本发明专利技术涉及一种基于客户端身份四元组的samba服务访问控制方法和装置,属于云平台技术领域,获取虚拟私有云环境下的云客户端主机的vpc属性信息,对vpc属性信息进行封装处理,得到vpc封装包并发送至服务端;采用CIFS协议进行IP权限管理,自定义云客户端主机的访问权限控制规则;采用CIFS协议中的SAMBA组件对云客户端主机进行IP白名单控制和读写权限控制;采用SAMBA组件解析云客户端主机配置的访问权限控制规则,根据vpc封装包的权限结果向云客户端主机返回响应。本发明专利技术实现samba服务器对于不同IP的客户端的一对一权限控制,提升客户端权限管理的可操作性,实现精准控制客户端虚机的访问读写权限。
1、cifs具有较为灵活和细粒度的访问控制,提供基于用户名和用户组的访问权限控制功能,适用于多用户同时存取和修改文件的环境,可以有效的提高文件访问的安全性,也能够支持高效的文件服务。支持使用用户名和密码进行身份验证,可以有效提高文件访问的安全性。也可以配置无需用户密码验证的命名空间供客户端访问,cifs没有提供基于ip的访问权限控制功能。其访问机制采用linux+samba作为文件网关(server),传统的samba开源软件只提供了基于单个ip或者ip段的客户端白名单访问控制机制。目前天翼云的cstor分布式文件系统网关组网采用的是vpc架构,该组网能够为用户提供安全隔离的网络环境,加强主机的安全保护;同时支持灵活定义vpc内主机的ip地址、路由策略等,具有部署灵活、高利用率等优势。但是依然存在以下问题:
2、1、当cifs协议传输处于vpc场景下时,虚机的请求都需要经过中间层网关转发后到达服务器。文件网关只能看到对应的中间层网关的ip地址,而无法识别出具体虚拟机的ip地址。
>2、本专利技术的第一方面,提出了一种基于客户端身份四元组的samba服务访问控制方法,包括:3、获取虚拟私有云环境下的云客户端主机的vpc属性信息,对所述vpc属性信息进行封装处理,得到vpc封装包并发送至服务端;
4、采用cifs协议进行ip权限管理,自定义云客户端主机的访问权限控制规则;
5、采用cifs协议中的samba组件对云客户端主机进行ip白名单控制和读写权限控制;
6、采用所述samba组件解析云客户端主机配置的访问权限控制规则,根据所述vpc封装包的权限结果向云客户端主机返回响应。
7、进一步地,所述获取虚拟私有云环境下的云客户端主机的vpc属性信息,对所述vpc属性信息进行封装处理,得到vpc封装包并发送至服务端,还包括:
8、获取虚拟私有云环境下的云客户端主机的fixip和云主机所属vpc对应的vnid;
9、采用tcp option空间封装云客户端主机的fixip和云主机所属vpc对应的vnid,得到vpc封装包。
10、进一步地,所述采用cifs协议进行ip权限管理,自定义云客户端主机的访问权限控制规则,还包括:
11、所述访问权限控制规则包括:
12、ipv4自定义规则和smb.conf自定义规则。
13、进一步地,所述ipv4自定义规则,还包括:
14、在cifs的协议的原有的格式中增加vpc的id、云主机的ip以及权限位;
15、所述smb.conf自定义规则,还包括:
16、在hosts allow中设置自定义格式的权限规则进行鉴权。
17、进一步地,所述ip白名单控制,还包括:
18、所述samba组件的内核中添加关键函数get_client_vpc_info,用于获取云客户端主机的tcp option信息以及allow_access_nolog_vpc,用于samba服务器接收客户端的vpc信息,包括vni、vpc id、网关ip、host name,和smb.conf中的权限组信息的权限组列表;
19、所述samba组件将接受到的信息进行拷贝和解析,对云客户端主机ip的访问权限控制在allow_access_vpc中实现;
20、在所述samba组件识别出封装信息及smb.conf中的权限组信息后,函数allow_access_internal_vpc将权限组列表按照分割符进行切割,并将每一条规则交给函数list_match_vpc,对比权限组规则中的vni、网关ip、云客户端主机ip,判断是否允许云客户端主机访问。
21、进一步地,所述读写权限控制,还包括:
22、当云客户端主机向服务端发出访问资源请求时,将会由make_connection_snum函数处理云客户端主机的访问资源请求,由share_sanity_checks检查客户端的访问权限;
23、在检查云客户端主机的访问权限合法后,samba client的每个读写数据请求都会通过统一的分发函数smbd_smb2_request_dispatch进行处理;所述分发函数smbd_smb2_request_dispatch的内部对云客户端主机的权限进行设置并保存在req内部;
24、所述分发函数smbd_smb2_request_dispatch用于smbd进程处理函数接受客户端的请求并根据opcode分发,combine_params将客户端的vpc信息和权限组信息做一个整合;
25、采用allow_access_vpc函数进行ip访问权限判断,通过ip权限验证后依据get_cur_conn_right函数会根据权限组规则获取客户端的读写权限;
26、采用create_share_access_mask_public函数将根据读写权限,创建一个访问标记share_access,所述访问标记用mask的形式记录多种操作的权限;
27、对权限缓存进行更新,客户端实行具体的读写操作。
28、进一步地,所述采用所述samba组件解析云客户端主机配置的访问权限控制规则,根据所述vpc封装包的权限结果向云客户端主机返回响应,还包括:
29、所述samba组件从内核网络包中获取445端口socket携带的tcp option信息,解析出client vni、client vpc_ip、gw_ip信息;
30、从smb.conf配置文件中解析客户端配置的权限组规则,解析出allowd vni、allowed vpc_ip、allowed gw_ip、auth信息;
31、在云客户端主机发起连接请求时,所述samba组件判断获取的信息是否与配置文件中的ip相匹配,是否满足可访问要求,并根据权限结果给云客户端主机返回响应;
32、在客户端发起读写或查询请求时,所述samba组件检查读写权限是否满足要求,并根据权限结果给客户端返回响应;
33、在权限组规则发生变化时,所述samba组件将重载配置参数并根据最新的权限配置对客户端的权限做出修改。
34、根据本专利技术第二方面,本专利技术请求保护一种基于客户端身份四元组的samba服务访问控制装置,包括:
35、信息封装模块,获取虚拟私有云本文档来自技高网...
【技术保护点】
1.一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,包括:
2.根据权利要求1所述的一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,所述获取虚拟私有云环境下的云客户端主机的vpc属性信息,对所述vpc属性信息进行封装处理,得到vpc封装包并发送至服务端,还包括:
3.根据权利要求1所述的一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,所述采用CIFS协议进行IP权限管理,自定义云客户端主机的访问权限控制规则,还包括:
4.根据权利要求3所述的一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,所述IPV4自定义规则,还包括:
5.根据权利要求1所述的一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,所述IP白名单控制,还包括:
6.根据权利要求1所述的一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,所述读写权限控制,还包括:
7.根据权利要求1所述的一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,所述采用所述SAMBA组件解析云客户端主机配置的访问权限控制规则,根据所述vpc封装包的权限结果向云客户端主机返回响应,还包括:
8.一种基于客户端身份四元组的samba服务访问控制装置,其特征在于,包括:
9.根据权利要求8所述的一种基于客户端身份四元组的samba服务访问控制装置,其特征在于,所述逻辑调整模块中的IP白名单控制,还包括:
10.根据权利要求8所述的一种基于客户端身份四元组的samba服务访问控制装置,其特征在于,所述访问控制模块,还包括:
...
【技术特征摘要】
1.一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,包括:
2.根据权利要求1所述的一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,所述获取虚拟私有云环境下的云客户端主机的vpc属性信息,对所述vpc属性信息进行封装处理,得到vpc封装包并发送至服务端,还包括:
3.根据权利要求1所述的一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,所述采用cifs协议进行ip权限管理,自定义云客户端主机的访问权限控制规则,还包括:
4.根据权利要求3所述的一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,所述ipv4自定义规则,还包括:
5.根据权利要求1所述的一种基于客户端身份四元组的samba服务访问控制方法,其特征在于,所述ip白名...
【专利技术属性】
技术研发人员:田舟滨,雷旭东,樊晓光,康雨城,皇甫利刚,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。