超级会员免费看
笔记本移动账户创建与服务器安全配置指南
1. 移动账户创建与管理
1.1 规划与部署移动账户
在决定部署移动账户和便携式主文件夹之前进行规划,可避免时间和精力的浪费。基本规划和部署流程如下:
1. 确定用于管理移动设置的账户类型。
2. 研究移动账户和便携式主文件夹的选项。
3. 配置服务器上的目录和文件共享服务。
4. 通过将客户端绑定到目录并登录移动账户来完成连接,必要时创建便携式主文件夹。
1.2 利用计算机和组账户简化移动管理
账户类型包括用户、组、计算机(或机器)和计算机组。对于需要移动性和可移植性设置的多个账户,组和计算机组账户是最佳选择。
-
管理笔记本系统
:当多个系统的用户始终需要特定设置(如移动性)时,创建这些系统的组可简化工作。
-
管理桌面系统
:除非仅管理少数用户账户,否则也应使用组和计算机组。通常将笔记本和桌面系统分隔到不同的计算机组中。
-
创建计算机组
:需要一个或多个客户端绑定到共享目录,然后使用 Workgroup Manager 创建计算机组。
-
创建用户组
:若基于用户组而非计算机组管理设置,可按相应步骤创建用户组。还可创建嵌套组,节省管理大量用户账户的时间,并便于权限和管理设置的继承。
1.3 配置移动设置
要开始使用移动性,用户需要在共享目录中有一个账户。目录信息(包括 LDAP 账户和密码数据)会从共享目录缓存到本地系统。移动账户启用后,用户可在不连接账户数据所在网络的情况下注销和重新登录。
配置计算机组的移动设置步骤如下:
1. 打开 Workgroup Manager 并连接到共享目录。
2. 点击 Accounts 图标,然后点击账户列表上方的 Computer Groups 标签。
3. 点击 Preferences 图标。
4. 点击 Mobility 图标。
5. 选择 Account Creation 标签,然后点击 Creation 子标签。
6. 默认情况下,Manage 设置为 Never,选择 Always。
7. 选中 Create Mobile Account When User Logs in to Network Account 复选框。
8. (可选)取消选中 Require Confirmation Before Creating Mobile Account 复选框,以避免用户确认移动账户创建。取消选中 Show “Don’t Ask Me Again” 复选框,防止用户再次登录管理计算机时确认。
9. (可选)选择 Network Home and Default Sync Settings 或 Local Home Template 来创建新的主文件夹。
10. 点击 Apply Now 按钮保存设置。
11. (可选)点击 Account Creation 标签下的 Options 子标签。选择创建 FileVault 加密主文件夹的选项,并设置主文件夹的存储位置。
12. 选择 Use Computer Master Password, If Available 或 Require Computer Master Password 复选框。
13. 进行任何更改后,点击 Apply Now 按钮保存设置。
移动设置还有 Account Expiry 和 Rules 两个标签。Account Expiry 标签控制移动账户在移动计算机上的过期时间,Rules 标签用于配置便携式主文件夹的设置。
1.4 携带数据出行:便携式主文件夹
使用网络上兼容的文件共享服务创建便携式主文件夹,需要在目录中为用户主文件夹配置自动挂载共享点。虽然用户主文件夹的同步提供了硬件冗余,但它不能替代良好的备份策略。
创建用作移动主文件夹的共享点时,需为不同客户端选择正确的文件共享协议:
-
Mac 客户端
:主文件夹必须使用 AFP 协议共享。
-
Windows 客户端
:主文件夹必须使用 SMB 协议。
-
Linux 客户端
:可使用 SMB 或 NFS 协议。
使用 Server Admin 设置网络和便携式主文件夹的文件共享。配置移动主文件夹的步骤如下:
1. 打开 Workgroup Manager 并连接到共享目录。
2. 点击 Accounts 图标,然后点击账户列表上方的 Users 标签。
3. 在标签下的账户列表中,点击用户的姓名,然后点击 Server Admin 窗口右侧的 Home 标签。
4. 点击之前为用户主文件夹创建的共享点,然后点击 Save 按钮。
5. 选择 Computer Groups 标签,然后点击要使用的组的名称。
6. 点击 Preferences 图标,然后点击 Mobility 图标。
7. 点击 Rules 标签。
8. 点击 Home Sync 子标签。
9. 选择 Once 或 Always 设置每次登录或始终同步的设置,然后通过选择一个或多个复选框来决定同步间隔:
- At Login:用户登录账户时同步。
- At Logout:用户注销账户时同步。
- In the Background:自动同步,无用户通知。
- Manually:用户从系统偏好设置的 Accounts 面板或在登录时从 Home Sync 状态菜单中选择 Sync Now 触发同步。
10. (可选)设置同步位置列表。
11. (可选)在 Skip Items that Match Any of the Following 区域设置不同步的位置列表。
12. (可选)选中 Merge with User’s Settings 复选框,以合并用户在系统偏好设置的 Account 面板中设置的同步设置。
13. 点击 Preferences Sync 子标签,按 Home Sync 的步骤配置。
14. (可选)点击 Options 子标签,修改后台同步间隔或 Home Sync 状态菜单的默认设置。
15. 点击 Apply Now 按钮保存设置。
客户端连接到目录和文件共享并登录账户后,若启用了同步,登录和注销时用户会看到显示同步状态的窗口。用户还会看到 Home Sync 状态菜单和系统偏好设置中账户列表下的移动标签及 Mobile Account Settings 按钮。
2. 服务器安全配置
2.1 防火墙配置
防火墙可阻止某些类型的传入 Internet 流量,同时允许传出 Internet 流量。配置防火墙时,需允许与用户传出流量相应的传入流量。
-
是否需要运行防火墙
:若网络中已有其他服务器或安全网关设备上的防火墙,可能无需运行 Snow Leopard Server 的防火墙。但如果服务器充当 Internet 网关,或 Internet 连接直接进入无内置或运行防火墙的无线路由器,则需要运行服务器上的防火墙。
-
防火墙通过软件端口和端口类型(TCP 和 UDP)阻止传入流量
:每个服务都有相关的标准端口,如 IMAP 电子邮件的默认端口是 TCP 143,使用 SSL 加密时是 TCP 993。
2.2 使用 Server Preferences 设置防火墙
使用 Server Preferences 配置防火墙的好处是无需知道常见服务的端口号,只需选择希望防火墙允许的服务,Server Preferences 会自动设置端口。对于不太常见的服务,需要端口号。
设置步骤如下:
1. 点击 Security 图标,将大开关切换到 On 位置。
2. 点击 Add (+) 按钮,从 Add Service 弹出菜单中选择服务。
3. 若所需服务未列出,选择 Other,然后输入服务名称和端口号。
4. 重复步骤 2(必要时重复步骤 3),直到选择了希望防火墙接受传入连接的服务集。
5. 若要从列表中删除服务,选择它并点击 Delete (–) 按钮。
2.3 网络路由器和防火墙配置选项
若使用提供 Internet 连接、网络地址转换(NAT)和防火墙的网络路由器,有两种配置选项:
-
在服务器上运行防火墙
:在路由器上,将服务器设置为路由器的默认主机,使路由器将所有传入连接请求发送到服务器。
-
在路由器上运行防火墙
:需要在路由器上配置端口转发(或端口映射),将服务端口号的流量转发到服务器的 IP 地址。
2.4 使用 AirPort Extreme 或 Time Capsule 防火墙
若有 Apple 的 AirPort Extreme Base Station 或 Time Capsule 无线路由器,Server Preferences 的 Security 面板会显示一个额外的按钮,可选择在 Snow Leopard Server 或这些 Apple 设备中运行防火墙。
- 点击 Switch to AirPort Management 按钮,将防火墙设置为在设备上运行。
- 点击 Switch to Firewall Security 按钮,指定 Mac OS X Server 为防火墙提供者。
默认情况下,AirPort Extreme 和 Time Capsule 中的防火墙已开启。要在设备上保持防火墙运行,需使用 AirPort Utility 启用端口映射;要在服务器上运行防火墙,需使用 AirPort Utility 启用设备上的默认主机。更改 Security 面板设置后,可能需要重置 AirPort Extreme Base Station 或 Time Capsule,这会暂时中断 DHCP 服务和 Internet 连接。
2.5 使用 Server Admin 配置防火墙
Server Admin 对防火墙设置提供更精细的控制,不仅可选择允许通过防火墙的服务,还能添加自己的服务和端口,创建新的允许或阻止端口的规则。
-
启用防火墙
:
1. 打开 Server Admin 并选择左侧列中的服务器。
2. 点击工具栏中的 Settings 图标,然后点击 Services 标签。
3. 选中 Firewall 复选框,然后点击 Save 按钮。
4. 点击服务器左侧列中的三角形展开服务列表,选择 Firewall,点击左下角的 Start Firewall 按钮启动防火墙。点击相同按钮可停止防火墙,停止后所有传入流量将被允许。
-
允许服务通过防火墙并编辑端口
:
1. 点击服务器左侧列中的三角形展开服务列表,选择 Firewall。
2. 点击工具栏中的 Settings 图标,然后点击 Services 标签。
3. 选择希望允许流量的服务/端口。
4. 若要更改端口号、服务名称或协议,双击要编辑的服务,在对话框中进行更改。
5. 从 Protocol 对话框中选择 TCP、UDP 或 TCP and UDP,然后点击 OK。
6. 若要添加新端口,点击 Add (+) 按钮,输入服务名称、端口号并选择协议,点击 OK 后点击 Save 按钮。
-
创建地址组
:地址组可以是单个 IP 地址或由地址和子网掩码指定的地址范围。可使用 Netmask 表示法(如 192.168.0.0:255.255.255.0)或 CIDR 表示法(如 192.168.0.0/24)表示。
创建地址组的步骤如下:
1. 在 Server Admin 中,点击服务器左侧列中的三角形展开服务列表,选择 Firewall。
2. 点击 Settings 图标,然后点击 Address Groups 标签。
3. 点击 IP Address Groups 字段下方的 Add (+) 按钮。
4. 在新对话框中,输入地址组的名称,然后点击 Addresses in Group 字段右侧的 Add (+) 按钮。
5. 输入 IP 地址或带子网掩码的 IP 地址(使用 Netmask 或 CIDR 表示法)。
6. 继续使用 Add (+) 按钮添加希望规则影响的 IP 地址。
7. 若不想规则应用于某些 IP 地址,点击 Delete (–) 按钮删除。
8. 点击对话框中的 OK,然后点击 Save 按钮。
-
自定义防火墙规则
:若需要深入配置防火墙,可使用 Firewall Settings 的 Advanced 标签创建自己的规则。
创建自定义规则的步骤如下:
1. 在 Server Admin 中,点击服务器左侧列中的三角形展开服务列表,选择 Firewall。
2. 点击工具栏中的 Settings 图标,点击 Advanced 标签。
3. 点击 Add (+) 按钮或通过选择现有规则、点击 Duplicate 按钮并双击规则来复制现有规则。
4. 在对话框的上三分之一部分进行选择:
- 从 Action 弹出菜单中选择 Allow 或 Deny 定义通过防火墙的访问,选择 Other 可输入其他(更高级)命令。
- 从 Protocol 弹出菜单中选择 TCP、UDP 或 Other,选择 Other 可在字段中输入其他协议。
- 从 Service 弹出菜单中选择服务,也可选择 Other。
- 选中 Log All Packets Matching This Rule 复选框。
5. 选择要过滤的流量源,可从 Address 弹出菜单中选择地址组,或选择 Other 输入要过滤的源 IP 地址范围(使用 CIDR 表示法),若使用非标准服务端口,输入源端口号。
6. 选择要过滤的流量目的地,从 Address 弹出菜单中选择地址组,或选择 Other 输入目的地 IP 地址范围(使用 CIDR 表示法),若使用非标准服务端口,输入目的地端口号。
7. 在 Interface 弹出菜单中,选择 In 将规则应用于传入流量,选择 Out 将规则应用于服务器发送的数据包,选择 Other 可输入接口名称。
8. 点击 OK。
创建和部署自定义防火墙规则时需谨慎,以免意外阻止网络正常运行所需的流量。
通过以上步骤,可完成笔记本移动账户的创建与管理以及服务器的安全配置,确保用户数据的移动性和服务器的安全性。
3. 移动账户与服务器安全配置总结
3.1 移动账户配置要点回顾
| 配置项 | 要点详情 |
|---|---|
| 规划与部署 | 确定账户类型,研究选项,配置服务,完成连接并创建文件夹 |
| 账户管理 | 使用组和计算机组简化多账户管理,可创建嵌套组 |
| 移动设置 | 配置计算机组移动设置,包括账户创建、过期和规则设置 |
| 便携式主文件夹 | 选择正确协议创建共享点,配置同步设置 |
3.2 服务器安全配置要点回顾
| 配置项 | 要点详情 |
|---|---|
| 防火墙配置 | 根据网络情况决定是否运行,通过端口和类型阻止流量 |
| Server Preferences 设置 | 选择服务,自动设置端口,可添加自定义服务 |
| 路由器配置选项 | 在服务器或路由器上运行防火墙,对应不同设置 |
| AirPort 设备 | 可选择设备或服务器运行防火墙,注意重置影响 |
| Server Admin 配置 | 精细控制,包括启用、服务设置、地址组和规则创建 |
3.3 配置流程总结
graph LR
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
A(移动账户配置):::process --> B(规划与部署):::process
A --> C(账户管理):::process
A --> D(移动设置):::process
A --> E(便携式主文件夹):::process
F(服务器安全配置):::process --> G(防火墙配置):::process
F --> H(Server Preferences 设置):::process
F --> I(路由器配置选项):::process
F --> J(AirPort 设备):::process
F --> K(Server Admin 配置):::process
4. 常见问题与解决方案
4.1 移动账户同步问题
- 问题描述 :移动账户同步失败,可能出现文件未更新或冲突。
-
解决方案
:
- 检查网络连接,确保客户端与服务器正常通信。
- 查看同步设置,确认同步间隔和位置是否正确。
- 手动触发同步,在 Home Sync 状态菜单中选择 Sync Now。
4.2 防火墙配置问题
- 问题描述 :防火墙阻止了正常流量,导致服务无法访问。
-
解决方案
:
- 检查防火墙规则,确保允许所需服务的端口。
- 使用 Server Admin 查看详细日志,确定被阻止的流量来源。
- 调整规则,添加或修改允许的服务和端口。
4.3 账户创建问题
- 问题描述 :移动账户创建失败,用户无法登录。
-
解决方案
:
- 检查共享目录连接,确保客户端可以访问。
- 确认账户创建设置,如是否选择 Always 创建。
- 检查主密码设置,确保其有效性。
5. 最佳实践建议
5.1 移动账户管理
- 定期清理过期的移动账户,释放本地硬盘空间。
- 为不同类型的用户和设备创建不同的计算机组,便于管理。
- 教育用户正确使用移动账户和同步功能,避免数据丢失。
5.2 服务器安全
- 定期更新服务器软件和安全补丁,防止漏洞利用。
- 备份服务器数据,包括目录信息和用户主文件夹。
- 监控防火墙日志,及时发现异常流量和攻击。
5.3 配置优化
- 使用 Server Admin 进行精细配置,根据实际需求调整规则和设置。
- 测试新配置的防火墙规则和移动账户设置,确保不影响正常使用。
- 建立配置文档,记录所有设置和更改,便于后续维护。
通过遵循以上指南和建议,你可以有效地创建和管理笔记本移动账户,并确保服务器的安全性。在实际操作中,根据具体情况灵活调整配置,以满足不同的需求。
扫一扫
1067
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
