acl怎么开通物联网权限

导读：本篇文章首席CTO笔记来给大家介绍有关acl怎么开通物联网权限的相关内容，希望对大家有所帮助，一起来看看吧。

linux如何查看与设定ACL权限介绍(2)

body{

line-height:200%;

}

linux如何查看与设定ACL权限介绍(2)

1.查看ACL命令

[root@localhost~]#

getfacle

文件名

#查看acl权限

2.设定ACL权限的命令

[root@localhost~]#

setfacl

选项

文件夹

选项：

-m

设定ACL权限

-x

删除指定的ACL权限

-b

删除所有的ACL权限

-d

设定默认ACL权限

-k

删除默认ACL权限

-R

递归设定ACL权限。

3.给用户设定ACL权限

注意：其实我们说，不管windows还是Linux，需要给一个文件或文件夹分配权限，才可以在服务器上正常使用。只是对于个人用户来讲，大对数人都是管理员登录，根本没有考虑权限这个问题，但这样子对服务器安全性存在风险，因此需给用户组设定ACL权限。

4.给用户组设定ACL权限

root@localhost~]#

groupadd

tgroup2

root@localhost~]#

setfacl

-m

g:tgroup2:rwx

project/

#位组tgroup2分配ACL权限。使用“g:组名:权限”格式

双线接入如何在路由器上设置ACL

使用双路由，三块网卡，一个接局域网，网关192.168.0.1，一个接电信外网，一个接网通外网，具体参数你问运营商。

acl只需设置一个，包含整个内网网段，具体命令要看你的路由器是甚么型号的，路由器不同，命令不同。

对于思科类型的：

access-list 100 per source 192.168.0.0 0.0.0.255

对于华为：

acl num 2000

rule per source 192.168.0.0 0.0.0.255

然后把ACL应用到电信、网通外网口上。

至此，acl设置完成，但要实现访问网通的网站走网通的线路访问电信的网站走电信的线路，关键不在acl，而在于路由表，你可以到网上找电信或网通的IP地址段，比如将电信设置具体路由，然后默认路由指向网通出口。

kafka ACL常用权限操作

kafka ACL常用权限操作

使用bin/kafka-topics.sh创建

注意工具bin/kafka-topics.sh访问的是zookeeper而不是kafka，即他是一个zookeeper client而不是一个kafka client，所以它的认证都是通过zookeeper完成的。

Case 1：如果zookeeper没有配置ACL激活：

Case 2：如果zookeeper已经配置ACL激活：

命令还是前面的那个命令，但是必须提供java.security.auth.login.config指向jaas.conf文件。例如：

命令的配置可以直接修改jvm的启动脚本，或者设置在环境变量里：

这里配置的用户必须是zookeeper服务端已经配置运行可以访问的客户端用户。例如，下面的zookeeper服务端配置：

运行客户端为admin的用户作为zookeeper客户端连接访问。

查询topic操作的ACL认证，同前面创建topic操作的认证一样，不细说，参考前面。

删除topic操作的ACL认证，同前面创建topic操作的认证一样，不细说，参考前面。

producer用的脚本是/opt/kafka/bin/kafka-console-producer.sh，注意这个producer脚本是和kafka打交道的(相对bin/kafka-topics.sh是和zookeeper打交道的)，所以：

命令行格式：

文件/path/to/client-sasl.properties

还需要配置client用户信息，并传给JVM参数：

此时如果没有授权，则会得到如下错误信息：

赋予producer的权限：

这个选项--producer实际上在Topic域上创建了(Write/Describe/Create)3个子权限：

当然用户也可以单独创建者三个子权限。

consumer用的脚本是/opt/kafka/bin/kafka-console-consumer.sh，注意和生产者producer一样，consumer也是和kafka打交道的(相对于bin/kafka-topics.sh是和zookeeper打交道的)，所以：

命令行格式：

选项--from-begining可以调整成其他值；配置文件/path/to/client-sasl.properties和producer的一样，不细说，参考生产者。

此时如果没有授权，则会得到如下错误信息：

赋予consumer的权限：

和producer相比，consumer还有一个额外的参数--group，如果没有限制，则置成'*'即可；这个--consumer的选择实际上在Topic域上创建了(Read/Describe)2个子权限，然后在Group域创建了(Read)1个子权限：

这个地方我们注意一下，consumer没有Create的权限，所以如果kafka配置成auto.create.topics.enable=true，而此时topic不存在，那么consumer试图创建topic的时候会失败，那就需要一条单独的Create授权规则来给consumer增加Create权限。

权限管理工具以命令行的方式管理权限，可以增加/删除/列举所有的权限规则。

基本用法：

授权用户kafaclient具有Read topic kafaclient--topic的权限。

删除用户kafaclient具有Describe topic kafaclient--topic的权限。

查看当前在topic kafkaclient--topic上面的权限列表。

另外注意，和kafka-topics.sh一样，kafka-acls.sh也是直接访问zookeeper的，而不是访问kafka，所以它的认证方式和kafka-topics.sh是一样的：

详细的用法配置请参考kafka-topics.sh部分，不细说。

在kafka2.0之后引入了--resource-pattern-type这个参数，可以针对特定的资源(topic)命名规则，例如前缀，来为某一类的topic添加规则。而之前的办法只能读完整的topic设置规则，字符' '表示所有的，这不是规则表达式匹配任意字符的意思，而就是文本字符' '。

例如：

授权用户kafkaclient具有访问所有以'kafkaclient--'开头的topic的权限；这样带来的好处是，以后我们使得kafkaclient创建的topic全部以'kafkaclient--'开头，那么就不需要再为这些topic创建rule，一条rule就能够动态的管理新加的topic。

其实我对这个还是不满意，如果能够定义灵活规则就好了；因为上面的限制，我还是需要为每一个用户添加一条规则，而我想为所有的用户只用一条规则，这条规则就是：任何用户具有访问以这个用户名开头的所有的topic；这样不管以后新加topic还是新加用户，都不用再新加rule了。遗憾的是目前kafka还是不支持这个功能。类似：

如何管理 Windows 的 ACL 权限

概述

Synology NAS 支持的 ACL 服务，可让专业 IT 人员利用熟悉的 Windows 使用经验，方便地微调公司数据的安全性层级。所有使用者及群组的权限，可在富有弹性的权限规则下，于根层级 (共享文件夹) 及文件层级 (子文件夹及文件) 中设置，并且将设置套用至 Synology NAS 提供的其他文件分享服务：File Station、FTP、NFS、AFP。

本文章将引导您管理 Synology NAS 的 ACL 权限，并将 ACL 适当地从 Windows 服务器移转至 Synology NAS。

什么是 ACL？

访问控制列表 (Access Control List, ACL) 是 Windows 环境下依附于对象 (如文件、文件夹、或程序) 的访问控制项目 (Access Control Entry, ACE)。ACL 中的每个项目决定了用户或群组对象的访问权限。举例来说，如果 ACL 项目依附在「业务及会计报表」文件上的内容如下：「授权：业务 - 只读；授权：会计 - 修改；拒绝：工程师 - 禁止存取)」，那么属于「会计」群组的使用者拥有修改文件的权限，而业务经理只拥有读取的权限，工程师则连存取的权限都没有。

Synology NAS 支持的 ACL 功能，可能会提示您将文件从 Windows PC 移转至 Synology NAS。运行移转之前，请记住一件事：数据迁移过程中如有差错，很可能会导致 ACL 信息遗失。为避免此事发生，本文的最后一个章节将说明如何适当地移转 ACL 权限。

内容

开始进行之前的准备

管理 DiskStation 的 ACL

将 ACL 设置从 PC 服务器上移转

1. 开始进行之前的准备

本文章假设您已经为 DiskStation 完成以下的准备工作：

Synology DiskStation 的硬件安装

Synology DiskStation Manager 的软件安装 (DSM，网页接口的 DiskStation 操作系统)

建立存储空间及共享文件夹 (请参阅此处)

建立 DSM 本机使用者 (请参阅此处)

将 Synology DiskStation 加入 Windows ADS 网域 (请参阅此处)

请参阅快速安装指南来了解更多硬盘及软件安装方式的相关信息。您也可以参阅 Synology DiskStation 使用手册 (可于 Synology下载中心取得) 来对本文介绍的各主题有概略的认识。

注意：

ACL 信息只能存储于以 DSM 3.0 及以上版本建立的存储空间，DSM 2.3 及之前的版本则不支持 ACL。

以下为无法启动 ACL 的共享文件夹：photo、surveillance、web、homes、NetBackup、usbshare、sdshare、esatashare。

2. 管理 DiskStation 的 ACL

如果 DiskStation 上的存储空间是以 DSM 3.0 及以上版本建立而成，身为管理员的您 (DSM admin 或是属于 administrators 群组的使用者，亦或是网域管理员) 不仅可以为存储空间上的共享文件夹启动 ACL、通过 Windows 计算机存取文件夹上的文件，还可以为下列使用者或群组指定文件夹 (及其数据) 的 ACL 访问权限：

如果 DiskStation 有加入 ADS 网域，您可以为网域使用者或群组指定 ACL 访问权限。

如果 DiskStation 没有加入 ADS 网域，您可以为 DSM 本地使用者或群组指定 ACL 访问权限。

本章节说明如何为 DiskStation 共享文件夹启动 ACL，以及如何为共享文件夹中的文件编辑 ACL 访问权限。

重要：如果您想为网域使用者或群组编辑 ACL 权限，请确认您的 Windows 计算机及 DiskStation 是否已加入同一个 ADS 网域。

若要为 DiskStation 共享文件夹启动 ACL：

请以管理员 (DSM admin 或是属于 administrators 群组的使用者) 或是网域管理员的身分登入 DSM。

注意：如果您想以网域管理员的身分登入，请在使用者名称字段输入网域_名称\使用者名称。

前往主选单 控制面板 共享文件夹，然后新增或选择存储空间上的目的地共享文件夹，该存储空间必须是以 DSM 3.0 及以上版本建立而成。

单击编辑，单击 Windows 访问控制列表页签，选择允许编辑 Windows 访问控制列表，然后单击确定。

选择文件夹列表上的共享文件夹，单击权限设置，然后运行下列操作，以确认管理员确实拥有存取共享文件夹的完整权限：

如果 DiskStation 有加入 ADS 网域，请从下拉式选单选择网域使用者，确认网域管理员拥有该共享文件夹的读写权限，然后单击确定。

如果 DiskStation 没有加入 ADS 网域，请从下拉式选单选择本地使用者，确认 DSM 管理员 (admin 或是属于administrators 群组的使用者) 拥有该共享文件夹的读写权限，然后单击确定。

若要为使用者或群组指定文件或文件夹的 ACL 权限：

请参阅此处的方法 2 来学习如何通过 CIFS 存取 DiskStation 上存放的文件。当画面上出现认证信息提示时，请使用若要为 DiskStation 共享文件夹启动 ACL 章节中提到的使用者凭证信息：

如果 DiskStation 有加入 ADS 网域，请使用网域管理员的使用者凭证信息来进行认证。

如果 DiskStation 没有加入 ADS 网域，请使用 DSM 管理员的使用者凭证信息来进行认证。

以鼠标右键点按共享文件夹里的文件或文件夹，选择内容，然后单击安全性页签。您可以在这里看到用户或群组清单，及其文件或文件夹的 ACL 权限。依照预设，Everyone 群组 (包括所有 DSM 本地群组及网域群组) 拥有读、写、修改共享文件夹中文件或文件夹的权限。

单击编辑 新增 (在 Windows XP 环境下请直接按新增)。在显示的窗口中，您会在从这个位置字段中看到以下任一信息：

如果 DiskStation 有加入 ADS 网域，您可以看到 ADS 网域的名称。

如果 DiskStation 没有加入 ADS 网域，您可以看到 DiskStation 的 IP 或 DiskStation 的名称。

请在输入对象名称来选取字段输入以下任一信息：

如果 DiskStation 有加入 ADS 网域，请输入网域使用者 / 群组的名称，单击检查名称来验证该使用者 / 组名，然后单击确定。

如果 DiskStation 没有加入 ADS 网域，请输入 DSM 本地使用者 / 群组的名称，单击检查名称来验证该使用者 / 组名，然后单击确定。

现在您已经可以在清单上看到新增的使用者或群组。选择使用者或群组，然后勾选 [使用者或群组] 的权限区块中的允许或拒绝复选框，以设置他们存取文件夹或文件的权限 (请见第 2 步骤)。

单击套用。

关于权限继承及冲突：

ACL 权限采继承制，由父对象延伸至子对象。举例来说，如果「业务」文件夹的 ACL 项目赋予用户「小美」只读的权限，那么 ACL 项目就可以套用到「业务」文件夹里的所有文件 (例如：「年度报表.xls」)，也就是说，使用者可以开启文件夹中所有文件。继承权限会以灰色复选标记显示，父对象权限则以黑色表示。

若是遇到权限冲突的情况，优先层级会落在拒绝权限上。在上述例子中，基于权限继承的特性，小美拥有「业务」文件夹以及该文件夹内「年度报表.xls」的只读权限。如果现在情况改变，小美在「业务」文件夹的只读权限被拒绝，但仍赋予其「年度报表.xls」的只读权限，她还是无法开启「年度报表.xls」，因为从「业务」文件夹继承而来的拒绝权限优先于其他存取规则。

3. 将 ACL 设置从 PC 服务器上移转

在办公环境下，所有计算机都会一并加入同一个 ADS 网域，但如果 PC 服务器的存储空间出现不足的情况，IT 专业人员可能就需要以 Synology DiskStation 取代 PC 服务器，做为公司的数据中心。不过，在数据迁移的过程中，一定会遇到一件令人头痛的事：原先设置好的 ACL 权限无法原封不动地搬移至目的地文件夹 (请参阅此处来取得详细信息)。

如何使用 Windows ACL 管理 QNAP NAS 的用户权力

QNAP NAS 管理者可使用 Windows ACL 功能透过 Windows Explorer 设定 NAS 本机及网域用户的目录及档案权限。管理者可于Windows XP、Vista、Windows 7、Windows Server 2003 及 Windows Server 2008新增、修改及移除 NAS 上的档案及文件夹的 Windows ACL。

注意：如要使用此服务， QNAP NAS 的韧体版本必须为 v3.7.0 或以上。

启用 Windows ACL

以 admin 账号登入 NAS，在 [权限管理] [共享文件夹] [进阶权限] 页面选择 [启用Windows ACL]，按 [全部套用]。

注意：如只启用 Windows ACL 而没有启用进阶文件夹权限，权限设定只会套用至 Samba 服务。如需将权限设定套用到 Samba、FTP、AFP 及 Web File Manager，请同时勾选 [启动进阶文件夹权限]。

设定基本权限

使用一台 Windows PC，开启 File Explorer，并以 Samba 联机到 NAS 的共享文件夹。在共享文件夹上按鼠标右键，选择 [属性]，然后选择 [安全性]，即会出现权限设定选单。按 [编辑]。

选择需要修改的账号名称（NAS 本机或网域使用者），根据需求设定权限，完成后按 [确定]。

设定进阶权限

要设定进阶权限，在共享文件夹上按鼠标右键，选择 [属性]，然后选择 [安全性]，按 [高级]。

按 [编辑] 设定进阶权限。设定完成后按 [确定]。

计算有效权限

要计算有效的权限设定，在共享文件夹上按鼠标右键，选择 [属性]，然后选择 [安全性]，按 [高级]。

在 [对象或用户名称] 字段按 [选择用户]，输入需要计算的账号或群组，按 [确定]。

窗口会显示该账号或群组的有效权限设定。

结语：以上就是首席CTO笔记为大家整理的关于acl怎么开通物联网权限的全部内容了，感谢您花时间阅读本站内容，希望对您有所帮助，更多关于acl怎么开通物联网权限的相关内容别忘了在本站进行查找喔。