| Enable home directories | checkbox | 若勾選,任何位於 Home directories下使用者的家目錄,將可用於共享區 |
| Home directories | Browse button |
選用包含使用者家目錄的磁區或 dataset
|
當家目錄建立時,建議建立包含每一個使用者子dataset的dataset,例如,建立某一名為volume1/homedirs 的dataset 且瀏覽到該 “Home directories”的AFP服務欄位,設定該 dateset 。然後,當你建立個別使用者使,首先對該使用者建立子dataset 。例如建立一個名為 volume1/homedirs/user1 的datest,當你建立該 user1 使用者時,瀏覽 到volume1/homedirs/user1 並於"Home Directory"欄位中 “Add New User” 畫面
故障排除
dbd -rf /path/to/share
這指令或需耗用一些時間,端賴該磁區或dataset共享區的容量大小而定。此指令將抹除該CNID並由儲存於AppleDouble 檔案中重建CNID。
CIFS
Common Internet File System (CIFS)是一種提供 Windows 電腦使用的檔案服務協定。對可提供 CIFS client 的 Unix-like系統亦可連接此共享區。組建該服務前,應先行建立 CIFS 共享區 ( 共享→Windows (CIFS) 共享 → Add Windows (CIFS) Share)。之後再以 服務 → 服務控制 啟用該服務。有時雖已完成CIFS共享區設定,仍可因服務未啟動而無法使用。
啟用此服務FreeNAS®系統將開啟以下通信埠
- TCP 139 (smbd)
- TCP 445 (smbd)
- UDP 137 (nmbd)
- UDP 138 (nmbd)
Figure 8.3a畫面描述於 Table 8.4a中的設定選項
Figure 8.3a: 組建 CIFS
Table 8.4a: CIFS 設定選項
Setting
|
Value
|
Description
|
|---|---|---|
Authentication Model
|
drop-down menu
|
選用 Anonymous or Local User;若AD或LDAP服務執行中,此選項將被省略
|
NetBIOS Name
|
string
|
須為小寫字母且應於FreeNAS®系統的主機名稱相同;並且不得與 Workgroup 名稱相同
|
Workgroup
|
string
|
必須配合 Windows群組名稱;若AD或LDAP服務執行中,此選項將被省略
|
Description
|
string
|
選項
|
DOS Charset
|
drop-down menu
|
與 DOS and Windows 9x/Me客端通訊時Samba使用的字符集;預設為CP437
|
UNIX Charset
|
drop-down menu
|
預設為UTF-8 可支援所有語系
|
Log Level
|
drop-down menu
|
選項有 Minimum, Normal, Full, or Debug
|
Local Master
|
checkbox
|
決定FreeNAS®系統是否參與瀏覽器之選用,當網路涵括AD或LDAP伺服器時應停用且若為Windows Vista/7 並不需採用
|
Time Server for Domain
|
checkbox
|
決定是否公告FreeNAS®系統為 Windows客端的校時伺服器;使用AD或LDAP時則應予停用
|
Guest Account
|
drop-down menu
|
用於 guest存取的帳號;該帳號必須具有存取共享區磁區/ 資料集之權限
|
File mask
|
integer
|
覆蓋預設的檔案遮罩碼(0666建立的檔案預設擁有讀取和寫入權限)
|
Directory mask
|
integer
|
覆蓋預設的目錄遮罩碼(0777任何人對目錄預設擁有讀取、執行和寫入權限)
|
Send files with sendfile(2)
|
checkbox
|
較新的 Windows版本可支援 較快速的Samba的發送文件系統取得更佳效率。
|
EA Support
|
checkbox
|
啟用延伸屬性
|
Support DOS File Attributes
|
checkbox
|
允許具寫入存取文件的使用者的修改權限,即便不是文件的所有者
|
Enable home directories
|
checkbox
|
若勾選,將針對個別使用者建立同名資料夾
|
Enable home directories browsing
|
checkbox
|
使用者可瀏覽(但不可寫入)其它使用者的家目錄
|
Allow Empty Password
|
checkbox
|
若勾選,當提示輸入密碼時使用者可直接按壓輸入鍵,必須用於FreeNAS®與Window具有相同 帳號/密碼 時使用
|
Auxiliary parameters
|
string
| |
| Enable home directories | checkbox |
若勾選,與使用者帳號名稱相同的資料夾,將建立之
|
Home directories
|
browse button
|
於磁區/資料集 中選定建立家目錄的位置
|
Homes auxiliary parameters
|
string
|
指定 smb.conf [homes]部份的選項;例如 hide dot files = yes 隱藏家目錄中以 .號為起始的檔案
|
Unix Extensions
|
checkbox
|
允許 非-Windows CIFS 客端存取 symbolic links 及 hard links, 沒有影響Windows 客端
|
Enable AIO
|
checkbox
|
於FreeNAS® 8.0.3 或更高版本啟用 非同步 I/O ,在某些網路上啟動此選項CIFS速度將會降低
|
Minimum AIO read size
|
integer
|
預設值為 4096 bytes, 當容量的需求是大於此值時,Samba 將採用非同步讀取
|
Minimum AIO write size
|
integer
|
預設值為 4096 bytes,當容量的需求是大於此值時,Samba 將採用非同步讀取
|
Zeroconf share discovery
|
checkbox
|
若有Mac 客端將連接到CIFS 共享區,可啟用之
|
Hostnames lookups
|
checkbox
|
允許指定主機名稱而非IP位址作為 允許或拒絕 存取CIFS共享區的欄位,若網段僅使用IP位址,可取消勾選,節省主機查找時間
|
| Server minimum protocol | Dropdown | 此伺服器可支援協定的最低版本。正確選項有(automatic negotiation), CORE, COREPLUS, LANMAN1, LANMAN2, NT1, SMB2, SMB2_02, SMB2_10, SMB2_22, SMB2_24, SMB3, SMB3_00.,請參閱下表所述 |
| Server maximum protocol | Dropdown | 此伺服器可支援協定的最高版本。正確選項有(automatic negotiation), CORE, COREPLUS, LANMAN1, LANMAN2, NT1, SMB2, SMB2_02, SMB2_10, SMB2_22, SMB2_24, SMB3, SMB3_00.,請參閱下表所述 |
Table 8.b: SMB 協定版本的描述
| Value | Description |
| CORE |
最早版本,尚無用戶名稱的概念
|
| COREPLUS |
稍加改善CORE 的效率
|
| LANMAN1 | 該協定最初的現代版。支援長檔名 |
| LANMAN2 | Lanman1協定的更新版 |
| NT1 | 目前最新版本的協定。用於Windows NT。被稱為CIFS |
| SMB2 | 重新落實SMB協議。用於Windows Vista和更高版本的Windows。 SMB2有可用的子協議。 |
| SMB2_02 |
最早的 SMB2版本
|
| SMB2_10 | Windows 7 SMB2 版本.在預設的情形下 SMB2 選用該SMB2_10 的變形 |
| SMB2_22 | 早期 Windows 8 SMB2 版本. |
| SMB2_24 | Windows 8 beta SMB2 版本. |
| SMB3 | 與 SMB2同. 用於 Windows 8. SMB3 並有子協定可用 |
| SMB3_00 | Windows 8 SMB3 版本. (大致與SMB2_24 同) |
FreeNAS® 8.0.3 版起,變更 CIFS 設定與 CIFS 共享區 後立即生效。較早版本則需以手動停止然啟動該服務後方作用之。
註:毋設定 directory name cache size作為輔助參數。係因Linux與BSD處理檔案描述的差異,考量效率因素BSD系統並未啟動目錄名稱快取
故障排除提示
Samba為單一執行緒,故CPU速度對於CIFS效能造成頗大的差異。典型2.5Ghz Intel 四核心或更高者應具有掌握超過 Gb LAN 的能力而低功耗CPU,如Intel Atoms 和AMD C-30s\ E-350\ E-450將無法完成超過約30-40MB/sec。切記其它的負載譬如 ZFS 負載亦需要CPU 資源並可能導致 Samba 效能低於最佳值。
與其它的網路協定比較,CIFS速度並不快。唯可啟用以下選項或可增加網路吞吐量; Large RW support,Send files with sendfile(2), and Enable AIO.調整最小的 AIO讀取及寫入容量設定到較符合你的網路架構可改善亦或降低效能。
在某些設定中Samba的〞寫入快取〞參數已經獲報可改善寫入效能亦可附加於輔助參數欄位。
使用整數值(多重_SC_PAGESIZE典型為 4096)以避免記憶體碎片。此類均將增加Samba的記憶體需求且不適用於RAM有限的系統中。
Windows自動快取檔案共享資訊。若你變更為CIFS共享或磁區/資料集 由CIFS 共享且無法存取該共享區,試著 退出並回到 Windows系統。另外,使用者可由指令列鍵入 net use /delete清除他們的SMB sessions 。Windows亦將自動載入快取資訊。若希望使用者每次登入時均預先提示登入訊息,應減少設定於客端電腦的快取。
若權限工作僅對Windows使用者且無 OS X(其它作業系統)者,試著停用 Unix Extensions並重新啟動 CIFS 服務。
testparm /usr/local/etc/smb4.conf
Directory Services 目錄服務
FreeNAS® 支援以下各種目錄服務:
- Active Directory ( Windows Server 2000 或更高版本)
- Domain Controller (針對設定FreeNAS® 成為domain controller網域控制伺服器)
- LDAP
- NIS
- NT4 (for Windows 比 Windows 2000較舊的系統)
此章節為這些服務與他們於FreeNAS® GUI可用設定一覽表
註:此時,目錄服務僅可擇一設定。且該服務必須先於 系統 → 設定 →General → Directory Service 的下拉視窗中選定之,一經選定,某一種目錄管理入口將新增於 服務 → Control 服務 故該服務可被啟用、停用與設定。
目錄 |
Active Directory
Active Directory (AD)是 Windows 網路上分享資源的一種服務。AD可執行Windows Server 2000 或更高版本或使用 Samba version 4 的Unix-like 作業系統。既然AD 對網路使用者提供身份驗證及驗證服務,自不需於FreeNAS® 系統上再建立使用者帳號。故於FreeNAS®的CIFS 共享區相關授權與帳號匯入資訊便由組建 Active Directory服務代之。
許多 FreeNAS®除錯及改善皆來自於 AD的支援。若你並非使用 FreeNAS®最新的版本,在此強烈建議試圖整合 AD前版本應先升級。
設定 Active Directory服務之前,應先於FreeNAS®指令列中以ping 指令確定Active Directory 網域控制器的網域名稱是否適切設定。如 ping 錯誤,於FreeNAS®系統之網路→ 全區環境 查驗 DNS 伺服器及預設 gateway 設定。
下一步於Windows伺服主機上為FreeNAS®附加DNS紀錄,並確定可於Active Directory 網域控制器 ping到 FreeNAS®的主機名稱。
Active Directory 採用 Kerberos 協定,該協定為時間敏感的協定。意即FreeNAS® 系統 與 Active Directory Domain Controller必須時間同步。請依以下方處理之。
- 使用相同的 NTP 伺服器(於FreeNAS® 系統 → NTP 服務 設定)
- 時區相同
- 設定個別的區域時間或於BIOS中使用世界時間
Figure 8.4a顯示當按下服務 → Directory Services → Active Directory 後Active Directory 環境設定畫面 而Table 8.4a描述環境設定選項。某些設定僅用於進階模式中。為檢視此類設定,可按下 Advanced Mode 按鈕或於 系統 → 設定 → 進階 勾選“Show advanced fields by default” 選項。
Figure 8.4a: 設定Active Directory
Table 8.4a: Active Directory Configuration Options
| Setting | Value | Description |
| Domain Name | string | Active Directory的網域名稱 (例如 .example.com)或子網域(例如.sales.example.com) |
| NetBIOS Name | string | |
| Workgroup Name | string |
工作群組名稱 (用於早期Microsoft 客端)
|
| Domain Account Name | string | Active Directory 管理者帳號的名稱 |
| Domain Account Password | string | the Active Directory 管理者帳號的密碼 |
| Use keytab | checkbox | 僅用於進階模式; 若勾選瀏覽到 Kerberos keytab |
| Kerberos keytab | browse button | 僅用於進階模式;瀏覽到密碼標簽的位置,建立指引請見於 Using a Keytab |
| Verbose logging |
checkbox
| 僅用於進階模式若勾選,嘗試將日誌紀錄加到/var/log/messages |
| UNIX extensions | checkbox | 僅用於進階模式;若AD服務器已明確為UNIX使用者設定映射權限,僅勾選此項將提供延續(UNIX中)的UID和GUID,否則,使用者/使用者群組將映射到UID/ GUID Samba設定之中 |
| Allow Trusted Domains | checkbox |
僅用於進階模式;僅可用於網路已啟用 domain/forest trusts (網域或網系信任)且需於多網域中管理檔案時;本選項將產生較多的winbind流量,降低 使用者/使用者群組 過濾資訊能力,使用時務需小心。
|
| Use default domain | checkbox | 僅用於進階模式; 勾選時,網域名稱將置於使用者名稱之前;若勾選信任網域選項且於多重網域中使用相同之使用者名稱,取消此項勾選以避免名稱衝突 |
| Domain Controller | string | 僅用於進階模式;用於指定網域控制器主機名稱 |
| Global Catalog Server | string | 僅用於進階模式; 用於指定global catalog 伺服器主機名稱 |
| Kerberos Server | string | 僅用於進階模式; 用於指定kerberos 伺服器主機名稱 |
| Kerberos Password Server | string | 僅用於進階模式; 用於指定kerberos 密碼伺服器主機名稱 |
| AD timeout | integer | 僅用於進階模式;以秒計,若AD連接網域後仍未能啟動秒數則增加之 |
| DNS timeout | integer | 僅用於進階模式;以秒計,若 AD DNS 逾時則增加之 |
註:AD對用於網域及 NetBIOS命名的字元有相當嚴格之要求。若連結該領域出現問題,應驗證 verify 設定中是否有不符規定之字元。此外,管理員密碼不能包含$字符。如果存在網域管理員的密碼,kinit 將顯示"Password Incorrect"的錯誤報告,且ldap_bind將報告"Invalid credentials (49)"的錯誤。
一旦使用 服務 → 服務控制 啟動已組建的AD 服務。數分鐘後AD資訊將填入FreeNAS®系統。一經填入,AD的使用者與群組即可用於出現於磁區/資料集之權限的下拉選單中。基於效能的理由,每一個可選用的使用者或許不會一次列出。此外,若開始鍵入使用名稱,所有的適用使用者將自動完成。
wbinfo -u (to view users) wbinfo -g (to view groups)
此外,將以 wbinfo -t 測試連結 如果成功,將顯示以下類似訊息
checking the trust secret for domain YOURDOMAIN via RPC calls succeeded
手動查驗特定使用者身份驗證可使用
net ads join -S dcname -U username
若未見使用者或群組列示於上述命令之外,下列指令可提供更多的故障排除資訊
getent passwd getent group
使用Keytab (密鑰標籤)
採用Kerberos密鑰標籤可免用密碼連結 Active Directory,這意謂著對管理者帳號密碼並不需留存於FreeNAS®設定資料庫中(對某些環境而言會有安全性風險)
當使用一個密鑰標籤時,建議建立和使用較低權限的帳號(該帳號的密碼將被保存在FreeNAS的®設定資料庫中 )執行所需的LDAP查詢。在網域控制器上建立該帳號,然後輸入該帳戶名稱和其相關密碼到網域帳號名稱及網域帳號密碼欄中,(見Figure 8.4)。
該密鑰標籤本身可在 Windows系統中使用這些指令建立之。本文中紅色部份應依網域中的實際值予以變更。
ktpass.exe -out hostname.keytab host/hostname@DOMAINNAME -ptype KRB5_NT_PRINCIPAL -mapuser DOMAIN\username -pass userpass setspn -A host/hostname@DOMAINNAME DOMAIN\username
此處
- hostname 主機名稱為該網域控制器中的全域名稱
- DOMAINNAME 為全部大寫的網域名稱
- DOMAIN 為pre-Windows 2000 對該網域的短名稱
- username 權限帳號名稱
- userpass 該使用者的相關密碼
此將建立一個對CIFDS及LDAP具有充份權力的憑證
一經產生,應傳送到FreeNAS®系統,勾選該 選項 並瀏覽到keytab 處
故障排除要點
Active Directory使用DNS 以決定網域控制器與全域分類伺服器global catalog servers 在網路中的位置。使用 host -t srv _ldap._tcp.domainname.com 指令以決定網路的 SRV紀錄,若需要,變更 該SRV紀錄的 權重 and/or 優先次序可回應特定的高速伺服器。
所使用的網域取決於SRV DNS記錄的優先權,這意味著DNS可以覆寫您的Active Directory設定。如果您無法連接到正確的網域,檢查DNS服務器上的SRV記錄。本文介紹了如何設定KDC發現了DNS,並提供不同優先等級記錄的某些案例。
若因AD伺服器關機或重新連線時快取變成無法同步,可使用 系統 → 設定 → 進階 → 重建 LDAP/AD 暫存區 重新同步該快取
管理員帳戶密碼過期將導致kinit失敗,故應確保密碼持續有效。
嘗試在Windows 伺服器的OU 建立電腦入口。當入口建立時,在名稱欄位中輸入FreeNAS的®主機名稱。確認該主機名稱與網路 → 全區組態 及 該 NetBIOS 在服務 → Directory Services → Active Directory 設定中設定的名稱相同。確認該主機名稱已設定於 服務 → Directory Services → Active Directory Domain Controller 欄位中。
Domain Controller
註:網域控制器的建立是一個複雜的過程,需要對Active Directory運作詳加理解。雖然FreeNAS®的圖形管理界面可讓您輕鬆輸入所需的設定,但它無法告訴你應作那些設定。如需建立新的網域,相關資訊請參閱 Samba AD DC HOWTO。目前的版本不支援讓FreeNAS的®加入現有網域中的域控制器的設定。此限制將在FreeNAS的®未來版本中加以解決。
Figure 8.4b 顯示建立網域控制器的畫面而 Table 8.4b 為可用選項一覽表。
Figure 8.4b: 網域控制器設定
Table 8.4b: Domain Controller Configuration Options
| Setting | Value | Description |
| Realm | string |
大寫的DNS 領域名稱
|
| Domain | string |
大寫的網域名稱
|
| Server Role | drop-down menu |
此時,唯一支援角色是作為一個全新網域中網域控制站
|
| DNS Backend | drop-down menu |
選項有 SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, or NONE; 參閱 Which DNS backend should I choose? 有更詳細說明
|
| DNS Forwarder | string | DNS轉發器的IP地址,當SAMBA_INTERNAL選擇時所需的遞回查詢 |
| Domain Forest Level | drop-down menu |
選項有 2000, 2003, 2008, or 2008_R2;參閱 Understanding Active Directory Domain Services (AD DS) Functional Levels 有更詳細說明
|
| Administrator password | string | Active Directory 的網管密碼 |
LDAP
FreeNAS®包括OpenLDAP客端可從LDAP伺服器存取資訊。LDAP伺服器提供了查找網路資源,如使用者及其相關權限的目錄服務。LDAP伺服器的實例包括Microsoft伺服器(2000及更新版本),Mac OS X伺服器,Novell公司的eDirectory和一個運行在BSD或Linux系統上的OpenLDAP套件。如需LDAP服務器在網路上執行,則應該設定FreeNAS®LDAP服務以便網路的使用者可經由LDAP伺服器驗證之,從而提供授權存取存儲在FreeNAS的®系統上的資料。
LDAP無法運作於CIFS共享服務,除非LDAP目錄中已設定並填入Samba的屬性。執行此工作最受歡迎腳本是 smbldap-tools 而其使用說明可以在 The Linux Samba-OpenLDAP Howto找到。
Figure 8.4c 顯示 當你按下服務 → Directory Services → LDAP 的設定畫面.
Figure 8.4c: 設定 LDAP
Table 8.4c: LDAP 設定選項
| Setting | Value | Description |
| Hostname | string | LDAP 伺服器的主機名稱或IP網址 |
| Base DN | string | 搜索資源(e.g. dc=test,dc=org)的LDAP時要使用的LDAP目錄樹的最上層 |
| Allow Anonymous Binding | checkbox | 指示LDAP伺服器毋需提供認證 且 允許 匿名 讀/寫 存取 |
| Root bind DN | string | LDAP 伺服器上的管理者帳號 (e.g. cn=Manager,dc=test,dc=org) |
| Root bind password | string | Root bind DN 的密碼 |
| Password Encryption | drop-down menu | 選用LDAP 伺服器的支援型式有 clear (不加密的), crypt, md5, nds, racf, ad, exop |
| User Suffix | string |
選項,可被附加到LDAP 目錄中使用者帳號的名稱(e.g. dept. or company name)(字尾)
|
| Group Suffix | string |
選項,可被附加到LDAP 目錄中群組的名稱 (e.g. dept. or company name)
|
| Password Suffix | string |
選項,當密碼被加入到LDAP 目錄時附加的字尾
|
| Machine Suffix | string |
選項,可被附加到系統新增至LDAP 目錄上的名稱(e.g. server, accounting)
|
| Encryption Mode | drop-down menu | 選項有 Off, SSL, or TLS |
| Self signed certificate | string | 用於SSL連接時,驗證LDAP服務器的憑證;貼上該指令(openssl s_client -connect server:port -showcerts)的輸出(自建的憑證) |
| Auxiliary Parameters | string |
註:FreeNAS®會自動附加root DN 。這意味著,設定使用者,群組,密碼,和機器字尾時,你不應該包括root DN。
設定LDAP 服務後,應於 服務 → 服務控制 → Directory Services 中啟用服務。若服務無法啟用,參閱 Common errors encountered when using OpenLDAP Software 取得一般性錯誤及如何修訂的方法。LDAP 故障排除時,開啟 Shell然後於 /var/log/auth.log尋找錯誤訊。
NIS
為一種維持並分配 UNIX 使用者與群組資訊、主機名稱、電子郵件別名及其它文件基礎資訊表單的集中目錄。若NIS 伺服器於網路中執行。可由NIS目錄中匯入使用者及群組
設定此服務後,於 服務 → 服務控制 → Directory Services 啟動之
Figure 8.4d 顯示當按下 服務 → Directory Services → NIS. 的設定畫面,Table 8.4d 為該設定選項的一覽表
Figure 8.4d: NIS 設定
Table 8.4d: NIS 設定選項
| Setting | Value | Description |
| NIS domain | string | NIS 網域名稱 |
| NIS servers | string | 以分號區隔的主機或IP 網址列 |
| Secure mode | checkbox | |
| Manycast | checkbox |
若勾選,ypbind 將繋結到高速的伺服務器;當沒有本地端的NIS 伺服器於相同的網段時非常有用
|
NT4
Figure 8.4e 為當你按下 服務 → Directory Services → NT4.的設定畫面。選項一覽表見於 Table 8.4e.
設定NT4 服務後, 於 服務 → 服務控制 → Directory Services啟用該服務.
Figure 8.4e: NT4 設定選項
Table 8.4e: NT4 設定選項
| Setting | Value | Description |
| Domain Controller | string |
網域控制器主機名稱
|
| NetBIOS Name | string | FreeNAS® 系統主機名稱 |
| Workgroup Name | string | Windows 伺服器工作群組名稱 |
| Administrator Name | string |
網域管理者帳號
|
| Administrator Password | string |
網域管理者密碼
|
動態DNS
Dynamic DNS (DDNS)動態DNS對連接定期變更FreeNAS®系統IP位址的ISP非常有用。使用動態DNS該系統可自動以網域名稱聯結其現行IP 位址,即便FreeNAS®系統IP網址變更亦可存取。(必須事先註冊DDNS服務方可使用(如 DynDNS))
Figure 8.5a顯示DDNS設定畫面Table 8.5a 則為設定選項一覽表。必須填入由DDNS提供者給定值。完成DDNS設定後,不要忘了在 服務--> 服務控制 中啟動DDNS服務。
Figure 8.5a: 設定 DDNS
Table 8.5a: DDNS 設定選項
| Setting | Value | Description |
| Provider | drop-down menu |
支援數個提供者;若你的提供者並未列示其中,將此欄位留白並於輔助參數欄位中另指定之
|
| Domain | string |
FQDN(例如 yourname.dyndns.org)
|
| Username | string |
用於登入及更新紀錄的使用者名稱
|
| Password | string |
用於登入及更新紀錄的使用者密碼
|
| Update Period | string |
以秒為單位;設定時應小心,若過度頻繁更換IP網址(濫用),有可能被停權。
|
| Forced update period | string |
以秒為單位;設定時應小心,濫用可能被停權;即使沒有變更網址,仍應發出DDNS更新請求,使服務提供者確認該帳戶仍否活躍。
|
| Auxiliary parameters | string |
於記錄更新期間給提供者的額外參數;例如指定提供者為 dyndns_system default@no-ip.com
|
FTP
FreeNAS®使用 proftpd FTP 伺服器提供FTP 服務。FTP服務一經設定並啟用,客端便可使用網路 瀏覽器 或 FTP客端軟體瀏覽並下載資料。FTP的好處在於其為跨平台且便於使用的功能可用於管理來自FreeNAS®系統上傳或下載作業。FTP屬非加密協定,不應用於傳送機敏檔案。若你有機敏機料傳送需求,請參閱 Encrypting FTP
本章節提供 FTP設定選項的全覽。對匿名FTP、chroot 環境下限定使用者存取,加密FTP連結及故障排除提示等提供設定演示範例。
目錄 |
FTP 設定選項
Figure 8.6a顯示 服務 → FTP 的設定畫面。某些設定僅用於進階模式。欲見此類設定,請按下 進階模式 按鈕或 於 系統 → 設定 → 進階 勾選“Show advanced fields by default”
Figure 8.6a: 設定 FTP
Table 8.6a FTP 伺服器可用設定選項一覽
Table 8.6a: FTP 設定選項
Setting
|
Value
|
Description
|
|---|---|---|
Port
|
integer
|
欲使用之連接埠號
|
Clients
|
integer
|
可同時處理的客端最大連線數
|
Connections
|
integer
|
限制來自每個IP位址的最大連線數;0表示不限制
|
Login Attempts
|
integer
|
在客端中斷連線前的最大可輸入次數;若使用者容易發生拼寫錯誤時應增加之
|
Timeout
|
integer
|
對閒置之客端自動中斷連線的最大容許時間(以秒為單位)
|
Allow Root Login
|
checkbox
|
不鼓勵勾選;此選項造成安全風險
|
Allow Anonymous Login
|
checkbox
|
允許匿名瀏覽資料
|
Path
|
browse button
|
FTP伺服器的根目錄
|
Allow Local User Login
|
checkbox
|
如需匿名登錄應予停用
|
| Display Login | string | 認證後顯示訊息給本機登入使用者,不顯示給匿名使用者 |
File Permission
|
checkboxes
|
僅用於進階模式;對新建立之檔案給定預設權限
|
Directory Permission
|
checkboxes
|
僅用於進階模式;對新建立之檔案設定遮罩
|
Enable FXP
|
checkbox
|
僅用於進階模式;對新建立之檔案給定預設權限
|
Allow Transfer Resumption
|
checkbox
|
若傳輸受到干擾,伺服器將以最後資訊重啟連線
|
Always Chroot
|
checkbox
|
除非使用者屬wheel群組成員外,餘本機使用者只允許存取自己的家目錄。
|
Require IDENT Authentication
|
checkbox
|
若identd 未於客端執行,將導致逾時
|
Perform Reverse DNS Lookups
|
checkbox
|
執行客戶端的IP反向DNS查找,如果未設定反向DNS可能會造成長時間的延遲。
|
Require Reverse DNS for IP
|
checkbox
|
若客端主機名稱未紀錄於DNS 紀錄將 逾時
|
Masquerade address
|
string
|
IP網址或主機名稱,如果FTP客戶端無法通過NAT設備連接設定之
|
Minimum passive port
|
integer
|
僅用於進階模式;僅用於進階模式;由客端用於 PASV模式,預設意即使用編號1023以上之連接埠
|
Maximum passive port
|
integer
|
僅用於進階模式;由客端用於 PASV模式,預設意即使用編號1023以上之連接埠
|
Local user upload bandwidth
|
integer
|
僅用於進階模式;單位為 KB/s,預設0表示無限制
|
Local user download bandwidth
|
integer
|
僅用於進階模式;單位為 KB/s,預設0表示無限制
|
Anonymous user upload bandwidth
|
integer
|
僅用於進階模式;單位為 KB/s,預設0表示無限制
|
Advanced
|
integer
|
僅用於進階模式;單位為 KB/s, 預設0表示無限制
|
Anonymous user download bandwidth
|
integer
|
僅用於進階模式;單位為 KB/s,預設0表示無限制
|
Enable TLS
|
checkbox
|
僅用於進階模式;啟用加密連線;SSL驗證將自動產生並一旦按下 確定後 將顯示 〞憑證及私錀〞選項
|
| TLS policy | drop-down menu | |
| TLS allow client renegotiations | checkbox |
僅用於進階模式; 不推薦勾選啟用該項,因為它打破了一些安全的措施;對於此項及TLS欄位的其餘部分,請參閱mod_tls了解更多詳情
|
| TLS allow dot login | checkbox | 僅用於進階模式; 若勾選,該使用者的家目錄需經查驗是否具有一個或多個PEM格式憑證的tlslogin檔案;如果沒有找到,使用者將被提示輸入密碼驗證 |
| TLS allow per user | checkbox | 僅用於進階模式; 若勾選,用戶的密碼可能會被非加密的發送 |
| TLS common name required | checkbox | 僅用於進階模式; 若勾選,憑證中的通用名稱必須與主機的FQDN相符 |
| TLS enable diagnostics | checkbox | 僅用於進階模式;若勾選,當故障排除連線時,將更為繁瑣地記錄 |
| TLS export certificate data | checkbox | 僅用於進階模式; 若勾選,匯出該憑證的環境變數 |
| TLS no certificate request | checkbox | 僅用於進階模式;如果客戶端無法連線且懷疑客戶端軟體無法正確處理伺服器的憑證要求時,嘗試選中此複選框。 |
| TLS no empty fragments | checkbox | 僅用於進階模式; 不推薦勾選此選項,因為它略過安全機制 |
| TLS no session reuse required | checkbox | 僅用於進階模式; 如果客戶端不瞭解重啟SSLsessions的方法,權宜之策勾選此選項,這將降低連線的安全性。 |
| TLS export standard vars | checkbox | 僅用於進階模式; 若勾選, 設定數個環境變數 |
| TLS use implicit SSL | checkbox | 僅用於進階模式; 若勾選, 將中斷客戶端預期的明確連線 |
| TLS DNS name required | checkbox | 僅用於進階模式; 若勾選, 客戶端的DNS名稱必須解析成它的IP網址且該憑證必須包含相同的DNS名稱 |
| TLS IP address required | checkbox | 僅用於進階模式; 若勾選, 該用戶端必須包含符合用戶端的IP網址的憑證 |
Certificate and private key
|
string
|
僅適用於進階模式;用於FTP加密連線的SSL 憑證及私錀
|
Auxiliary parameters
|
string
|
以下範例可防止所有使用者執行FTP 刪除指令。
DenyAll
FTP的匿名登入
匿名FTP適合用於非屬網際網路且易於存取資料的內部網路型態之FreeNAS®小型網路系統。此外,匿名FTP並不需要建立個別使用者帳號及密碼,所以亦無需於FreeNAS®系統下管理密碼的變更。
FTP:組建匿名FTP
- 給定內建的ftp使用者帳號權限:於 儲存--> 磁區 對磁區/資料集 開啟共享區並給定內建的ftp 使用帳號權限後即可
- 擁有者(使用者) :於下拉選單中選用ftp使用者
- 擁有者(群組):選用ftp群組
- 模式:再檢視共享區的適當權限
註:對FTP 而言,客端的型態並不影響其ACL,意即即便使用 Windows客端存取FreeNAS®FTP亦使用 Unix ACLs
2. 組建匿名FTP 請於 服務--> FTP 中依下列屬性建置
- 勾選 允許匿名登入選項
- 路徑:瀏覽到共享區的 磁區/資 料集/目錄
- 啟動FTP 服務:在服務控制中 啟動FTP服務。移至 FTP 按下紅色OFF按鈕,數秒後,燈號轉為藍灯,服務指標顯示已啟動
Figure 8.6b 範例演示,Filezilla 客端的使用者可依以下資訊進入
- FreeNAS® IP伺服器位址為 192.168.1.113
- 使用者: anonymous
- 密碼:使用者email 地址
Figure 8.6b: 使用Filezilla 連線畫面
客端處的訊息標示該FTP連接成功。使用可查閱遠端站台內根目錄的內容-此即是在FTP服務中設定 磁區/dateset 中的指定區域。使用者亦可由本地端與遠端(該FreeNAS®系統)間傳輸檔案。
in chroot 下的指定使用存取
若需於存取FreeNAS®系統資料前驗證使用者,需要對每一個使用者開立帳號或使用 Active Directory or LDAP.匯入現存帳號。如果你再為每個用戶創建ZFS資料集,可chroot個別用戶,可讓他們的存取限定於本身home目錄中。資料集提供額外的益處,若組建配額上限即可限制使用者主目錄的最大容量。
組建腳本
1. 為個別使用者建立ZFS資料集:於 儲存--> 磁區中 對個別使用者創建ZFS資料集 。按下 一個已存在的 ZFS 磁區-->創建ZFS 資料集 再對個別資料集設定適當的容量配額度。並對每一個使用者重覆該程序
2. 若你並未使用 AD or LDAP, 於 帳號--> 使用者--> 新增使用者 建立個別使用者帳號。針對個別使用者, 瀏覽到 使用者在家目錄資料夾中建立的資料集位置,重覆上述程序,確認每一個使用者皆有其各自擁有的資料集
3. 於儲存--> 磁區→ 檢視磁區 中對個別資料集設定權限:按下資料集的變更權限按鈕以指定使用者帳號然後對該使用者設定渴求的權限。對個別資料集重覆設定之
註:對FTP 而言,客端的型態並不影響其ACL,意即即便使用 Windows客端存取FreeNAS®FTP亦使用 Unix ACLs
4. 於 服務--> FTP 中依下列屬性組建FTP :
- Path路徑: 瀏覽 到包含該資料集的上層磁區
- 確認 允許匿名登入 及 允許 root 登入 選項 均不勾選
- 勾選允許本地端使用者登入
- 勾選 Always Chroot 選項
5.於服務控制中 啟動FTP服務。移至 FTP 按下紅色OFF按鈕,數秒後,燈號轉為藍灯,服務指標顯示已啟動
6. 由客端使用類似 Filezilla的工具測試連線
Filezilla中測試設定,請使用FreeNAS®系統中具有聯繫某一資料集 之使用者帳號及密碼 的IP位址。客端並可順利標示FTP連線成功建立訊息者。使用者即可巡覽遠端站台的根資料夾--此時僅可巡覽專屬的資料集而非完整之磁區內容。使用者即可於本地端(本身的系統)及遠端(FreeNAS®系統)間傳送資料。
加密的 FTP
使用加密連線組建任一FTP可參考以下腳本
1. 於服務--> FTP 下啟動 TLS。檢查啟動 TLS選項。一旦按下OK,憑證及金錀將自動產生然後 proftpd重新啟動並依憑證組建備用。若想使用自已的憑證, 請於 "Certificate and private key"欄位中刪除自動產生之憑證,隨即貼上自己的憑證和金錀。
2.當存取FreeNAS®系統時訓練你的使用者指定安全的FTP:例如於Filezilla中當連線時輸入 ftps://IP_address(隱含的連線)或ftpes://IP_address (嚴格的連線),使用者首次連線時,系統應顯示FreeNAS® 系統 憑證。按下OK接受憑證即進行加密連線。
強制使用加密連結,可於輔助參數中加入以下指令
TLS Required on
故障排除
sockstat -4p 21
若未見 listening編號21埠,則 proftpd 無法執行。當FreeNAS®試圖啟動,但卻發生此類訊息時,前往系統-->設定-->進階 按下“Show console messages in the footer”按鈕後儲存之。下一步,前往 服務--> 服務控制 然後啟動 FTP 服務開關然後回到GUI ,觀察 瀏覽器 底部的錯誤訊息。
若錯誤指向DNS,可於本地端DNS伺服器指定FreeNAS®系統的主機名稱及IP位址或於FreeNAS®系統的 網路--> Global Configuration 中 "Host name database"欄位中增加一組IP位址的入口
沒有留言:
張貼留言