8 服務組態
此GUI的服務章節允許你建立、啟動及停用多種預載於FreeNAS®系統的服務。FreeNAS®支援以下服務
本節示範如何啟動一個FreeNAS®服務,然後介紹每個FreeNAS®
服務的可用配置選項。
8.1 服務控制
服務
→ 服務控制 顯示於
Figure
8.1a 允許你快速瞭解何項服務正在執行,開啟或停用並建立該服務。預設所有服務(除
S.M.A.R.T.
外)均為停用。
Figure
8.1a: 服務控制
為提供安裝於FreeNAS®的核心服務與第三方軟體有所區分,第三方軟體將由 Plugins Jail 安裝之,該畫面特區分為兩個頁簽:
核心:列示安裝於FreeNAS®的服務
若
圖示顯示紅色 OFF
服務停止。顯示藍色
ON
服務執行中,啟動/停用
,按下 ON/OFF
圖示 即可。
要配置的核心服務,按下扳手與該服務關聯圖示,或按下樹狀選單中的服務名稱即可。
若服務無法啟動,前往
系統 →設定 → 進階 然後按下“Show
console messages in the footer”。主控端訊息將顯示於
瀏覽器的底部。若按下主控端訊息區,將彈出視窗,允許你捲動輸出及複製訊息。當你啟動或停用此類有問題的服務時注視該訊息。
若需讀取系統紀錄以獲得更多服務失敗的資訊,開啟指令列然後鍵入
more
/var/log/messages
註:若於
ESXi中無法啟動任何核心服務,確定你僅使用一顆
vcpu
。若非此類議題,建立
名為kern.hz的可調參數
(參數值
100)。
8.2
目錄服務...............................
Active
Directory (AD)是
Windows
網路上分享資源的一種服務。AD可執行
Windows
Server 2000 或更高版本或使用
Samba
version 4
的Unix-like
作業系統。既然AD
對網路使用者提供身份驗證及驗證服務,自不需於FreeNAS®
系統上再建立使用者帳號。故於FreeNAS®的CIFS
共享區相關授權與帳號匯入資訊便由組建
Active
Directory服務代之。
註:許多
FreeNAS®變更及改善皆來自於
AD的支援。若你並非使用
FreeNAS®
8.3.1-RELEASE 版,在此強烈建議試圖整合
AD前版本應先升級。
建立
Active
Directory服務之前,應先於FreeNAS®指令列中以ping
指令確定Active
Directory 網域控制器的網域名稱是否適切組建。如
ping
錯誤,於FreeNAS®系統之網路→
全區環境 查驗 DNS
伺服器及預設
gateway
設定。
下一步為FreeNAS®附加DNS紀錄,並確定可於Active
Directory 網域控制器
ping
FreeNAS®的網路名稱。
Active
Directory 採用
Kerberos
協定,該協定為時間敏感的協定。意即
FreeNAS®
系統
與 Active
Directory Domain Controller必須時間同步。請依以下方處理之。
- 使用相同的 NTP 伺服器(於FreeNAS® 系統 → NTP 服務 設定)
- 時區相同
- 設定個別的區域時間或於BIOS中使用世界時間
Figure
8.2a顯示
Active
Directory 環境組態畫面
而Table
8.2a描述環境組態選項。某些設定僅用於進階模式中。為檢視此類組態,可按下
Advanced
Mode 按鈕或於
系統 → 設定 → 進階 勾選“Show
advanced fields by default” 選項。
Figure
8.2a: Configuring Active Directory 組態Active
Directory
Table
8.2a: Active Directory 環境組態選項
|
Setting
|
Value
|
Description
|
|---|---|---|
|
Domain
Name
|
string
|
Active
Directory的網域名稱
(例如
.example.com)或子網域(例如.sales.example.com)
|
|
NetBIOS
Name
|
string
|
FreeNAS®
系統的主機名稱
|
|
Workgroup
Name
|
string
|
工作群組名稱
(用於早期Microsoft
客端)
|
|
Administrator
Name
|
string
|
帳號名稱
|
|
Administrator
Password
|
string
|
帳號密碼
|
|
Verbose
logging
|
checkbox
|
若勾選,嘗試將日誌紀錄加到/var/log/messages
|
|
UNIX
extensions
|
checkbox
|
若AD服務器已明確為UNIX使用者配置映射權限,勾選此項將提供延續(UNIX中)的UID和GUID,否則,使用者/使用者群組將映射到UID/
GUIDSamba配置之中
|
|
Allow
Trusted Domains
|
checkbox
|
|
|
Use
default domain
|
checkbox
|
勾選時,網域名稱將置於使用者名稱之前;若勾選信任網域選項且於多重網域中使用相同之使用者名稱,取消此項勾選以避免名稱衝突
|
|
Domain
Controller
|
string
|
用於指定網域控制器主機名稱
|
|
Global
Catalog Server
|
string
|
用於指定global
catalog 伺服器主機名稱
|
|
Kerberos
Server
|
string
|
用於指定kerberos
伺服器主機名稱
|
|
Kerberos
Password Server
|
string
|
用於指定kerberos
密碼伺服器主機名稱
|
|
AD
timeout
|
integer
|
in
seconds, increase if the AD service does not start after
connecting to the domain以秒計,若AD連接網域後仍未能啟動秒數則增加之
|
|
DNS
timeout
|
integer
|
in
seconds, increase if AD DNS queries timeout以秒計,若
AD
DNS 逾時則增加之
|
註:AD對用於網域及
NetBIOS命名的字元有相當嚴格之要求。若連結該領域出現問題,應驗證 verify 設定中是否有不符規定之字元。此外,管理員密碼不能包含$字符。如果存在網域管理員的密碼,使用kinit將“密碼不正確”的錯誤報告,並ldap_bind將報告“無效的憑證(49)”的錯誤。
一旦使用
服務 → 服務控制 啟動已組建的AD
服務。數分鐘後AD資訊將填入
FreeNAS®系統。一經填入,AD的使用者與群組即可用於出現於磁卷/資料集之權限的下拉選單中。基於效能的理由,每一個可選用的使用者或許不會一次列出。此外,若開始鍵入使用名稱,所有的適用使用者將自動完成。
可於FreeNAS®系統命令列下使用以下指令驗證AD中的使用者及群組是否確已匯入。
wbinfo -u(to view users) wbinfo -g(to view groups)
:附加
wbinfo
-t 測試連結
如果成功,將顯示以下類似訊息
checking the trust secret for domain YOURDOMAIN via RPC calls succeeded
手動查驗特定使用者身份驗證可使用
net ads join -S dcname -U username
若未見使用者或群組列示於上述命令之外,下列指令可提供更多的故障排除資訊
getent passwd getent group
8服務組態
此GUI的服務章節允許你建立、啟動及停用多種預載於FreeNAS®系統的服務。FreeNAS®支援以下服務
本節示範如何啟動一個FreeNAS®服務,然後介紹每個FreeNAS®
服務的可用配置選項。
8.1服務控制
服務→ 服務控制 顯示於Figure8.1a 允許你快速瞭解何項服務正在執行,開啟或停用並建立該服務。預設所有服務(除S.M.A.R.T.外)均為停用。
Figure8.1a: 服務控制
為提供安裝於FreeNAS®的核心服務與第三方軟體有所區分,第三方軟體將由PluginsJail 安裝之,該畫面特區分為兩個頁簽:
核心:列示安裝於FreeNAS®的服務
若圖示顯示紅色 OFF服務停止。顯示藍色ON服務執行中,啟動/停用
,按下 ON/OFF圖示 即可。
要配置的核心服務,按下扳手與該服務關聯圖示,或按下樹狀選單中的服務名稱即可。
若服務無法啟動,前往系統 →設定 → 進階 然後按下“Show
console messages in the footer”。主控端訊息將顯示於瀏覽器的底部。若按下主控端訊息區,將彈出視窗,允許你捲動輸出及複製訊息。當你啟動或停用此類有問題的服務時注視該訊息。
若需讀取系統紀錄以獲得更多服務失敗的資訊,開啟指令列然後鍵入
more/var/log/messages
註:若於ESXi中無法啟動任何核心服務,確定你僅使用一顆vcpu
。若非此類議題,建立名為kern.hz的可調參數(參數值100)。
8.2目錄服務...............................
ActiveDirectory (AD)是Windows網路上分享資源的一種服務。AD可執行WindowsServer 2000 或更高版本或使用Samba version 4
的Unix-like作業系統。既然AD對網路使用者提供身份驗證及驗證服務,自不需於FreeNAS®系統上再建立使用者帳號。故於FreeNAS®的CIFS
共享區相關授權與帳號匯入資訊便由組建Active Directory服務代之。
註:許多FreeNAS®變更及改善皆來自於AD的支援。若你並非使用 FreeNAS®8.3.1-RELEASE 版,在此強烈建議試圖整合AD前版本應先升級。
建立 ActiveDirectory服務之前,應先於FreeNAS®指令列中以ping
指令確定ActiveDirectory 網域控制器的網域名稱是否適切組建。如
ping錯誤,於FreeNAS®系統之網路→全區環境 查驗 DNS伺服器及預設
gateway設定。
下一步為FreeNAS®附加DNS紀錄,並確定可於Active Directory 網域控制器 ping FreeNAS®的網路名稱。
Active Directory 採用Kerberos協定,該協定為時間敏感的協定。意即FreeNAS®系統與 Active Directory Domain Controller必須時間同步。請依以下方處理之。
- 使用相同的NTP伺服器(於FreeNAS® 系統 →NTP 服務設定)
- 時區相同
- 設定個別的區域時間或於BIOS中使用世界時間
Figure8.2a顯示ActiveDirectory 環境組態畫面而Table
8.2a描述環境組態選項。某些設定僅用於進階模式中。為檢視此類組態,可按下AdvancedMode 按鈕或於 系統 → 設定 → 進階 勾選“Show
advanced fields by default” 選項。
Figure8.2a: 組態Active Directory
Table8.2a: Active Directory 環境組態選項
|
Setting
|
Value
|
Description
|
|---|---|---|
|
Domain
Name
|
string
|
Active
Directory的網域名稱
(例如
.example.com)或子網域(例如.sales.example.com)
|
|
NetBIOS
Name
|
string
|
FreeNAS®
系統的主機名稱
|
|
Workgroup
Name
|
string
|
工作群組名稱
(用於早期Microsoft
客端)
|
|
Administrator
Name
|
string
|
帳號名稱
|
|
Administrator
Password
|
string
|
帳號密碼
|
|
Verbose
logging
|
checkbox
|
若勾選,嘗試將日誌紀錄加到/var/log/messages
|
|
UNIX
extensions
|
checkbox
|
若AD服務器已明確為UNIX使用者配置映射權限,勾選此項將提供延續(UNIX中)的UID和GUID,否則,使用者/使用者群組將映射到UID/
GUIDSamba配置之中
|
|
Allow
Trusted Domains
|
checkbox
|
|
|
Use
default domain
|
checkbox
|
勾選時,網域名稱將置於使用者名稱之前;若勾選信任網域選項且於多重網域中使用相同之使用者名稱,取消此項勾選以避免名稱衝突
|
|
Domain
Controller
|
string
|
用於指定網域控制器主機名稱
|
|
Global
Catalog Server
|
string
|
用於指定global
catalog 伺服器主機名稱
|
|
Kerberos
Server
|
string
|
用於指定kerberos
伺服器主機名稱
|
|
Kerberos
Password Server
|
string
|
用於指定kerberos
密碼伺服器主機名稱
|
|
AD
timeout
|
integer
|
in
seconds, increase if the AD service does not start after
connecting to the domain以秒計,若AD連接網域後仍未能啟動秒數則增加之
|
|
DNS
timeout
|
integer
|
in
seconds, increase if AD DNS queries timeout以秒計,若
AD
DNS 逾時則增加之
|
註:AD對用於網域及NetBIOS命名的字元有相當嚴格之要求。若連結該領域出現問題,應驗證 verify 設定中是否有不符規定之字元。此外,管理員密碼不能包含$字符。如果存在網域管理員的密碼,使用kinit將“密碼不正確”的錯誤報告,並ldap_bind將報告“無效的憑證(49)”的錯誤。
一旦使用 服務 → 服務控制 啟動已組建的AD服務。數分鐘後AD資訊將填入FreeNAS®系統。一經填入,AD的使用者與群組即可用於出現於磁卷/資料集之權限的下拉選單中。基於效能的理由,每一個可選用的使用者或許不會一次列出。此外,若開始鍵入使用名稱,所有的適用使用者將自動完成。
可於FreeNAS®系統命令列下使用以下指令驗證AD中的使用者及群組是否確已匯入。
wbinfo -u(to view users) wbinfo -g(to view groups)
:附加 wbinfo-t 測試連結
如果成功,將顯示以下類似訊息
checking the trust secret for domain YOURDOMAIN via RPC calls succeeded
手動查驗特定使用者身份驗證可使用
net ads join -S dcname -U username
若未見使用者或群組列示於上述命令之外,下列指令可提供更多的故障排除資訊
getent passwd getent group
8.2.1故障排除提示..................
LDAP使用DNS去決定網路中的網域控制器與global catalog 伺服器的配置。使用 host -t srv _ldap._tcp.domainname.com 的指令決定
網路 SRV紀錄,如有需要時得變更 SRV的權重以取得最快速的回應。有關SRV紀錄可查閱 HowDNS Supportfor Active Directory Works的相關文件。
此項導入端賴SRVDNS紀錄的優先序而定。意即 DNS凌駕於AD的設定。如果無法連接至正確的導入值,查驗DNS伺服器中的SRV紀錄。如何在不同的優先權下,通過DNS配置KDC,此文件 Thisarticle 可提供一些範例記錄
如果快取因AD伺服器因停機或離線,無法同步,可使用系統 → 設定 → 進階 → 重建 LDAP/AD快取重新聯機。
使用者帳號過期的密碼將引起kinit
的失效,請確保該密碼正確可用。
8.3AFP..................................
是一種提供Mac電腦使用的檔案服務協定。組建該服務前,應先行建立
AFP 共享區 共享 → Apple(AFP) 共享 → 新增Apple (AFP) 共享。之後再以服務 → 服務控制 啟用該服務
啟用該服務時,雖已將AFP共享區啟用,仍可能因受服務未啟動影響故無法使用。
啟用此服務時FreeNAS®系統應開啟以下通信埠
- TCP 548 (afpd)
- TCP 4799 (cnid_metadata)
- UDP 5353 and a random UDP port (avahi)
Figure 8.3a顯示組態選項而Table8.3a中可見相關選項描述
Figure8.3a: AFP 組態
Table8.3a: AFP 組態選項
|
Setting
|
Value
|
Description
|
|---|---|---|
|
Server Name
|
string
|
將顯示於Mac客端的伺服器名稱;預設為freenas
|
|
Guest Access
|
checkbox
|
若勾選,客端將不提示存取AFP共享區的授權提示
|
|
Guest Account
|
drop-down menu
|
選定用於
guest存取的使用者帳號;選定的帳號必須具有該分享區
(磁卷/資料集)的許可權
|
|
Max Connections
|
integer
|
同時連接的最大連線數量
|
8.4 CIFS..........................
CommonInternet File System (CIFS)是一種提供Windows
電腦使用的檔案服務協定。對可提供 CIFSclient 的Unix-like系統亦可連接此共享區。組建該服務前,應先行建立CIFS共享區(共享→Windows(CIFS) 共享→ 新增 Windows(CIFS) 共享)。之後再以
服務 → 服務控制 啟用該服務。有時雖已完成CIFS共享區組態,仍可因服務未啟動而無法使用。
啟用此服務FreeNAS®系統將開啟以下通信埠
- TCP 139 (smbd)
- TCP 445 (smbd)
- UDP 137 (nmbd)
- UDP 138 (nmbd)
Figure8.4a畫面描述於Table8.4a中的組態選項
Figure8.4a:組建CIFS
Table8.4a: CIFS 組態選項
|
Setting
|
Value
|
Description
|
|---|---|---|
|
Authentication
Model
|
drop-down menu
|
選用 Anonymous or Local
User;若AD或LDAP服務執行中,此選項將被省略
|
|
NetBIOS Name
|
string
|
須為小寫字母且應於FreeNAS®系統的主機名稱相同;並且不得與 Workgroup 名稱相同
|
|
Workgroup
|
string
|
必須配合
Windows群組名稱;若AD或LDAP服務執行中,此選項將被省略
|
|
Description
|
string
|
optional選項
|
|
DOS Charset
|
drop-down menu
|
與
DOS and Windows
9x/Me客端通訊時Samba使用的字符集;預設為CP437
|
|
UNIX Charset
|
drop-down menu
|
預設為UTF-8
可支援所有語系
|
|
Log Level
|
drop-down menu
|
選項有 Minimum, Normal, Full,
or Debug
|
|
Local Master
|
checkbox
|
決定FreeNAS®系統是否參與瀏覽器之選用,當網路涵括AD或LDAP伺服器時應停用且若為Windows
Vista/7 並不需採用
|
|
Time
Server for Domain
|
checkbox
|
決定是否公告FreeNAS®系統為
Windows客端的校時伺服器;使用AD或LDAP時則應予停用
|
|
Guest Account
|
drop-down menu
|
用於
guest存取的帳號;該帳號必須具有存取共享區磁卷/
資料集之權限
|
|
File mask
|
integer
|
覆蓋預設的檔案遮罩碼(0666建立的檔案預設擁有讀取和寫入權限)
|
|
Directory mask
|
integer
|
覆蓋預設的目錄遮罩碼(0777任何人對目錄預設擁有讀取、執行和寫入權限)
|
|
Send files with
sendfile(2)
|
checkbox
|
較新的
Windows版本可支援
較快速的Samba的發送文件系統取得更佳效率。
|
|
EA Support
|
checkbox
|
啟用延伸屬性
|
|
Support DOS File
Attributes
|
checkbox
|
允許具寫入存取文件的使用者的修改權限,即便不是文件的所有者
|
|
Allow Empty
Password
|
checkbox
|
若勾選,當提示輸入密碼時使用者可直接按壓輸入鍵,必須用於FreeNAS®與Window具有相同
帳號/密碼 時使用
|
|
Auxiliary
parameters
|
string
|
|
|
Enable home
directories
|
checkbox
|
若勾選,將針對個別使用者建立同名資料夾
|
|
Enable home
directories browsing
|
checkbox
|
使用者可瀏覽(但不可寫入)其它使用者的家目錄
|
|
Home directories
|
browse button
|
於磁卷/資料集
中選定建立家目錄的位置
|
|
Homes auxiliary
parameters
|
string
|
指定 smb.conf
[homes]部份的選項;例如 hide
dot files = yes 隱藏家目錄中以
.號為起始的檔案
|
|
Unix Extensions
|
checkbox
|
允許
非-Windows CIFS 客端存取
symbolic links 及
hard links,
沒有影響Windows 客端
|
|
Enable AIO
|
checkbox
|
於FreeNAS®
8.0.3 或更高版本啟用
非同步 I/O
,在某些網路上啟動此選項CIFS
速度將會降低
|
|
Minimum AIO read
size
|
integer
|
預設值為
4096 bytes,
當容量的需求是大於此值時,Samba
將採用非同步讀取
|
|
Minimum AIO write
size
|
integer
|
預設值為
4096
bytes,當容量的需求是大於此值時,Samba
將採用非同步讀取
|
|
Zeroconf share
discovery
|
checkbox
|
若有Mac
客端將連接到CIFS
共享區,可啟用之
|
|
Hostnames lookups
|
checkbox
|
允許指定主機名稱而非IP位址作為
允許或拒絕 存取CIFS共享區的欄位,若網段僅使用IP位址,可取消勾選,節省主機查找時間
|
FreeNAS®8.0.3 版起,變更CIFS 設定與CIFS 共享區後立即生效。較早版本則需以手動停止然啟動該服務後方作用之。
註:毋設定 directory name cache size作為輔助參數。係因Linux與BSD處理檔案描述的差異,考量效率因素BSD系統並未啟動目錄名稱快取
8.4.1故障排除提示...................
與其它的網路協定比較,CIFS速度並不快。唯可啟用以下選項或可增加網路吞吐量; Large RW support,Send files with sendfile(2), and Enable AIO.調整最小的AIO讀取及寫入容量設定到較符合你的網路架構可改善亦或降低效能。
在某些組態中Samba的〞寫入快取〞參數已經獲報可改善寫入效能亦可附加於輔助參數欄位。
使用整數值(多重_SC_PAGESIZE典型為4096)以避免記憶體碎片。此類均將增加Samba的記憶體需求,不應用於使用受限的RAM中。
Windows自動快取檔案共享資訊。若你變更為CIFS共享或磁卷/資料集
由CIFS共享且無法存取該共享區,試著退出並回到 Windows系統。
8.5動態DNS..............................................................................
動態DNS對連接定期變更IP位址的FreeNAS®系統非常有用。使用動態DNS該系統可自動以網域名稱聯結其現行IP位址,即便FreeNAS®系統IP網址變更亦可存取。(必須事先註冊DDNS服務方可使用(如 DynDNS))
Figure8.5a顯示DDNS組態畫面Table8.5a 則為組態選項一覽表。必須填入由DDNS提供者給定值。完成DDNS組態後,不要忘了在服務-->服務控制中啟動DDNS服務。
Figure8.5a: 組態DDNS
Table8.5a: DDNS 組態選項
|
Setting
|
Value
|
Description
|
|---|---|---|
|
Provider
|
drop-down menu
|
支援數個提供者;若你的提供者並未列示其中,將此欄位留白並於輔助參數欄位中另指定之
|
|
Domain name
|
string
|
FQDN(例如 yourname.dyndns.org)
|
|
Username
|
string
|
用於登入及更新紀錄的使用者名稱
|
|
Password
|
string
|
用於登入及更新紀錄的使用者密碼
|
|
Update period
|
integer
|
以秒為單位;設定時應小心,若過度頻繁更換IP網址(濫用),有可能被停權。
|
|
Forced
update period
|
integer
|
以秒為單位;設定時應小心,濫用可能被停權;即使沒有變更網址,仍應發出DDNS更新請求,使服務提供者確認該帳戶仍否活躍。
|
|
Auxiliary
parameters
|
string
|
於記錄更新期間給提供者的額外參數;例如指定提供者為 dyndns_system
default@no-ip.com
|
8.6FTP...........................................
FreeNAS®使用 proftpd FTP伺服器提供FTP 服務。FTP服務一經組態啟用,客端便可使用網路瀏覽器 或FTP客端軟體瀏覽並下載資料。FTP的好處在於其為跨平台且便於使用的功能可用於管理來自FreeNAS®系統上傳或下載作業。FTP屬非加密協定,不應用於傳送機敏檔案。若你有機敏機料傳送需求,請參閱 Encrypting
FTP
本章節提供FTP組態選項的全覽。對匿名FTP、chroot環境下限定使用者存取,加密FTP連結及故障排除提示等提供組態演示範例,
Figure8.6a顯示服務 → FTP的組態畫面。某些設定僅用於進階模式。欲見此類設定,請按下進階模式 按鈕或 於 系統 → 設定 → 進階 勾選“Showadvanced fields by default”
Figure8.6a: 組態FTP
Table8.6a為組建FTP伺服器時可用選項一覽表
Table8.6a: FTP 組建選項
|
Setting
|
Value
|
Description
|
|---|---|---|
|
Port
|
integer
|
欲使用之連接埠號
|
|
Clients
|
integer
|
可同時處理的客端最大連線數
|
|
Connections
|
integer
|
限制來自每個IP位址的最大連線數;0表示不限制
|
|
Login Attempts
|
integer
|
在客端中斷連線前的最大可輸入次數;若使用者容易發生拼寫錯誤時應增加之
|
|
Timeout
|
integer
|
對閒置之客端自動中斷連線的最大容許時間(以秒為單位)
|
|
Allow Root Login
|
checkbox
|
不鼓勵勾選;此選項造成安全風險
|
|
Allow Anonymous
Login
|
checkbox
|
允許匿名瀏覽資料
|
|
Path
|
browse button
|
FTP伺服器的根目錄;必須指定到磁卷/資料集的分享區否則連結將失敗
|
|
Allow Local User
Login
|
checkbox
|
如需匿名登錄應予停用
|
|
Banner
|
string
|
當存取FTP伺服器時顯示訊息;若空白則顯示proftpd之版本訊息
|
|
File Permission
|
checkboxes
|
對新建立之檔案給定預設權限
|
|
Directory
Permission
|
checkboxes
|
對新建立之檔案設定遮罩
|
|
Enable FXP
|
checkbox
|
對新建立之檔案給定預設權限
|
|
Allow Transfer
Resumption
|
checkbox
|
若傳輸受到干擾,伺服器將以最後資訊重啟連線
|
|
Always Chroot
|
checkbox
|
forces users to
stay in their home directory (always true for Anonymous
Login)
|
|
Require IDENT
Authentication
|
checkbox
|
will result in
timeouts if identd is not running on the client 若identd
未於客端執行,將導致逾時
|
|
Require Reverse DNS
for IP
|
checkbox
|
若客端主機名稱未紀錄於DNS
紀錄將 逾時
|
|
Masquerade address
|
string
|
IP網址或主機名稱,如果FTP客戶端無法通過NAT設備連接設定之
|
|
Minimum passive
port
|
integer
|
由客端用於
PASV模式,預設意即使用編號1023以上之連接埠
|
|
Maximum passive
port
|
integer
|
由客端用於
PASV模式,預設意即使用編號1023以上之連接埠
|
|
Local user upload
bandwidth
|
integer
|
單位為
KB/s,預設0表示無限制
|
|
Local user download
bandwidth
|
integer
|
單位為
KB/s,預設0表示無限制
|
|
Anonymous user
upload bandwidth
|
integer
|
單位為
KB/s,預設0表示無限制
|
|
Anonymous user
download bandwidth
|
integer
|
單位為
KB/s,預設0表示無限制
|
|
Enable SSL/TLS
|
checkbox
|
啟用加密連線;驗證將自動產生並一旦按下
OK將顯示
〞憑證及私錀〞選項
|
|
Certificate
and private key
|
string
|
用於FTP加密連線的SSL
憑證及私錀
|
|
Auxiliary
parameters
|
string
|
以下範例可防止所有使用者執行FTP刪除指令。
<Limit DELE> DenyAll </Limit>
8.6.1FTP的匿名登入 .......................
匿名FTP適合用於並非屬網際網路且易於存取資料的內部網路型態之FreeNAS®小型網路系統。匿名FTP並不需於FreeNAS®系統下管理密碼的變更。
FTP:組建匿名FTP
- 給定內建的ftp使用者帳號權限:於 儲存-->磁區 對磁卷/資料集 開啟共享區並給定內建的ftp使用帳號權限後即可
- 擁有者(使用者):於下拉選單中選用ftp使用者
- 擁有者(群組):選用ftp群組
- 模式:再檢視共享區的適當權限註:對FTP而言,客端的型態並不影響其ACL,意即即便使用Windows客端存取FreeNAS®FTP亦使用Unix ACLs
- 組建匿名FTP請於 服務-->FTP 中依下列屬性建置
- 勾選允許匿名登入選項
- 路徑:瀏覽到共享區的磁卷/資 料集/目錄
- 啟動FTP 服務:在服務控制中啟動FTP服務。移至FTP按下紅色OFF按鈕,數秒後,燈號轉為藍灯,服務指標顯示已啟動
Figure 8.6b範例演示,Filezilla客端的使用者可依以下資訊進入
- FreeNAS®IP伺服器位址為 192.168.1.113
- 使用者: anonymous
- 密碼:使用者email 地址
Figure
8.6b: 使用Filezilla連線畫面
客端標示FTP連線已經成功建立訊息。使用者現在可以巡覽遠端站台的根資料夾(由FTP組態中的 磁卷/資料集 指定)內容。使用者可於本地端(本身的系統)及遠端(FreeNAS®系統)間傳送資料。
8.6.2 in chroot 下的指定使用存取..........................
若需於存取FreeNAS®系統資料前驗證使用者,需要對每一個使用者開立帳號或使用 ActiveDirectory亦或 LDAP匯入現存帳號。如果你再為每個用戶創建ZFS資料集,可chroot個別用戶,可讓他們的存取限定於本身home目錄中。資料集提供額外的益處,若組建配額上限即可限制使用者主目錄的最大容量。
組建腳本
- 為個別使用者建立ZFS資料集:於 儲存-->磁區中 對個別使用者創建ZFS資料集。按下 一個已存在的 ZFS磁卷-->創建ZFS資料集再對個別資料集設定適當的容量配額度。並對每一個使用者重覆該程序
- 若你並未使用ADor LDAP,於 帳號-->使用者-->新增使用者 建立個別使用者帳號。針對個別使用者, 瀏覽到使用者在家目錄資料夾中建立的資料集位置,重覆上述程序,確認每一個使用者皆有其各自擁有的資料集
- 於儲存-->磁區中對個別資料集設定權限:按下資料集的變更權限按鈕以指定使用者帳號然後對該使用者設定渴求的權限。
註:對FTP而言,客端的型態並不影響其ACL,意即即便使用Windows客端存取FreeNAS®FTP亦使用Unix ACLs
- 於 服務-->FTP 中依下列屬性組建FTP
- Path路徑:瀏覽 到包含該資料集的上層磁區
- 確認允許匿名登入 及 允許 root登入 選項 均不勾選
- 勾選允許本地端使用者登入
- 勾選 Always Chroot 選項
- 於服務控制中啟動FTP服務。移至FTP按下紅色OFF按鈕,數秒後,燈號轉為藍灯,服務指標顯示已啟動
- 由客端使用類似 Filezilla的工具測試連線
Filezilla中測試組態,請使用FreeNAS®系統中具有聯繫某一資料集
之使用者帳號及密碼的IP位址。客端並可順利標示FTP連線成功建立訊息者。使用者即可巡覽遠端站台的根資料夾--此時僅可巡覽專屬的資料集而非完整之磁卷內容。使用者即可於本地端(本身的系統)及遠端(FreeNAS®系統)間傳送資料。
8.6.3加密的FTP...........
使用加密連線組建任一FTP可參考以下腳本
- 於服務-->FTP 下啟動SSL/TLS。檢查啟動SSL/TLS選項。一旦按下OK,憑證及金錀將自動產生然後proftpd重新啟動並依憑證組建備用。若想使用自已的憑證,請於 "Certificate and private key"欄位中刪除自動產生之憑證,隨即貼上自己的憑證和金錀。
- 當存取 FreeNAS® system時指定加密FTP:例如於Filezilla中當連線時輸入 ftps://IP_address(隱含的連線)或ftpes://IP_address(嚴格的連線),使用者首次連線時,系統應顯示FreeNAS®system 憑證。按下OK接受憑證即進行加密連線。
8.6.4故障排除...............................
sockstat -4p 21
若未見listening編號21埠,則proftpd並未執行。當FreeNAS®試圖啟動,但卻發生此類訊息時,前往系統-->設定-->進階按下“Show
console messages in the footer”按鈕後儲存之。下一步,前往服務--> 服務控制然後啟動 FTP服務開關然後回到GUI,觀察 瀏覽器底部錯誤訊息。
若錯誤指向DNS,可於本地端DNS伺服器指定FreeNAS®系統的主機名稱及IP位址或於FreeNAS®系統的網路-->全域組態中 "Host name database"欄位中增加一組IP位址的入口
沒有留言:
張貼留言