UserNameMapping和ServicesforUNIXNFS支持.doc

User Name Mapping 和 Services for UNIX NFS 支持 操作系統(tǒng) 技術(shù)指南 摘要 Microsoft Windows Services for UNIX 2.0 包括 User Name Mapping。這是一個(gè)在 Windows 和 UNIX 的名稱空間之間映射用戶名的組件。 引言 Windows 和 UNIX 操作系統(tǒng)使用不同的機(jī)制來進(jìn)行用戶標(biāo)識(shí)、身份驗(yàn)證和資源訪問控制。在異構(gòu)網(wǎng)絡(luò)中，用戶在 UNIX 網(wǎng)絡(luò)和 Windows 網(wǎng)絡(luò)中各有帳戶。由于 Windows 和 UNIX 的用戶標(biāo)識(shí)和用戶名在存儲(chǔ)與使用方面各不相同，因此，即使兩個(gè)網(wǎng)絡(luò)中的用戶相同，這兩套名稱之間也沒有關(guān)聯(lián)。 采用不同用戶名和不同標(biāo)識(shí)機(jī)制的獨(dú)立名稱空間給提供跨域資源訪問的服務(wù)帶來了問題。為了使這些服務(wù)正確運(yùn)行，這些服務(wù)需要使用其各自的名稱空間中的用戶標(biāo)識(shí)。另一方面，用戶喜歡使用他們習(xí)慣的名稱空間。 本指南講述如何在基于 Windows 的網(wǎng)絡(luò)的用戶名和基于 UNIX 的網(wǎng)絡(luò)的用戶名之間進(jìn)行相互映射。 NFS 中的用戶標(biāo)識(shí) 默認(rèn)情況下，NFS 協(xié)議使用 UNIX 用戶標(biāo)識(shí)進(jìn)行訪問控制。這種用戶標(biāo)識(shí)通常由用戶標(biāo)識(shí)符 (UID) 和組標(biāo)識(shí)符 (GID) 組成。基于 Windows 的 NFS 服務(wù)器必須從 NFS 請(qǐng)求中識(shí)別出 Windows 名稱空間中的請(qǐng)求用戶。由于基于 Windows 的計(jì)算機(jī)和域不使用 UID 和 GID 進(jìn)行標(biāo)識(shí)，因此需要從 NFS 請(qǐng)求中包含的 UID 和 GID 到 Windows 用戶名進(jìn)行映射。基于 Windows 的 NFS 客戶機(jī)需要在轉(zhuǎn)發(fā) NFS 請(qǐng)求之前先將請(qǐng)求的 Windows 用戶的用戶名映射到 UID/GID。 訪問基于 UNIX 的 NFS 資源的 Windows 用戶需要提供 UNIX 標(biāo)識(shí) (UID/GID)。這就要求 Windows 用戶使用他們的 UNIX 用戶名和密碼在 UNIX 網(wǎng)絡(luò)中驗(yàn)證自己的身份。 管理問題 許多基于 Windows 的 NFS 產(chǎn)品（或提供跨域進(jìn)行資源訪問的其它服務(wù)）在每臺(tái)計(jì)算機(jī)上都創(chuàng)建映射，提供跨平臺(tái)標(biāo)識(shí)的 NFS 服務(wù)。由于增加、刪除或更改帳戶時(shí)，每臺(tái)計(jì)算機(jī)或服務(wù)器上的映射都必須保持一致，所以維護(hù)這些映射既困難又耗時(shí)。提供這些服務(wù)的所有服務(wù)器必須具有一致的映射，以便從網(wǎng)絡(luò)中任何位置都可以訪問資源。 User Name Mapping User Name Mapping 是 Services for UNIX 的一個(gè)組件。該組件提供在基于 Windows 的網(wǎng)絡(luò)用戶名和基于 UNIX 的網(wǎng)絡(luò)用戶名之間進(jìn)行相互映射的功能。對(duì)于那些在基于 Windows 和基于 UNIX 的域中具有不同身份的用戶，這是將兩個(gè)網(wǎng)絡(luò)中的用戶名關(guān)聯(lián)起來的一種方法。該組件的設(shè)計(jì)目標(biāo)如下： 在網(wǎng)絡(luò)間共享一套用戶名映射。Client for NFS、Server for NFS 和 Gateway for NFS 的多個(gè)實(shí)例應(yīng)只使用一套映射。這將使用戶在使用任意計(jì)算機(jī)上的任意 NFS 產(chǎn)品時(shí)可以進(jìn)行一致的訪問。 減輕維護(hù)提供 NFS 服務(wù)或遠(yuǎn)程 Shell 程序服務(wù) (Remote Shell Service) 的所有 Windows 計(jì)算機(jī)上的映射管理任務(wù)。 使 Windows 用戶通過一次注冊(cè)即可訪問基于 UNIX 的 NFS 資源。用戶不必記住兩套用戶名和密碼，也不必分別對(duì)兩個(gè)操作系統(tǒng)進(jìn)行注冊(cè)。 User Name Mapping 在 Windows 和 UNIX 的用戶名之間創(chuàng)建映射。這些映射是以表的形式來維護(hù)的，如表 1 所示。 表 1 Windows 和 UNIX 之間的用戶名映射。 Windows 用戶名Windows 域UNIX 用戶名UNIX 域UID/GIDJohnDoeIndwindowsJohndIndunix1090/201MaryjaneIndwindowsMaryjIndunix1223/201所有 Services for UNIX 網(wǎng)絡(luò)文件服務(wù) (NFS) 組件 - Server for NFS、Client for NFS 和 Gateway for NFS - 都使用 User Name Mapping 對(duì) NFS 進(jìn)行標(biāo)識(shí)和資源訪問。 User Name Mapping 的益處 中央映射服務(wù)器 User Name Mapping 可以部署在組織內(nèi)部的單個(gè)節(jié)點(diǎn)上，而網(wǎng)絡(luò)中所有的 NFS 組件都可以訪問該映射服務(wù)器。這允許從所有計(jì)算機(jī)中進(jìn)行一致的 NFS 訪問。使用一臺(tái)中央服務(wù)器還有助于降低管理成本。 允許進(jìn)行簡單和高級(jí)映射 使用 User Name Mapping，可很方便地在基于 Windows 的網(wǎng)絡(luò)和基于 UNIX 的網(wǎng)絡(luò)中用戶名相同的用戶之間進(jìn)行映射。使用簡單映射，UNIX 和 Windows 網(wǎng)絡(luò)中用戶名相同的用戶被自動(dòng)映射，而無需管理員的介入。使用 User Name Mapping 中的高級(jí)選項(xiàng),還可以映射用戶名不同的用戶。 支持多個(gè)基于 Windows 的域和基于 NIS 的域 User Name Mapping 可以在任何 NIS 域的多個(gè)用戶名和任何 Windows 域的一個(gè)用戶名之間建立高級(jí)映射。這允許映射服務(wù)器能夠在多個(gè)域間共享。 映射用戶和組 User Name Mapping 服務(wù)既可以映射用戶名，又可以映射兩個(gè)名稱空間之間的組名。 定期刷新 NIS、PCNFS 和 Windows 用戶名 User Name Mapping 定期刷新 Windows 域控制器和基于 NIS 的服務(wù)器或 PCNFS 中的用戶名。無論是在 UNIX 域還是在 Windows 域中添加或刪除了一個(gè)用戶，均可自動(dòng)添加或刪除映射。該功能的主要優(yōu)點(diǎn)是，無需管理員介入即可更改 UNIX 和 Windows 名稱空間中的用戶。 提供命令行、圖形界面和遠(yuǎn)程管理能力 可使用圖形用戶界面 (GUI) 或命令行實(shí)用程序創(chuàng)建、維護(hù)和管理用戶名映射。這可簡化用戶名映射的管理工作。 支持對(duì)映射進(jìn)行備份和還原 User Name Mapping 可以將已創(chuàng)建的映射保存到文件中，或是從文件裝載它們，并填充映射服務(wù)器。該功能特別適用于將映射備份到 User Name Mapping 服務(wù)器的地址失敗中。 允許多個(gè) Windows 用戶映射到一個(gè) UNIX 用戶 使用 User Name Mapping 可很方便地將多個(gè) Windows 用戶名映射到一個(gè) UNIX 用戶名。當(dāng) UNIX 和 Windows 用戶之間沒有一一對(duì)應(yīng)關(guān)系時(shí)，這是非常有用的。當(dāng)必須按照不同等級(jí)的訪問特權(quán)提供對(duì)基于 UNIX 的文件服務(wù)器的訪問時(shí)，可能要用到這一功能。 驗(yàn)證 UNIX 用戶名和密碼 User Name Mapping 使用 UNIX 加密算法驗(yàn)證 UNIX 用戶名和密碼，并提供 UNIX 標(biāo)識(shí)。在 Windows 用戶要求使用用戶未映射到的 UNIX 帳戶訪問 UNIX 資源的情況下，這是非常有用的。 安裝 User Name Mapping 安裝 User Name Mapping User Name Mapping 可以作為 Services for UNIX 的組件安裝到任何一臺(tái)運(yùn)行 Windows NT 4.0 或 Windows 2000 的計(jì)算機(jī)上。然而，為了將它作為中央服務(wù)器使用，應(yīng)該將它安裝到作為服務(wù)器級(jí)計(jì)算機(jī)使用的 Windows NT 4.0 或 Windows 2000 服務(wù)器上。默認(rèn)情況下，該組件沒有被選中，而且必須在自定義安裝中才能選中它。既可以使用 GUI 工具也可以使用命令行工具來安裝 User Name Mapping。 配置 NFS 組件 Services for UNIX NFS 組件、Server for NFS、Client for NFS 和 Gateway for NFS，都可以配置為使用特定 User Name Mapping 服務(wù)器。還可以在安裝 Services for UNIX 期間配置 User Name Mapping 服務(wù)器的名稱。另外，可以對(duì) User Name Mapping 服務(wù)器進(jìn)行設(shè)置，以便使用 Services for UNIX 管理?？梢詾槊恳粋€(gè) NFS 組件選擇要使用的 User Name Mapping 服務(wù)器。 如果您的瀏覽器不支持行內(nèi)框，請(qǐng)單擊此處查看獨(dú)立的頁面。 圖 1 Services for UNIX 管理中 Server for NFS 屏幕的實(shí)例。 安裝 Server for NFS Authentication 為了使 Server for NFS 正確運(yùn)行，還必須安裝 Server for NFS Authentication。Services for UNIX 要求將 Server for NFS Authentication 和 Server for NFS 安裝到同一臺(tái)計(jì)算機(jī)上。如果要使用 User Name Mapping 將 UNIX 用戶名映射到本地 Windows 用戶名，那么這就是必要的。在本地服務(wù)器運(yùn)行的 Server for NFS Authentication 便于使用 Windows 用戶帳戶訪問 NFS 資源。 為了便于使用 Windows 域用戶的憑據(jù)訪問 Server for NFS 上的 NFS 資源，必須將 Server for NFS Authentication 安裝到該 Windows 域中的所有域控制器上。如果要使用 User Name Mapping 將 UNIX 用戶名映射到 Windows 域用戶名，那么這就是必要的。此外，還必須將 Server for NFS Authentication 安裝到要映射 UNIX 用戶的所有域的域控制器上。 例如，假設(shè)用戶名為 paul 的 UNIX 用戶與 ntphyslab (ntphyslabpaulv) 域中的 Windows 用戶 paulv 是同一個(gè)人。當(dāng) paul 使用 UNIX 客戶機(jī)訪問駐留在 Windows 服務(wù)器上的 NFS 文件時(shí)，Server for NFS 必須使用 ntphyslabpaulv 的憑據(jù)才能訪問這些 NFS 文件。為了使訪問成功，必須將 Server for NFS Authentication 安裝到 ntphyslab 域中的所有域控制器上。 配置 User Name Mapping 在配置 User Name Mapping 之前，必須先掌握某些信息。 1. 確定基于 UNIX 的網(wǎng)絡(luò)是使用 NIS 還是使用 /etc/passwd 和 /etc/group 文件。還需要確定是否使用 PCNFS 來驗(yàn)證基于 Windows 的 NFS 客戶機(jī)的身份。 2. 如果使用 NIS，確定 Windows 主域和 UNIX NIS 主服務(wù)器，以便在它們之間映射用戶名。多數(shù)用戶將在這兩個(gè)域中設(shè)立帳戶。 3. 如果使用 PCNFS 服務(wù)器，必須使用基于 Windows 的 PCNFS 服務(wù)器，才能用 User Name Mapping 通過該服務(wù)器進(jìn)行用戶名映射。您應(yīng)該知道 Windows PCNFS 服務(wù)器使用的密碼和組文件的位置。 4. 對(duì)于多數(shù)用戶來說，在 Windows 域和 UNIX 域中的用戶名應(yīng)是相同的。這些用戶可以使用 User Name Mapping 提供的 Simple Mapping 進(jìn)行映射。對(duì)于具有不同用戶名的用戶，必須使用 Advanced Mapping 進(jìn)行映射。您應(yīng)當(dāng)編制一個(gè)具有不同用戶名的用戶列表。 5. Simple Mapping 只允許在一個(gè) Windows 域和另一個(gè) UNIX NIS 域 (或 PCNFS) 之間存在一個(gè)映射。對(duì)于其他 Windows 域或 UNIX 域中的用戶，必須使用 Advanced Mapping 進(jìn)行映射。 6. 如果需要拒絕某些用戶的訪問或?yàn)樗麄兲峁澳涿碧貦?quán)，就必須使用 Advanced Mapping 來映射他們的用戶名。 7. 如果需要將多個(gè) Windows 用戶映射到一個(gè) UNIX 用戶，則必須使用 Advanced Mapping。這主要適用于 Client for NFS 或 Gateway for NFS。必須使用少量的“訪問級(jí)別”為大量 Windows 用戶提供 NFS 訪問時(shí)，這是非常有用的。 Simple Mapping 假設(shè)一個(gè)組織具有許多 Windows 域和 UNIX NIS 域，參見圖 2。該組織想要在名為 ntphyslab 的 Windows 域中某臺(tái)計(jì)算機(jī)上安裝 Server for NFS。在一個(gè)同時(shí)具有 UNIX 和 Windows 計(jì)算機(jī)的組織中，如果用戶在 UNIX 域和 Windows 域中都具有帳戶，使用 Simple Mapping（簡單映射）可以很方便地地映射這些用戶。如果想要訪問該 NFS 服務(wù)器的多數(shù) UNIX 用戶具有此 Windows 域中的帳戶，也具有另一個(gè) UNIX 域中的帳戶，簡單映射將提供最簡單的映射方式。假設(shè)多數(shù) NFS 用戶在名為 uxphyslab 的 UNIX 域中具有帳戶。 如果您的瀏覽器不支持行內(nèi)框，請(qǐng)單擊此處查看獨(dú)立的頁面。 圖 2 ntphyslab 和 uxphyslab 之間的映射。 在該例中，應(yīng)使用簡單映射來映射 ntphyslab 和 uxphyslab 之間的用戶名。 假設(shè)一部分用戶在基于 UNIX 和 Windows 的域中都具有帳戶。一旦在這兩個(gè)域之間都啟用了 Simple Mapping，這些用戶將被自動(dòng)映射到彼此的域，并且管理員不必分別映射這些用戶名。 ntphyslab 和 uxphyslab 域具有大量公用的用戶和組。我們已經(jīng)配置了 User Name Mapping，以便在這兩個(gè)域之間創(chuàng)建簡單映射。 圖 3 表示 UNIX 域 uxphyslab 和 Windows 域 ntphyslab 之間的相互映射。在這兩個(gè)域中具有相同用戶名的所有用戶都已相互映射。例如，它將 Windows 用戶 john 和 UNIX 用戶 john 相關(guān)聯(lián)。 如果您的瀏覽器不支持行內(nèi)框，請(qǐng)單擊此處查看獨(dú)立的頁面。 圖 3 Services for UNIX 管理中 User Name Mapping 屏幕的實(shí)例。 利用 Client for NFS 訪問 NFS 資源 假設(shè)要使用 Client for NFS 從一臺(tái) Windows 2000 計(jì)算機(jī)連接到 UNIX NFS。在該例中，使用 Windows 計(jì)算機(jī)的 mary 想安裝一個(gè) UNIX NFS 共享 (157.60.253.91y)。如下圖所示，ntphyslabmary 被映射到 uxphyslabmary。在 UNIX 域中，mary 的 UID/GID 為 627/200。 Mary 使用她自己的 Windows 憑據(jù)，通過 net 命令連接到一個(gè) UNIX 共享，請(qǐng)參見圖 4. Client for NFS 使用 User Name Mapping 將 ntphyslabmary 映射到 uxphyslabmary。由于 Mary 已在 ntphyslab 域中進(jìn)行了身份驗(yàn)證，所以 Client for NFS 不要求她在 UNIX uxphyslab 域中進(jìn)行身份驗(yàn)證。它使用 User Name Mapping 在 NFS 請(qǐng)求中提供的 uxphyslabmary 的 UID 和 GID。這使用戶能夠通過一次注冊(cè)1即可訪問多個(gè) UNIX NFS 共享。注意，用來（通過驅(qū)動(dòng)器 i:）安裝和訪問該 NFS 共享的 UID/GID 是 627/200，它屬于 uxphyslabmary。 如果您的瀏覽器不支持行內(nèi)框，請(qǐng)單擊此處查看獨(dú)立的頁面。 圖 4 作為 ntphyslabmary 運(yùn)行的 Windows 命令會(huì)話實(shí)例。 Client for NFS 還允許使用 UNIX 用戶名和密碼連接到 NFS 共享。它不使用 User Name Mapping 來映射用戶名。而是通過 User Name Mapping 使用 UNIX 用戶名和密碼來驗(yàn)證該 UNIX 域用戶的身份。User Name Mapping 使用 NIS 或 PCNFS 來驗(yàn)證用戶名和密碼。 圖 5 表示在該 UNIX 計(jì)算機(jī)上的 ls 的輸出。注意，該文件的 UID 和 GID 是被映射用戶即 uxphyslabmary 的 UID 和 GID。 如果您的瀏覽器不支持行內(nèi)框，請(qǐng)單擊此處查看獨(dú)立的頁面。 圖 5 UNIX 計(jì)算機(jī)上 ls 輸出的實(shí)例。 利用 Server for NFS 訪問文件 一旦通過 User Name Mapping 建立了映射，UNIX 用戶即可在 Server for NFS 上安裝并訪問 NFS 共享。根據(jù) Windows 計(jì)算機(jī)上映射用戶的憑據(jù)，為訪問文件的 UNIX 用戶提供訪問權(quán)。UNIX 計(jì)算機(jī)的文件訪問權(quán)與該文件的權(quán)限位是一致的。下例說明 UNIX 根如何安裝由 Server for NFS 計(jì)算機(jī)導(dǎo)出的 NFS 共享。此例還說明 UNIX 用戶如何在該計(jì)算機(jī)上創(chuàng)建文件或目錄?？梢钥闯觯撚脩魟?chuàng)建的文件的 UID 和 GID 是正確的。 roottpilx2 /root# showmount -e vivekn02Export list for vivekn02:/nfstest (everyone)roottpilx2 /root# mount vivekn02:/nfstest /mnt/sfunfsroottpilx2 /root# cd /mnt/sfunfsroottpilx2 sfunfs# lsroottpilx2 sfunfs# su marymarytpilx2 sfunfs$ touch mary.file.1marytpilx2 sfunfs$ mkdir mary.dir.1marytpilx2 sfunfs$ ls -altotal 3d-rwx 2 root root 64 Apr 25 15:11 ./drwxrwxrwx 18 root root 1024 Apr 25 12:43 ./drwxr-xr-x 2 mary theory 64 Apr 25 15:11 mary.dir.1/-rw-r-r- 1 mary theory 0 Apr 25 15:11 mary.file.1marytpilx2 sfunfs$roottpilx2 sfunfs# su joshuajoshuatpilx2 sfunfs$ touch joshua.file.1joshuatpilx2 sfunfs$ ls -altotal 3d-rwx 2 root root 64 Apr 25 15:11 ./drwxrwxrwx 18 root root 1024 Apr 25 12:43 ./-rw-r-r- 1 joshua nuclear 0 Apr 25 15:12 joshua.file.1drwxr-xr-x 2 mary theory 64 Apr 25 15:11 mary.dir.1/-rw-r-r- 1 mary theory 0 Apr 25 15:11 mary.file.1joshuatpilx2 sfunfs$ touch mary.file.1touchmary.file.1:Permission deniedUNIX 用戶在 Windows 計(jì)算機(jī)上創(chuàng)建的文件是使用映射的 Windows 用戶的憑據(jù)創(chuàng)建的。文件所有權(quán)、該文件的主組以及該文件在 Windows 計(jì)算機(jī)上的 DACL，都是根據(jù)映射進(jìn)行設(shè)置的。以 uxphyslabmary 創(chuàng)建的文件 mary.file.1 為例。該 UNIX 用戶被映射到 Windows 用戶 ntphyslabmary，后者是 Windows 計(jì)算機(jī)上的文件。該文件的 ACL 如下： C:nfstestcacls mary.file.1C:nfstestmary.file.1 NTPHYSLABmary:(special access:)/DELETEREAD_CONTROLSYNCHRONIZEFILE_GENERIC_READFILE_GENERIC_WRITEFILE_READ_DATAFILE_WRITE_DATAFILE_APPEND_DATAFILE_READ_EAFILE_WRITE_EAFILE_READ_ATTRIBUTESFILE_WRITE_ATTRIBUTESNTPHYSLABtheory:(special access:)READ_CONTROLSYNCHRONIZEFILE_GENERIC_READFILE_READ_DATAFILE_READ_EAFILE_READ_ATTRIBUTESEveryone:(special access:)READ_CONTROLSYNCHRONIZEFILE_GENERIC_READFILE_READ_DATAFILE_READ_EAFILE_READ_ATTRIBUTES該文件的所有權(quán)和主組關(guān)系以及 mary.file.1 文件的安全描述符的設(shè)置如下： Owner:NTPHYSLABadministrator (User): (S-1-5-21-339783794-3065341851-447533925-500)PrimaryGroup:NTPHYSLABtheory (Group): (S-1-5-21-339783794-3065341851-447533925-1120)Advanced Mapping User Name Mapping 提供了 Advanced Mapping，在這里任何域中的 Windows 用戶都可以映射到 UNIX 用戶。（參見圖 6。） 1. 映射那些在 Windows 和 UNIX 域中具有不同用戶名的用戶。假設(shè) Peter Johnson 的 Windows 用戶名為 pete_Johnson，而其 UNIX 用戶名為 peterj。為了映射這兩個(gè)用戶名，我們使用高級(jí)映射。使用這種映射時(shí)，Peter 使用 pete_Johnson 帳戶在 UNIX NFS 服務(wù)器上創(chuàng)建的文件將被標(biāo)記為由 peterj 所擁有。同樣，peterj 可以從 UNIX NFS 客戶機(jī)訪問 pete_johnson 所擁有的文件。 如果您的瀏覽器不支持內(nèi)嵌式框架頁，單擊這里瀏覽獨(dú)立的頁面。 圖 6 Services for UNIX 管理中顯示 Advanced Mapping 的 User Name Mapping 屏幕的實(shí)例。 在下例中，當(dāng) Peter 以 pete_johnson 身份登錄到一臺(tái) Windows 計(jì)算機(jī)時(shí)，他在 UNIX NFS 服務(wù)器上創(chuàng)建了一個(gè)文件： c:sectoolsnet use * 192.168.238.17UITests1 /u:ntphyslabpete_johnsonThe password is invalid for 192.168.238.17UITests1.Type the password for 192.168.238.17UITests1:Drive L:is now connected to 192.168.238.17UITests1.The command completed successfully.C:sectoolsmountLocal Remote Properties-/L:192.168.238.17UITests1 UID=755, GID=147rsize=32768, wsize=32768mount=soft, timeout=0.8retry=5, locking=yeslang=euc-jpC:touch l:pete.file.1The following output shows the listing of this file on the UNIX computer:# ls -al pete*-rwxr-xr-x 1 peterj particle 0 Apr 29 06:13 pete.file.1在 User Name Mapping 中創(chuàng)建的用戶映射也適用于從 UNIX NFS 客戶機(jī)訪問 Server for NFS 共享。在下例中，當(dāng) Peter 以 peterj 身份從 UNIX NFS 客戶機(jī)登錄時(shí)，在 Server for NFS 共享上創(chuàng)建一個(gè)文件： # mount 157.60.253.92:/nfstest /mnt/nfstest# su peterj$ cd nfstest$ cat peterj.file.2This is a file$ ls -al pet*-rw-r-r- 1 peterj particle 15 Apr 29 07:05 peterj.file.2在 Windows 計(jì)算機(jī)上，該文件的所有者、組和 DACL 表明，該文件為預(yù)期的 Windows 用戶所有。 Owner:NTPHYSLABpete_johnson (User): (S-1-5-21-339783794-3065341851-447533925-1122)PrimaryGroup:NTPHYSLABparticle (Group): (S-1-5-21-339783794-3065341851-447533925-1118)2. 映射那些與簡單映射中的域不同的域中的用戶。如果不同域中的用戶需要訪問 NFS 資源，或用戶為移動(dòng)用戶，這將非常有用。在上例中（參見圖 6），由于 pradeeps 在 nfslab NIS 域中有一個(gè)帳戶，我們將 ntphyslabpradeeps 映射到了 nfslabpradeeps。 3. 將多個(gè) Windows 用戶映射到一個(gè) UNIX 用戶。假設(shè) UNIX 有一個(gè)稱為 spec 的帳戶，該帳戶具有一定的文件訪問權(quán)限。Windows 域 ntphyslab 中的 yench 和 zoe 都需要訪問該帳戶，以便更新這些文件。通過將 zoe 和 yench 都映射到 nfslabspec，使他們二人都可以訪問用戶帳戶 spec 所擁有的文件，即可達(dá)到此目的。注意，只能將多個(gè) Windows 用戶名映射到一個(gè) UNIX 帳戶，反之則不行。同樣，可以將 UNIX 用戶映射到 Windows 用戶。這為將 UNIX 用戶更改為匿名用戶，從而訪問 Server for NFS 上的 NFS 資源提供了一條途徑。 在下例中，ntphsylabyench 在 UNIX NFS 共享上創(chuàng)建了一個(gè)文件。在安裝了共享之后，在被安裝的共享上創(chuàng)建了一個(gè)名為 yench.spec.file 的文件。 C:sectoolsnet use * 192.168.238.17UITests1 /u:ntphyslabyenchThe password is invalid for 192.168.238.17UITests1.Type the password for 192.168.238.17UITests1:Drive I:is now connected to 192.168.238.17UITests1.The command completed successfully.C:sectoolstouch i:touch yench.spec.file隨后，ntphyslabzoe 也安裝了同一個(gè) NFS 共享。從安裝的輸出中可以注意到，兩個(gè)安裝都是作為 UID=100 和 GID=101 創(chuàng)建的，這是 nfslabspec 的 UID/GID。該用戶也在安裝的共享上創(chuàng)建了一個(gè)名為 yench.spec.file 的文件。 C:sectoolsnet use * 192.168.238.17UITests1 /u:ntphyslabzoeThe password is invalid for 192.168.238.17UITests1.Type the password for 192.168.238.17UITests1:Drive L:is now connected to 192.168.238.17UITests1.The command completed successfully.C:sectoolsmountLocal Remote Properties-/I192.168.238.17UITests1 UID=100, GID=101rsize=32768,wsize=32768mount=soft, timeout=0.8retry=5, locking=yeslang=euc-jp/L:192.168.238.17UITests1 UID=100, GID=101rsize=32768, size=32768mount=soft, timeout=0.8retry=5, locking=yeslang=euc-jpc:sectoolstouch l:zoe.spec.fileNFS 服務(wù)器上這兩個(gè)文件的列表說明這些文件由用戶 spec 所擁有。 $ grep spec /etc/passwdspec:x:100:101:/home1/spec:/bin/sh$ ls -al *spec*-rwxr-xr-x 1 spec indiadev 0 Apr 29 07:28 yench.spec.file-rwxr-xr-x 1 spec indiadev 0 Apr 29 07:30 zoe.spec.file4. 通過不映射用戶提供匿名訪問。在某些情況下，可能需要禁止或允許某些用戶對(duì) NFS 資源進(jìn)行匿名訪問?？梢允褂?Advanced Mapping 將這些用戶映射到 用戶。這樣可以將 Windows 用戶更改為 UNIX NFS 服務(wù)器上的匿名用戶。在下例中，janetn 和 jbr 都被映射到 用戶，以便為他們分別提供默認(rèn)的 UID / GID 或 -2 和 -1。 這將在下例中說明，其中 NFS 共享由 janetn 安裝。 c:net use * 157.60.253.91UITests1 /u:ntphyslabjanetn *Type the password for 157.60.253.91UITests1:Drive L:is now connected to 157.60.253.91UITests1.The command completed successfully.C:mountLocal Remote Properties-/L:157.60.253.91UITests1 UID=-2, GID=-1rsize=8192, wsize=8192mount=soft, timeout=0.8retry=5, locking=nolang=euc-jpL:copy con janet.fileThis file is created by JanetZ1 file(s) copied.該文件在 UNIX NFS 服務(wù)器上以匿名方式創(chuàng)建。該文件的目錄清單如下所示。 roottpilx2 /UITests1# ls -al janet*-rwxr-xr-x 1 nobody nobody 31 Apr 29 19:30 janet.file*User Name Mapping 還允許將 UNIX 用戶名映射到 Windows 用戶名。這可以用于將某些 UNIX 用戶帳戶改為 Server for NFS 的匿名用戶。在該例中，通過將 UNIX 用戶 john 映射到 用戶來映射到匿名用戶。另外，我們還將它的主組 nfstest 映射到了 組。這一整套映射如下所示。 C:nfstestmapadmin list allAdvanced User Mappings:Windows user UNIX user Uid Primary Gid-* ntphyslabyench nfslabspec 100 101 ntphyslabzoe nfslabspec 100 101 ntphyslabpradeeps nfslabpradeeps 1021 1 ntphyslabjbr nfslab -2 -1 ntphyslabjanetn nfslab -2 -1 uxphyslabjohn 1041 202Advanced Group Mappings:Windows group UNIX group Gid-* ntphyslabnuclear uxphyslabindiadev 101 uxphyslabnfstest 205隨后，John 即可連接到 Server for NFS 并在該 Windows 計(jì)算機(jī)上創(chuàng)建一個(gè)文件。 roottpilx2 /UITests1# mount vivekn02:/nfstest /mnt/nfstestroottpilx2 /UITests1# su johnjohntpilx2 /UITests1$ cd /mnt/nfstestjohntpilx2 nfstest$ grep john /etc/passwdjohn:x:1041:205:/home/john:/bin/bashjohntpilx2 nfstest$ grep nfstest /etc/groupnfstest:x:205:johnjohntpilx2 nfstest$ cat john.fileThis file is created by John from a Unix NFS client on Server for NFSjohntpilx2 nfstest$ ls -al john.file-rw-r-r- 1 65534 65535 70 Apr 29 20:05 john.file 主映射 在該例中，我們將兩個(gè)用戶 ntphyslabyench 和 ntphyslabzoe 映射到同一個(gè) UNIX 用戶 (spec)。當(dāng)這兩個(gè)用戶中的任何一個(gè)訪問 UNIX NFS 共享時(shí)，UNIX 用戶 spec 的 UID 和 GID 用于訪問和創(chuàng)建文件。 然而，當(dāng) UNIX 用戶 spec 連接到 Server for NFS 時(shí)，可能存在兩個(gè)其憑據(jù)可以用來實(shí)現(xiàn)該 NFS 請(qǐng)求的 Windows 用戶帳戶。User Name Mapping 允許管理員將其中一個(gè)用戶帳戶標(biāo)記為主映射，從而為解決這種沖突提供了一種方法。在該例中，ntphyslabyench 和 uxphyslabspec 之間的映射被標(biāo)記為主映射，即在 User Name Mapping 管理工具中用“*”標(biāo)記該映射。 C:nfstestmapadmin list advancedAdvanced User Mappings:Windows user UNIX user Uid Primary Gid-* ntphyslabyench nfslabspec 100 101 ntphyslabzoe nfslabspec 100 101 ntphyslabpradeeps nfslabpradeeps 1021 1 ntphyslabjbr nfslab -2 -1 ntphyslabjanetn nfslab -2 -1 uxphyslabjohn 1041 202Advanced Group Mappings:Windows group UNIX group Gid-* ntphyslabnuclear uxphyslabindiadev 101下例說明主映射的效果。當(dāng)用戶 spec 在 Server for NFS 上創(chuàng)建一個(gè)名為 spec.file 的文件時(shí)，將正確地顯示出該文件由 UID=spec 和 GID = indiadev 的用戶所擁有。 # mount 157.60.253.92:/nfstest /mnt/nfstest# su spec$ cd /mnt/nfstest$ cat spec.fileThis is a file created by spec.$ ls -al spec.file-rw-r-r- 1 spec indiadev 32 Apr 29 07:53 spec.file然而，在 Windows 計(jì)算機(jī)上，文件的所有者和主組被標(biāo)記為 ntphyslabyench 和 ntphyslabnuclear。 Owner:NTPHYSLAByench (User): (S-1-5-21-339783794-3065341851-447533925-1116)PrimaryGroup:NTPHYSLABnuclear (Group): (S-1-5-21-339783794-3065341851-447533925-1121)根訪問 如果需要提供對(duì) Windows NFS 服務(wù)器的根訪問，就必須啟用對(duì) UNIX NFS 客戶機(jī)的根訪問，這些客戶機(jī)應(yīng)該具有對(duì) NFS 服務(wù)器的根訪問權(quán)。另外，還需要?jiǎng)?chuàng)建根和該 Windows 域中另一個(gè)帳戶之間的映射。要?jiǎng)?chuàng)建的自然映射是在根和管理員之間的相互映射。 下例說明如何提供根訪問。您需要將 UNIX 根用戶映射到域管理員（或本地管理員）。如果打算映射域帳戶，還需要將 UNIX 根的主組映射到 Windows“域管理員”組；如果打算映射本地帳戶，則需要將 UNIX 根的主組映射到“管理員”組。在下例中，root (nfslabroot) 被映射到域管理員 (ntphyslabadministrator)，而根 other (nfslabother) 的主組被映射到域管理員組 (ntphyslabdomain admins)。 Advanced User Mappings:Windows user UNIX user Uid Primary Gid- ntphyslabadministrator nfslabroot 0 1Advanced Group Mappings:Windows group UNIX group Gid- ntphyslabdomain admins nfslabother 1此外，還需要為在 NFS 服務(wù)器上具有根權(quán)限的計(jì)算機(jī)提供根訪問權(quán)。 C:nfsshare roottest=c:roottest -o root=192.168.238.17roottest was shared success