UserNameMapping和ServicesforUNIXNFS支持.doc

User Name Mapping 和 Services for UNIX NFS 支持 操作系統(tǒng) 技術指南 摘要 Microsoft Windows Services for UNIX 2.0 包括 User Name Mapping。這是一個在 Windows 和 UNIX 的名稱空間之間映射用戶名的組件。 引言 Windows 和 UNIX 操作系統(tǒng)使用不同的機制來進行用戶標識、身份驗證和資源訪問控制。在異構網(wǎng)絡中，用戶在 UNIX 網(wǎng)絡和 Windows 網(wǎng)絡中各有帳戶。由于 Windows 和 UNIX 的用戶標識和用戶名在存儲與使用方面各不相同，因此，即使兩個網(wǎng)絡中的用戶相同，這兩套名稱之間也沒有關聯(lián)。 采用不同用戶名和不同標識機制的獨立名稱空間給提供跨域資源訪問的服務帶來了問題。為了使這些服務正確運行，這些服務需要使用其各自的名稱空間中的用戶標識。另一方面，用戶喜歡使用他們習慣的名稱空間。 本指南講述如何在基于 Windows 的網(wǎng)絡的用戶名和基于 UNIX 的網(wǎng)絡的用戶名之間進行相互映射。 NFS 中的用戶標識 默認情況下，NFS 協(xié)議使用 UNIX 用戶標識進行訪問控制。這種用戶標識通常由用戶標識符 (UID) 和組標識符 (GID) 組成?；?Windows 的 NFS 服務器必須從 NFS 請求中識別出 Windows 名稱空間中的請求用戶。由于基于 Windows 的計算機和域不使用 UID 和 GID 進行標識，因此需要從 NFS 請求中包含的 UID 和 GID 到 Windows 用戶名進行映射?；?Windows 的 NFS 客戶機需要在轉(zhuǎn)發(fā) NFS 請求之前先將請求的 Windows 用戶的用戶名映射到 UID/GID。 訪問基于 UNIX 的 NFS 資源的 Windows 用戶需要提供 UNIX 標識 (UID/GID)。這就要求 Windows 用戶使用他們的 UNIX 用戶名和密碼在 UNIX 網(wǎng)絡中驗證自己的身份。 管理問題 許多基于 Windows 的 NFS 產(chǎn)品（或提供跨域進行資源訪問的其它服務）在每臺計算機上都創(chuàng)建映射，提供跨平臺標識的 NFS 服務。由于增加、刪除或更改帳戶時，每臺計算機或服務器上的映射都必須保持一致，所以維護這些映射既困難又耗時。提供這些服務的所有服務器必須具有一致的映射，以便從網(wǎng)絡中任何位置都可以訪問資源。 User Name Mapping User Name Mapping 是 Services for UNIX 的一個組件。該組件提供在基于 Windows 的網(wǎng)絡用戶名和基于 UNIX 的網(wǎng)絡用戶名之間進行相互映射的功能。對于那些在基于 Windows 和基于 UNIX 的域中具有不同身份的用戶，這是將兩個網(wǎng)絡中的用戶名關聯(lián)起來的一種方法。該組件的設計目標如下： 在網(wǎng)絡間共享一套用戶名映射。Client for NFS、Server for NFS 和 Gateway for NFS 的多個實例應只使用一套映射。這將使用戶在使用任意計算機上的任意 NFS 產(chǎn)品時可以進行一致的訪問。 減輕維護提供 NFS 服務或遠程 Shell 程序服務 (Remote Shell Service) 的所有 Windows 計算機上的映射管理任務。 使 Windows 用戶通過一次注冊即可訪問基于 UNIX 的 NFS 資源。用戶不必記住兩套用戶名和密碼，也不必分別對兩個操作系統(tǒng)進行注冊。 User Name Mapping 在 Windows 和 UNIX 的用戶名之間創(chuàng)建映射。這些映射是以表的形式來維護的，如表 1 所示。 表 1 Windows 和 UNIX 之間的用戶名映射。 Windows 用戶名Windows 域UNIX 用戶名UNIX 域UID/GIDJohnDoeIndwindowsJohndIndunix1090/201MaryjaneIndwindowsMaryjIndunix1223/201所有 Services for UNIX 網(wǎng)絡文件服務 (NFS) 組件 - Server for NFS、Client for NFS 和 Gateway for NFS - 都使用 User Name Mapping 對 NFS 進行標識和資源訪問。 User Name Mapping 的益處 中央映射服務器 User Name Mapping 可以部署在組織內(nèi)部的單個節(jié)點上，而網(wǎng)絡中所有的 NFS 組件都可以訪問該映射服務器。這允許從所有計算機中進行一致的 NFS 訪問。使用一臺中央服務器還有助于降低管理成本。 允許進行簡單和高級映射 使用 User Name Mapping，可很方便地在基于 Windows 的網(wǎng)絡和基于 UNIX 的網(wǎng)絡中用戶名相同的用戶之間進行映射。使用簡單映射，UNIX 和 Windows 網(wǎng)絡中用戶名相同的用戶被自動映射，而無需管理員的介入。使用 User Name Mapping 中的高級選項,還可以映射用戶名不同的用戶。 支持多個基于 Windows 的域和基于 NIS 的域 User Name Mapping 可以在任何 NIS 域的多個用戶名和任何 Windows 域的一個用戶名之間建立高級映射。這允許映射服務器能夠在多個域間共享。 映射用戶和組 User Name Mapping 服務既可以映射用戶名，又可以映射兩個名稱空間之間的組名。 定期刷新 NIS、PCNFS 和 Windows 用戶名 User Name Mapping 定期刷新 Windows 域控制器和基于 NIS 的服務器或 PCNFS 中的用戶名。無論是在 UNIX 域還是在 Windows 域中添加或刪除了一個用戶，均可自動添加或刪除映射。該功能的主要優(yōu)點是，無需管理員介入即可更改 UNIX 和 Windows 名稱空間中的用戶。 提供命令行、圖形界面和遠程管理能力 可使用圖形用戶界面 (GUI) 或命令行實用程序創(chuàng)建、維護和管理用戶名映射。這可簡化用戶名映射的管理工作。 支持對映射進行備份和還原 User Name Mapping 可以將已創(chuàng)建的映射保存到文件中，或是從文件裝載它們，并填充映射服務器。該功能特別適用于將映射備份到 User Name Mapping 服務器的地址失敗中。 允許多個 Windows 用戶映射到一個 UNIX 用戶 使用 User Name Mapping 可很方便地將多個 Windows 用戶名映射到一個 UNIX 用戶名。當 UNIX 和 Windows 用戶之間沒有一一對應關系時，這是非常有用的。當必須按照不同等級的訪問特權提供對基于 UNIX 的文件服務器的訪問時，可能要用到這一功能。 驗證 UNIX 用戶名和密碼 User Name Mapping 使用 UNIX 加密算法驗證 UNIX 用戶名和密碼，并提供 UNIX 標識。在 Windows 用戶要求使用用戶未映射到的 UNIX 帳戶訪問 UNIX 資源的情況下，這是非常有用的。 安裝 User Name Mapping 安裝 User Name Mapping User Name Mapping 可以作為 Services for UNIX 的組件安裝到任何一臺運行 Windows NT 4.0 或 Windows 2000 的計算機上。然而，為了將它作為中央服務器使用，應該將它安裝到作為服務器級計算機使用的 Windows NT 4.0 或 Windows 2000 服務器上。默認情況下，該組件沒有被選中，而且必須在自定義安裝中才能選中它。既可以使用 GUI 工具也可以使用命令行工具來安裝 User Name Mapping。 配置 NFS 組件 Services for UNIX NFS 組件、Server for NFS、Client for NFS 和 Gateway for NFS，都可以配置為使用特定 User Name Mapping 服務器。還可以在安裝 Services for UNIX 期間配置 User Name Mapping 服務器的名稱。另外，可以對 User Name Mapping 服務器進行設置，以便使用 Services for UNIX 管理?？梢詾槊恳粋€ NFS 組件選擇要使用的 User Name Mapping 服務器。 如果您的瀏覽器不支持行內(nèi)框，請單擊此處查看獨立的頁面。 圖 1 Services for UNIX 管理中 Server for NFS 屏幕的實例。 安裝 Server for NFS Authentication 為了使 Server for NFS 正確運行，還必須安裝 Server for NFS Authentication。Services for UNIX 要求將 Server for NFS Authentication 和 Server for NFS 安裝到同一臺計算機上。如果要使用 User Name Mapping 將 UNIX 用戶名映射到本地 Windows 用戶名，那么這就是必要的。在本地服務器運行的 Server for NFS Authentication 便于使用 Windows 用戶帳戶訪問 NFS 資源。 為了便于使用 Windows 域用戶的憑據(jù)訪問 Server for NFS 上的 NFS 資源，必須將 Server for NFS Authentication 安裝到該 Windows 域中的所有域控制器上。如果要使用 User Name Mapping 將 UNIX 用戶名映射到 Windows 域用戶名，那么這就是必要的。此外，還必須將 Server for NFS Authentication 安裝到要映射 UNIX 用戶的所有域的域控制器上。 例如，假設用戶名為 paul 的 UNIX 用戶與 ntphyslab (ntphyslabpaulv) 域中的 Windows 用戶 paulv 是同一個人。當 paul 使用 UNIX 客戶機訪問駐留在 Windows 服務器上的 NFS 文件時，Server for NFS 必須使用 ntphyslabpaulv 的憑據(jù)才能訪問這些 NFS 文件。為了使訪問成功，必須將 Server for NFS Authentication 安裝到 ntphyslab 域中的所有域控制器上。 配置 User Name Mapping 在配置 User Name Mapping 之前，必須先掌握某些信息。 1. 確定基于 UNIX 的網(wǎng)絡是使用 NIS 還是使用 /etc/passwd 和 /etc/group 文件。還需要確定是否使用 PCNFS 來驗證基于 Windows 的 NFS 客戶機的身份。 2. 如果使用 NIS，確定 Windows 主域和 UNIX NIS 主服務器，以便在它們之間映射用戶名。多數(shù)用戶將在這兩個域中設立帳戶。 3. 如果使用 PCNFS 服務器，必須使用基于 Windows 的 PCNFS 服務器，才能用 User Name Mapping 通過該服務器進行用戶名映射。您應該知道 Windows PCNFS 服務器使用的密碼和組文件的位置。 4. 對于多數(shù)用戶來說，在 Windows 域和 UNIX 域中的用戶名應是相同的。這些用戶可以使用 User Name Mapping 提供的 Simple Mapping 進行映射。對于具有不同用戶名的用戶，必須使用 Advanced Mapping 進行映射。您應當編制一個具有不同用戶名的用戶列表。 5. Simple Mapping 只允許在一個 Windows 域和另一個 UNIX NIS 域 (或 PCNFS) 之間存在一個映射。對于其他 Windows 域或 UNIX 域中的用戶，必須使用 Advanced Mapping 進行映射。 6. 如果需要拒絕某些用戶的訪問或為他們提供“匿名”特權，就必須使用 Advanced Mapping 來映射他們的用戶名。 7. 如果需要將多個 Windows 用戶映射到一個 UNIX 用戶，則必須使用 Advanced Mapping。這主要適用于 Client for NFS 或 Gateway for NFS。必須使用少量的“訪問級別”為大量 Windows 用戶提供 NFS 訪問時，這是非常有用的。 Simple Mapping 假設一個組織具有許多 Windows 域和 UNIX NIS 域，參見圖 2。該組織想要在名為 ntphyslab 的 Windows 域中某臺計算機上安裝 Server for NFS。在一個同時具有 UNIX 和 Windows 計算機的組織中，如果用戶在 UNIX 域和 Windows 域中都具有帳戶，使用 Simple Mapping（簡單映射）可以很方便地地映射這些用戶。如果想要訪問該 NFS 服務器的多數(shù) UNIX 用戶具有此 Windows 域中的帳戶，也具有另一個 UNIX 域中的帳戶，簡單映射將提供最簡單的映射方式。假設多數(shù) NFS 用戶在名為 uxphyslab 的 UNIX 域中具有帳戶。 如果您的瀏覽器不支持行內(nèi)框，請單擊此處查看獨立的頁面。 圖 2 ntphyslab 和 uxphyslab 之間的映射。 在該例中，應使用簡單映射來映射 ntphyslab 和 uxphyslab 之間的用戶名。 假設一部分用戶在基于 UNIX 和 Windows 的域中都具有帳戶。一旦在這兩個域之間都啟用了 Simple Mapping，這些用戶將被自動映射到彼此的域，并且管理員不必分別映射這些用戶名。 ntphyslab 和 uxphyslab 域具有大量公用的用戶和組。我們已經(jīng)配置了 User Name Mapping，以便在這兩個域之間創(chuàng)建簡單映射。 圖 3 表示 UNIX 域 uxphyslab 和 Windows 域 ntphyslab 之間的相互映射。在這兩個域中具有相同用戶名的所有用戶都已相互映射。例如，它將 Windows 用戶 john 和 UNIX 用戶 john 相關聯(lián)。 如果您的瀏覽器不支持行內(nèi)框，請單擊此處查看獨立的頁面。 圖 3 Services for UNIX 管理中 User Name Mapping 屏幕的實例。 利用 Client for NFS 訪問 NFS 資源 假設要使用 Client for NFS 從一臺 Windows 2000 計算機連接到 UNIX NFS。在該例中，使用 Windows 計算機的 mary 想安裝一個 UNIX NFS 共享 (157.60.253.91y)。如下圖所示，ntphyslabmary 被映射到 uxphyslabmary。在 UNIX 域中，mary 的 UID/GID 為 627/200。 Mary 使用她自己的 Windows 憑據(jù)，通過 net 命令連接到一個 UNIX 共享，請參見圖 4. Client for NFS 使用 User Name Mapping 將 ntphyslabmary 映射到 uxphyslabmary。由于 Mary 已在 ntphyslab 域中進行了身份驗證，所以 Client for NFS 不要求她在 UNIX uxphyslab 域中進行身份驗證。它使用 User Name Mapping 在 NFS 請求中提供的 uxphyslabmary 的 UID 和 GID。這使用戶能夠通過一次注冊1即可訪問多個 UNIX NFS 共享。注意，用來（通過驅(qū)動器 i:）安裝和訪問該 NFS 共享的 UID/GID 是 627/200，它屬于 uxphyslabmary。 如果您的瀏覽器不支持行內(nèi)框，請單擊此處查看獨立的頁面。 圖 4 作為 ntphyslabmary 運行的 Windows 命令會話實例。 Client for NFS 還允許使用 UNIX 用戶名和密碼連接到 NFS 共享。它不使用 User Name Mapping 來映射用戶名。而是通過 User Name Mapping 使用 UNIX 用戶名和密碼來驗證該 UNIX 域用戶的身份。User Name Mapping 使用 NIS 或 PCNFS 來驗證用戶名和密碼。 圖 5 表示在該 UNIX 計算機上的 ls 的輸出。注意，該文件的 UID 和 GID 是被映射用戶即 uxphyslabmary 的 UID 和 GID。 如果您的瀏覽器不支持行內(nèi)框，請單擊此處查看獨立的頁面。 圖 5 UNIX 計算機上 ls 輸出的實例。 利用 Server for NFS 訪問文件 一旦通過 User Name Mapping 建立了映射，UNIX 用戶即可在 Server for NFS 上安裝并訪問 NFS 共享。根據(jù) Windows 計算機上映射用戶的憑據(jù)，為訪問文件的 UNIX 用戶提供訪問權。UNIX 計算機的文件訪問權與該文件的權限位是一致的。下例說明 UNIX 根如何安裝由 Server for NFS 計算機導出的 NFS 共享。此例還說明 UNIX 用戶如何在該計算機上創(chuàng)建文件或目錄?？梢钥闯?，該用戶創(chuàng)建的文件的 UID 和 GID 是正確的。 roottpilx2 /root# showmount -e vivekn02Export list for vivekn02:/nfstest (everyone)roottpilx2 /root# mount vivekn02:/nfstest /mnt/sfunfsroottpilx2 /root# cd /mnt/sfunfsroottpilx2 sfunfs# lsroottpilx2 sfunfs# su marymarytpilx2 sfunfs$ touch mary.file.1marytpilx2 sfunfs$ mkdir mary.dir.1marytpilx2 sfunfs$ ls -altotal 3d-rwx 2 root root 64 Apr 25 15:11 ./drwxrwxrwx 18 root root 1024 Apr 25 12:43 ./drwxr-xr-x 2 mary theory 64 Apr 25 15:11 mary.dir.1/-rw-r-r- 1 mary theory 0 Apr 25 15:11 mary.file.1marytpilx2 sfunfs$roottpilx2 sfunfs# su joshuajoshuatpilx2 sfunfs$ touch joshua.file.1joshuatpilx2 sfunfs$ ls -altotal 3d-rwx 2 root root 64 Apr 25 15:11 ./drwxrwxrwx 18 root root 1024 Apr 25 12:43 ./-rw-r-r- 1 joshua nuclear 0 Apr 25 15:12 joshua.file.1drwxr-xr-x 2 mary theory 64 Apr 25 15:11 mary.dir.1/-rw-r-r- 1 mary theory 0 Apr 25 15:11 mary.file.1joshuatpilx2 sfunfs$ touch mary.file.1touchmary.file.1:Permission deniedUNIX 用戶在 Windows 計算機上創(chuàng)建的文件是使用映射的 Windows 用戶的憑據(jù)創(chuàng)建的。文件所有權、該文件的主組以及該文件在 Windows 計算機上的 DACL，都是根據(jù)映射進行設置的。以 uxphyslabmary 創(chuàng)建的文件 mary.file.1 為例。該 UNIX 用戶被映射到 Windows 用戶 ntphyslabmary，后者是 Windows 計算機上的文件。該文件的 ACL 如下： C:nfstestcacls mary.file.1C:nfstestmary.file.1 NTPHYSLABmary:(special access:)/DELETEREAD_CONTROLSYNCHRONIZEFILE_GENERIC_READFILE_GENERIC_WRITEFILE_READ_DATAFILE_WRITE_DATAFILE_APPEND_DATAFILE_READ_EAFILE_WRITE_EAFILE_READ_ATTRIBUTESFILE_WRITE_ATTRIBUTESNTPHYSLABtheory:(special access:)READ_CONTROLSYNCHRONIZEFILE_GENERIC_READFILE_READ_DATAFILE_READ_EAFILE_READ_ATTRIBUTESEveryone:(special access:)READ_CONTROLSYNCHRONIZEFILE_GENERIC_READFILE_READ_DATAFILE_READ_EAFILE_READ_ATTRIBUTES該文件的所有權和主組關系以及 mary.file.1 文件的安全描述符的設置如下： Owner:NTPHYSLABadministrator (User): (S-1-5-21-339783794-3065341851-447533925-500)PrimaryGroup:NTPHYSLABtheory (Group): (S-1-5-21-339783794-3065341851-447533925-1120)Advanced Mapping User Name Mapping 提供了 Advanced Mapping，在這里任何域中的 Windows 用戶都可以映射到 UNIX 用戶。（參見圖 6。） 1. 映射那些在 Windows 和 UNIX 域中具有不同用戶名的用戶。假設 Peter Johnson 的 Windows 用戶名為 pete_Johnson，而其 UNIX 用戶名為 peterj。為了映射這兩個用戶名，我們使用高級映射。使用這種映射時，Peter 使用 pete_Johnson 帳戶在 UNIX NFS 服務器上創(chuàng)建的文件將被標記為由 peterj 所擁有。同樣，peterj 可以從 UNIX NFS 客戶機訪問 pete_johnson 所擁有的文件。 如果您的瀏覽器不支持內(nèi)嵌式框架頁，單擊這里瀏覽獨立的頁面。 圖 6 Services for UNIX 管理中顯示 Advanced Mapping 的 User Name Mapping 屏幕的實例。 在下例中，當 Peter 以 pete_johnson 身份登錄到一臺 Windows 計算機時，他在 UNIX NFS 服務器上創(chuàng)建了一個文件： c:sectoolsnet use * 192.168.238.17UITests1 /u:ntphyslabpete_johnsonThe password is invalid for 192.168.238.17UITests1.Type the password for 192.168.238.17UITests1:Drive L:is now connected to 192.168.238.17UITests1.The command completed successfully.C:sectoolsmountLocal Remote Properties-/L:192.168.238.17UITests1 UID=755, GID=147rsize=32768, wsize=32768mount=soft, timeout=0.8retry=5, locking=yeslang=euc-jpC:touch l:pete.file.1The following output shows the listing of this file on the UNIX computer:# ls -al pete*-rwxr-xr-x 1 peterj particle 0 Apr 29 06:13 pete.file.1在 User Name Mapping 中創(chuàng)建的用戶映射也適用于從 UNIX NFS 客戶機訪問 Server for NFS 共享。在下例中，當 Peter 以 peterj 身份從 UNIX NFS 客戶機登錄時，在 Server for NFS 共享上創(chuàng)建一個文件： # mount 157.60.253.92:/nfstest /mnt/nfstest# su peterj$ cd nfstest$ cat peterj.file.2This is a file$ ls -al pet*-rw-r-r- 1 peterj particle 15 Apr 29 07:05 peterj.file.2在 Windows 計算機上，該文件的所有者、組和 DACL 表明，該文件為預期的 Windows 用戶所有。 Owner:NTPHYSLABpete_johnson (User): (S-1-5-21-339783794-3065341851-447533925-1122)PrimaryGroup:NTPHYSLABparticle (Group): (S-1-5-21-339783794-3065341851-447533925-1118)2. 映射那些與簡單映射中的域不同的域中的用戶。如果不同域中的用戶需要訪問 NFS 資源，或用戶為移動用戶，這將非常有用。在上例中（參見圖 6），由于 pradeeps 在 nfslab NIS 域中有一個帳戶，我們將 ntphyslabpradeeps 映射到了 nfslabpradeeps。 3. 將多個 Windows 用戶映射到一個 UNIX 用戶。假設 UNIX 有一個稱為 spec 的帳戶，該帳戶具有一定的文件訪問權限。Windows 域 ntphyslab 中的 yench 和 zoe 都需要訪問該帳戶，以便更新這些文件。通過將 zoe 和 yench 都映射到 nfslabspec，使他們二人都可以訪問用戶帳戶 spec 所擁有的文件，即可達到此目的。注意，只能將多個 Windows 用戶名映射到一個 UNIX 帳戶，反之則不行。同樣，可以將 UNIX 用戶映射到 Windows 用戶。這為將 UNIX 用戶更改為匿名用戶，從而訪問 Server for NFS 上的 NFS 資源提供了一條途徑。 在下例中，ntphsylabyench 在 UNIX NFS 共享上創(chuàng)建了一個文件。在安裝了共享之后，在被安裝的共享上創(chuàng)建了一個名為 yench.spec.file 的文件。 C:sectoolsnet use * 192.168.238.17UITests1 /u:ntphyslabyenchThe password is invalid for 192.168.238.17UITests1.Type the password for 192.168.238.17UITests1:Drive I:is now connected to 192.168.238.17UITests1.The command completed successfully.C:sectoolstouch i:touch yench.spec.file隨后，ntphyslabzoe 也安裝了同一個 NFS 共享。從安裝的輸出中可以注意到，兩個安裝都是作為 UID=100 和 GID=101 創(chuàng)建的，這是 nfslabspec 的 UID/GID。該用戶也在安裝的共享上創(chuàng)建了一個名為 yench.spec.file 的文件。 C:sectoolsnet use * 192.168.238.17UITests1 /u:ntphyslabzoeThe password is invalid for 192.168.238.17UITests1.Type the password for 192.168.238.17UITests1:Drive L:is now connected to 192.168.238.17UITests1.The command completed successfully.C:sectoolsmountLocal Remote Properties-/I192.168.238.17UITests1 UID=100, GID=101rsize=32768,wsize=32768mount=soft, timeout=0.8retry=5, locking=yeslang=euc-jp/L:192.168.238.17UITests1 UID=100, GID=101rsize=32768, size=32768mount=soft, timeout=0.8retry=5, locking=yeslang=euc-jpc:sectoolstouch l:zoe.spec.fileNFS 服務器上這兩個文件的列表說明這些文件由用戶 spec 所擁有。 $ grep spec /etc/passwdspec:x:100:101:/home1/spec:/bin/sh$ ls -al *spec*-rwxr-xr-x 1 spec indiadev 0 Apr 29 07:28 yench.spec.file-rwxr-xr-x 1 spec indiadev 0 Apr 29 07:30 zoe.spec.file4. 通過不映射用戶提供匿名訪問。在某些情況下，可能需要禁止或允許某些用戶對 NFS 資源進行匿名訪問?？梢允褂?Advanced Mapping 將這些用戶映射到 用戶。這樣可以將 Windows 用戶更改為 UNIX NFS 服務器上的匿名用戶。在下例中，janetn 和 jbr 都被映射到 用戶，以便為他們分別提供默認的 UID / GID 或 -2 和 -1。 這將在下例中說明，其中 NFS 共享由 janetn 安裝。 c:net use * 157.60.253.91UITests1 /u:ntphyslabjanetn *Type the password for 157.60.253.91UITests1:Drive L:is now connected to 157.60.253.91UITests1.The command completed successfully.C:mountLocal Remote Properties-/L:157.60.253.91UITests1 UID=-2, GID=-1rsize=8192, wsize=8192mount=soft, timeout=0.8retry=5, locking=nolang=euc-jpL:copy con janet.fileThis file is created by JanetZ1 file(s) copied.該文件在 UNIX NFS 服務器上以匿名方式創(chuàng)建。該文件的目錄清單如下所示。 roottpilx2 /UITests1# ls -al janet*-rwxr-xr-x 1 nobody nobody 31 Apr 29 19:30 janet.file*User Name Mapping 還允許將 UNIX 用戶名映射到 Windows 用戶名。這可以用于將某些 UNIX 用戶帳戶改為 Server for NFS 的匿名用戶。在該例中，通過將 UNIX 用戶 john 映射到 用戶來映射到匿名用戶。另外，我們還將它的主組 nfstest 映射到了 組。這一整套映射如下所示。 C:nfstestmapadmin list allAdvanced User Mappings:Windows user UNIX user Uid Primary Gid-* ntphyslabyench nfslabspec 100 101 ntphyslabzoe nfslabspec 100 101 ntphyslabpradeeps nfslabpradeeps 1021 1 ntphyslabjbr nfslab -2 -1 ntphyslabjanetn nfslab -2 -1 uxphyslabjohn 1041 202Advanced Group Mappings:Windows group UNIX group Gid-* ntphyslabnuclear uxphyslabindiadev 101 uxphyslabnfstest 205隨后，John 即可連接到 Server for NFS 并在該 Windows 計算機上創(chuàng)建一個文件。 roottpilx2 /UITests1# mount vivekn02:/nfstest /mnt/nfstestroottpilx2 /UITests1# su johnjohntpilx2 /UITests1$ cd /mnt/nfstestjohntpilx2 nfstest$ grep john /etc/passwdjohn:x:1041:205:/home/john:/bin/bashjohntpilx2 nfstest$ grep nfstest /etc/groupnfstest:x:205:johnjohntpilx2 nfstest$ cat john.fileThis file is created by John from a Unix NFS client on Server for NFSjohntpilx2 nfstest$ ls -al john.file-rw-r-r- 1 65534 65535 70 Apr 29 20:05 john.file 主映射 在該例中，我們將兩個用戶 ntphyslabyench 和 ntphyslabzoe 映射到同一個 UNIX 用戶 (spec)。當這兩個用戶中的任何一個訪問 UNIX NFS 共享時，UNIX 用戶 spec 的 UID 和 GID 用于訪問和創(chuàng)建文件。 然而，當 UNIX 用戶 spec 連接到 Server for NFS 時，可能存在兩個其憑據(jù)可以用來實現(xiàn)該 NFS 請求的 Windows 用戶帳戶。User Name Mapping 允許管理員將其中一個用戶帳戶標記為主映射，從而為解決這種沖突提供了一種方法。在該例中，ntphyslabyench 和 uxphyslabspec 之間的映射被標記為主映射，即在 User Name Mapping 管理工具中用“*”標記該映射。 C:nfstestmapadmin list advancedAdvanced User Mappings:Windows user UNIX user Uid Primary Gid-* ntphyslabyench nfslabspec 100 101 ntphyslabzoe nfslabspec 100 101 ntphyslabpradeeps nfslabpradeeps 1021 1 ntphyslabjbr nfslab -2 -1 ntphyslabjanetn nfslab -2 -1 uxphyslabjohn 1041 202Advanced Group Mappings:Windows group UNIX group Gid-* ntphyslabnuclear uxphyslabindiadev 101下例說明主映射的效果。當用戶 spec 在 Server for NFS 上創(chuàng)建一個名為 spec.file 的文件時，將正確地顯示出該文件由 UID=spec 和 GID = indiadev 的用戶所擁有。 # mount 157.60.253.92:/nfstest /mnt/nfstest# su spec$ cd /mnt/nfstest$ cat spec.fileThis is a file created by spec.$ ls -al spec.file-rw-r-r- 1 spec indiadev 32 Apr 29 07:53 spec.file然而，在 Windows 計算機上，文件的所有者和主組被標記為 ntphyslabyench 和 ntphyslabnuclear。 Owner:NTPHYSLAByench (User): (S-1-5-21-339783794-3065341851-447533925-1116)PrimaryGroup:NTPHYSLABnuclear (Group): (S-1-5-21-339783794-3065341851-447533925-1121)根訪問 如果需要提供對 Windows NFS 服務器的根訪問，就必須啟用對 UNIX NFS 客戶機的根訪問，這些客戶機應該具有對 NFS 服務器的根訪問權。另外，還需要創(chuàng)建根和該 Windows 域中另一個帳戶之間的映射。要創(chuàng)建的自然映射是在根和管理員之間的相互映射。 下例說明如何提供根訪問。您需要將 UNIX 根用戶映射到域管理員（或本地管理員）。如果打算映射域帳戶，還需要將 UNIX 根的主組映射到 Windows“域管理員”組；如果打算映射本地帳戶，則需要將 UNIX 根的主組映射到“管理員”組。在下例中，root (nfslabroot) 被映射到域管理員 (ntphyslabadministrator)，而根 other (nfslabother) 的主組被映射到域管理員組 (ntphyslabdomain admins)。 Advanced User Mappings:Windows user UNIX user Uid Primary Gid- ntphyslabadministrator nfslabroot 0 1Advanced Group Mappings:Windows group UNIX group Gid- ntphyslabdomain admins nfslabother 1此外，還需要為在 NFS 服務器上具有根權限的計算機提供根訪問權。 C:nfsshare roottest=c:roottest -o root=192.168.238.17roottest was shared success