10.5. 使用 manila 的安全服务

在创建了共享并获取其导出位置后，用户没有挂载它的权限，并使用文件操作。用户需要明确授予新共享的访问权限。

客户端身份验证和授权(authN/authZ)可与安全服务一同执行。如果共享驱动程序和后端支持，manila 可以使用 LDAP、Kerberos 或 Microsoft Active 目录。

安全服务 是一个 manila 实体，它抽象了一组选项，它们为特定共享文件系统协议（如 Active Directory 域或 Kerberos 域）定义安全区。安全服务包含 manila 创建加入给定域的服务器所需的所有信息。

通过使用 API，用户可以创建、更新、查看和删除安全服务。安全服务在以下假设中设计：

在创建安全服务时，您可以选择以下身份验证服务之一：

Manila 允许您使用以下选项配置安全服务：

现有的安全服务实体可以与共享网络实体关联，该实体向 manila 告知一组共享的安全性和网络配置。您还可以看到指定共享网络的所有安全服务列表，并将它们与共享网络关联。

管理员和用户作为共享所有者可以通过 IP 地址、用户、组或 TLS 证书创建通过身份验证的访问规则来管理对共享的访问。身份验证方法取决于您配置和使用的共享驱动程序和安全服务。然后，您可以将后端配置为使用特定的身份验证服务，该服务可在没有 manila 和 keystone 的情况下操作客户端。

通过驱动程序支持特定身份验证服务并不意味着可以使用任何共享文件系统协议进行配置。支持的共享文件系统协议包括 NFS、CEPHFS、CIFS、GlusterFS 和 HDFS。有关特定驱动程序及其安全服务配置的详情，请查看驱动程序厂商的文档。

有些驱动支持安全服务，而其他驱动则不支持上述任何安全服务。例如，带有 NFS 或 CIFS 共享文件系统协议的通用驱动程序只支持通过 IP 地址进行身份验证的方法。

生产 manila 部署的建议配置是使用 CIFS 共享协议创建共享，并将其添加到 Microsoft Active Directory 目录服务中。使用这个配置，您将获得集成 Kerberos 和 LDAP 方法的集中式数据库和服务。