8.8 LDAP
FreeNAS®包括一組可由LDAP伺服器上存取資訊的 OpenLDAP 客端。LDAP伺服器針對可尋得的網路資源例如使用者相關權限等提供目錄服務。LDAP
伺服器的實例包含Microsoft
Server (2000 及更新版),
Mac OS X Server, Novell eDirectory, 及
執行於BSD
或
Linux
系統上的
OpenLDAP
若你的網路已執行LDAP
伺服器,應組態
FreeNAS®
LDAP service如此一來網路的使用者即可用
FreeNAS®的
LDAP
服務
管理FreeNAS®系統的資料存取權限。
在MLDAPNOTE上執行:
除非LDAP目錄服務已填入Samba屬性否則無法用於CIFS的授權驗證。絕大多數執行工作較受歡迎的腳本可見於 smbldap-tools ,其使用指導可見於 The
Linux Samba-OpenLDAP Howto.
當你按下
服務-->LDAP
顯示出如Figure
8.8a的LDAP
組態畫面
Figure
8.8a: 組態
LDAP
Table
8.8a 為可用組態選項一覽表。若你對LDAP術語屬新手,可參考 OpenLDAP
Software 2.4 Administrator's Guide.關於LDAP
故障排除,可開啟 Shell 然後在 /var/log/auth.log中尋找錯誤訊息。
組態LDAP服務後,
可於 服務-->服務控制
中啟動之。若該服務未能啟動,參考 Common
errors encountered when using OpenLDAP Software 一般性錯誤均可修復之
為確認使用者業經匯入,可於
命令列中 鍵入 getent
passwd ;為確認群組業經匯入,於
命令列中 鍵入 getent
group
Table
8.8a:
LDAP 組態選項
Setting
|
Value
|
Description
|
|---|---|---|
Hostname
|
string
|
LDAP伺服主機名或IP
網址
|
Base
DN
|
string
|
LDAP
伺服器搜尋資源時LDAP目錄樹的最上層LDAP
servers
|
Allow
Anonymous Binding
|
checkbox
|
標示LDAP服務器不提供身份驗證,並允許任何客戶端的讀/寫訪問
|
Root
bind DN
|
string
|
LDAP
伺服器的管理帳號名稱
(e.g.cn=Manager,dc=test,dc=org)
|
Root
bind password
|
string
|
管理者帳號的密碼
|
Password
Encryption
|
drop-down
menu
|
LDAP伺服器可支援的加密選擇項目;可選用的有 clear (unencrypted), crypt, md5, nds, racf, ad,exop
|
User
Suffix
|
string
|
選項,當使用者帳號新增到LDAP目錄時可被附加上去的名稱(例如,部門或公司名)
|
Group
Suffix
|
string
|
選項,當群組新增到LDAP目錄時可被附加上去的名稱(例如,部門或公司名)
|
Password
Suffix
|
string
|
選項,當使密碼新增到LDAP目錄時可被附加上去的密碼
|
Machine
Suffix
|
string
|
選項,當系統新增到LDAP目錄時可被附加上去的名稱(例如,伺服器或會計)
|
Encryption
Mode
|
drop-down
menu
|
可用選項 Off, SSL,
或 TLS
|
Self
signed certificate
|
string
|
若SSL連線使用時可用於確認LDAP伺服器的驗證;貼上
以下指令 openssl
s_client -connect server:port -showcerts
|
Auxiliary
Parameters
|
string
|
ldap.conf(5) 選項,每一行
並不會被畫面中其它選項所覆蓋
|
註: FreeNAS®自動附加根目錄的DN。意味著當輸入使用者、群組、密碼及機器之字首時不應包括適用範圍及根目錄DN
8.9 NFS
網路檔案系統Network
File System (NFS)是一種於網路中共享檔案的協定。組建此服務前應先建立NFS
共享區
(共享→
Unix
(NFS) 共享
→ 新增 Unix
(NFS) 共享)。然後前往.
服務
→ 控制控制 組建此服務。啟動此服務時將於FreeNAS®系統上開啟下列通信埠
- TCP and UDP 111 (used by rpcbind)
- TCP 2049 (used by nfsd)
此外, mountd 及 rpcbind 將個別繋結到隨機可用的UDP
port。
Figure
8.9a 顯示此組態畫面而Table
8.9a 為NFS服務之組態選項一覽表.
Figure
8.9a: 組建
NFS
Table
8.9a:
NFS 組態選項
Setting
|
Value
|
Description
|
|---|---|---|
Number
of servers
|
integer
|
由命令列 sysctl
-n kern.smp.cpus 去決定執行之數值;不得超過該命令列示之輸出值
|
Asynchronous
mode
|
checkbox
|
|
Allow
non-root mount
|
checkbox
|
僅當NFS客端需要時方可勾選
|
Bind
IP Addresses
|
string
|
使用逗號”,”分隔
IP
網址;若空白,NFS將可繋結所有可用的位址
|
8.11 Rsync 資料同步
本章節描述可用於組態
rsyncd的
服務及其模組,Figure
8.11a展示由
服務 → Rsync資料同步
→ 設定Rsyncd
組態檔的畫面。
Figure
8.11a: Rsyncd
組態
Table
8.11a 為Rsyncd
組態選項一覽表
Table
8.11a: Rsyncd 組態選項
| Setting | Value | Description |
| TCP Port | integer | rsyncd 監聽埠, 預設為 873 |
| Auxiliary parameters | string | 來自rsync(1)的附加參數 |
8.11.1 Rsync Modules Rsync 資料同步模組
Figure
8.11b shows the configuration screen that appears when you click 服務
→ Rsync
資料同步
→ Rsync
資料同步
模組 → 新增 Rsync
資料同步模組.
Figure
8.11b: 新增
Rsync
資料同步模組
Table
8.11b 建立
Rsync
資料同步模組組態選項一覽表
Table
8.11b: Rsync 資料同步模組組態選項
| Setting | Value | Description |
| Module name | string | 必填;必須符合Rsync 資料同步客端 |
| Comment | string |
說明,可選填
|
| Path | ||
| Access Mode | drop-down menu |
可用選項有
讀-寫
,唯讀及僅可寫入
|
| Maximum connections | integer | 0表無限制 |
| User | drop-down menu |
select
user that file transfers to and from that module should take
place as
|
| Group | drop-down menu |
select
group that file transfers to and from that module should take
place as
|
| Hosts allow | string | 參考 rsyncd.conf(5) 的格式設定 |
| Hosts deny | string | 參考 rsyncd.conf(5) 的格式設定 |
| Auxiliary parameters | string | 來自於rsyncd.conf(5)的附加參數 |
8.12 S.M.A.R.T.
- Enable or disable S.M.A.R.T. for each disk member of a volume in Volumes → View Volumes. By default, this is already enabled on all disks that support S.M.A.R.T.對每一個磁碟的各磁卷(磁卷 →檢視磁卷 View Volumes)啟動或停用 S.M.A.R.T.
- Check the configuration of the S.M.A.R.T. service as described in this section.依本章節所述檢查 S.M.A.R.T.服務的組態
- Start the S.M.A.R.T. service 在 服務 → 服務控制 中 啟動S.M.A.R.T.服務
Figure
8.12a 當按下
服務 → S.M.A.R.T.後可見組態畫面
Figure
8.12a: S.M.A.R.T 組態選項
註; smartd 將在 Figure 8.12a每次檢查時間間隔時被喚醒。若有任何測試應予執行,將依你組態的設定執行檢查。由於測試的最小時間增量是一個小時(60分鐘),設定高於60分鐘的時間間隔值並無意義。例如,如果你設置了檢查的間隔時間為120分鐘,而smart 測試卻每小時執行。既然背景程式每隔2小時喚醒(檢查)一次,故 S.M.A.R.T. 測試將不可能於每小時執行乙次,亦將配合背景程式的啟用周期(每2小時執行一次)。
Table
8.12a S.M.A.R.T 組態畫面選項一覽表
Table
8.12a: S.M.A.R.T 組態
選項
| Setting | Value | Description |
| Check interval | integer |
以分為單位;若任一測試已組態供執行,設定多久喚醒 smartd 執行檢查作業
|
| Power mode | drop-down menu |
若系統進入指定電力供應模式;(選項有 Never,Sleep, Standby,
or Idle)該組態測試作業不被執行)
|
| Difference | integer in degrees Celsius |
預設為0停用此項檢查作業,否則磁碟溫度與最後報告相差超過攝式N
度將彙報之。
|
| Informal | integer in degrees Celsius |
預設為0停用此項檢查作業,否則若溫度超過攝式
N
度,會將該訊息依記載層級標準登載於
LOG_INFO
|
| Critical | integer in degrees Celsius |
預設為0停用此項檢查作業,否則若溫度超過攝式
N
度,會將該訊息依記載層級標準登載於
LOG_CRIT
並傳出一封email
|
| Email to report | string |
接收S.M.A.R.T.警訊的email
地址,若以接收多封email則以
無空格的逗號分離之
|
8.13 SNMP
SNMP
(Simple Network Management Protocol)簡單網路管理協定是一種用於對允許
授權管理的 網路-聯結裝置實施監控之協定。FreeNAS®可使用
FreeBSD的簡單及可延伸SNMP後台程序以 bsnmpd(8) 伺服器組態之。若啟動SNMP以下的埠將於FreeNAS®系統中啟用之。
- UDP 161 (bsnmpd 監聽 SNMP 的需求)
可用的MIBS配置於 /usr/share/SNMP/mibs 及 /usr/local/share/SNMP/mibs
Figure
8.13a 顯示SNMP組態畫面而Table
8.13a 為組態選項一覽表
Figure
8.13a: 組態g
SNMP
Table
8.13a:
SNMP 組態選項
Setting
|
Value
|
Description
|
|---|---|---|
Location
|
string
|
FreeNAS®
系統的位置描述;選填
|
Contact
|
string
|
FreeNAS®
管理者
的email
位址;選項
|
Community
|
string
|
password
used on the SNMP network, default ispublic and should
be changed for security reasons用於SNMP網路的密碼,預為ispublic 及 should
be changed for security reasons
|
Send
SNMP Traps
|
checkbox
|
僅可用於進階模式;一個陷阱的事件通知消息
|
Auxiliary
Parameters
|
string
|
8.14 SSH
本章節,指導如何組建
FreeNAS®
SSH 選項,示範限制使用者使用本身之家目錄的範例並提供某些故障排除提示。
Figure
8.14a 顯示
服務 → SSH
組態畫面而
Table
8.14a 為組態選項的一覽表.
既然組態了SSH服務,不要忘了在
服務 → 服務控制中 啟動服務.
Figure
8.14a: SSH
組態
Table
8.14a: SSH 組態選項
Setting
|
Value
|
Description
|
|---|---|---|
TCP
Port
|
integer
|
為SSH連線需求開啟的連線埠;預設為 22
|
Login
as Root with password
|
checkbox
|
f基於安全理由,不鼓勵以root登入系統,預設為停用;若啟動root
使用者的密碼必於於
帳號-->
使用者-->檢視使用者
中設定
|
Allow
Password Authentication
|
checkbox
|
|
Allow
TCP Port Forwarding
|
checkbox
|
|
Compress
Connections
|
checkbox
|
可能
減少在慢速網絡的延遲
|
Host
Private Key
|
string
|
允許在每次安裝時貼上指定的主機金錀作為預設值
|
Extra
Options
|
string
|
少數sshd_config(5)選項在
Extra
Options 額外選項欄位
對輸入有用包括
- ClientAliveInterval: 如果ssh連接趨於下降, 增加這個數字
- ClientMaxStartup: 預設為10 ;若有更多使用者請增加之
8.14.1 Chrooting Command Line SFTP Users
預設當你組建SSH,使用者可用ssh
指令登入FreeNAS®系統。使用者的家目錄將由FreeNAS®系統中
家目錄 欄位 指定到 磁卷/資料集。使用者 亦可使用
scp 與 sftp 指令在其本地端電腦與FreeNAS®系統的家目錄間傳送檔案。
雖然這些命令將預設為使用者的主目錄,用戶仍能瀏覽至自己的主目錄外,但這可能會帶來安全風險。SSH支援使用者使用
chroot ,以確保使用者對
sftp
指令僅可用於家目錄範圍內。欲於
FreeNAS®中組建此腳本,可依下列步驟執行。
- 於儲存--> 磁卷中 對個別使用者建立sftp存取的ZFS 資料集。
- 若未使用 Active Directory or LDAP為個別使用者於 帳號-->使用者 → 新增使用者 建立使用者帳號。於家目錄欄位內 瀏覽 到你為使用者建立的資料集位置。重覆上述步驟為每個需要使用SSH服務的使用者建立使用帳號。
- 對個別資料集設定權限:於儲存--> 磁卷--> 檢視磁卷 中設定個別 資料集之權限 。SSH chroot 方面所需的權限應非常具體(參閱 ChrootDirectory keyword in sshd_config(5) 有更詳盡說明)若通過SSH的chroot使用者採用與來自Figure8.14B所示不同資料集的權限,配置將無法作用。
Figure
8.14b: SSH Chroot所需的權限
- 使用 Shell為個別資料集使用者建立家目錄。由於SSH的chroot所需權限,除非已設定之使用者,將不具寫入自己root 資料集的權限。既然你的意圖是限制他們僅可使用擁有者的主目錄的內容,手動地為每個使用者在其本身擁有的資料集中建立家目錄,然後變更目錄的擁有者為其自身。範例 8.14a示範使用指令為使用者 user1於資料集 /mnt/volume1/user1中建立家目錄。
Example
8.14a: 建立一個使用者的家目錄Creating
a User's Home Directory
mkdir /mnt/volume1/user1/user1 chown user1:user1 /mnt/volume1/user1/user1
- 服務 → SSH. 組態SSH ,附加此行到額外的選項章節
Match Group sftp ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no
- 於服務控制中啟動 SSH 服務。移到SSH 按下紅色OFF 按鈕,數秒後,燈號轉為藍色的 ON ,標示出此服務已經啟動。
Figure
8.14c的例子中,
user1連線到
IP
位址為
192.168.2.9
的FreeNAS®伺服器。密碼符合FreeNAS®系統的使用者帳號且SFTP
已對該連線選用了檔案協定。
Figure
8.14c: 由
WinSCP連線到
SSH
chroot
一旦連線,使用者可見到
Windows系統左頁框見到此類檔案且
FreeNAS®
system的檔案出現於右項框,如
Figure
8.14d
Figure
8.14d: 於chroot
中使用WinSCP
注意FreeNAS®系統目錄結構起始於
<root>。若使用者按下
<root>
並無法前往至更高的資料夾。若使用者
試圖由Windows系統複製檔案到<root>,此作業將失敗。無論如何若使用者按下他們的家目錄(本例中為
user1),他們將進入並以該資料夾作為及Windows
系統
複製檔案 進/出的資料夾。
8.14.2 Troubleshooting SSH Connections連線的故障排除
若於客端接收到
"reverse
DNS"或連線逾時,於 Host
name database 欄位中
(網路-->
全域組態)
增加FreeNAS®
系統的
IP
網址入口。
組建SSH
時,應隨時使用
SSH
使用者帳號測試你的組態,確保使用者如你組建的獲得相當的權限傳送檔案到你規劃的目錄中。若使用者帳號遇到問題,SSH
錯誤訊息通當可以適切的指出問題之所在。於命令列中鍵入以下指令可以讀出此類錯誤訊息
tail -f /var/log/messages
/var/log/auth.log可見驗證錯誤相關訊息
8.15 TFTP瑣碎的檔案傳輸協定
Trivial
File Transfer Protocol (TFTP)為一種輕量型的FTP版本通常用於於機器間傳輸組態或開機檔案,例如
本地環境的路由器。TFTP提供了一個極為有限的指令集,且未提供認證。
若FreeNAS®系統於網路裝置中用於儲存影像或組態檔,組建並啟動TFTP服務。啟動本服務將開啟
UDP
port 69
註:
FreeNAS®
8.3.0版前,TFTP最大檔案限制為
32MB
Figure
8.15a 顯示TFTP
組態畫面
而 Table
8.15a 為可用選項一覽表
Figure
8.15a: TFTP
組態
Table
8.15a: TFTP 組態選項
Setting
|
Value
|
Description
|
|---|---|---|
Directory
|
browse
button
|
瀏覽到用於儲存的目錄;某些裝置需指定目錄名稱,參考該裝置的文件有更詳盡說明
|
Allow
New Files
|
checkbox
|
若網路裝置需傳送檔案到FreeNAS®系統(例如備份
組態設定檔),啟動之
|
Port
|
integer
|
UDP
port to 監聽
TFTP
呼叫的UDP
port ,預設為 69
|
Username
|
drop-down
menu
|
用於tftp需求的帳號;必須獲得該目錄的權限
|
Umask
|
integer
|
對新建之檔案的遮罩,預設值為
022(任何人可讀,nobody無法寫入);某些裝需更嚴格的遮罩
|
Extra
options
|
string
|
8.16 UPS
Figure
8.16a: UPS 組態畫面
Table 8.16a UPS 組態面畫選項一覽表.
Table
8.16a: UPS 組態選項
| Setting | Value | Description |
| Identifier | string |
可包含字母,數字,句號,逗號,連字符和下劃線字符
|
| Driver | drop-down menu | |
| Port | drop-down menu |
選取
插入者 為序列或USB埠的UPS介面(參考以下的附註)
|
| Auxiliary Parameters | string | |
| Description | string |
選項
|
| Shutdown mode | drop-down menu |
choices
are UPS goes on battery and UPS reaches
low battery改由 UPS電池供電及 UPS電池達到低電量的選擇
|
| Shutdown timer | integer |
in
seconds; will initiate shutdown after this many seconds after UPS
enters Shutdown mode, unless power is
restored以秒為單位;除非電源重新蓄電否則在UPS進入關機模式下多少秒後將立即關機
|
| UPS Master User Password | string |
預設值已知為fixmepass且應予變更;不包含空格或#號
|
| Extra users | string | |
| Remote monitor | checkbox |
若啟動,應知道預設覽聽全部介面預設值(帳號/密碼)-->
(upsmon/fixmepass)
|
| Send Email Status Updates | checkbox |
勾選,啟動郵寄
email
欄位
|
| To email | email address |
若
寄送email選項
已勾選,email地址接收人狀態應即更新
|
| Email subject | string | 若寄送email選項勾選,電子郵件的主旨應即更新 |
.註對USB裝置而言,早先決定可正確使用的裝置名稱的方法係於
系統-->設定-->進階
勾選 〞Show
console messages in the
footer”。外掛USB裝置的主控端訊息將給定名稱為 /dev/ugenX.X ;此處X's顯示於主控端的編號
upsc ups@localhost
沒有留言:
張貼留言