Reference Guide

对文件系统对象的访问基于是否已使用安全描述符将权限设置为“允许”或“拒绝”。SD 描述了对象的所有者和对象的组 SID 及其

ACL。ACL 是每个对象的安全描述符的一部分。每个 ACL 都包含访问控制项 (ACE)。反过来，每个 ACE 都包含标识用户、组或计算

机的单个 SID，以及此 SID 拒绝或允许的权限列表。

多协议环境中的文件系统访问

通过 NAS 服务器提供文件访问。NAS 服务器包含一系列用于存储数据的文件系统。NAS 服务器通过 SMB 共享和 NFS 共享来共享文

件系统，使得可利用 NFS、SMB 文件协议访问这些数据。通过多协议共享的 NAS 服务器模式，可在 SMB 与 NFS 之间共享相同的数

据。由于多协议共享模式可同时提供对文件系统的 SMB 和 NFS 访问，所以必须为多协议共享考虑并正确配置 Windows 用户到 UNIX

用户的映射以及定义要使用的安全规则（模式位、ACL 和用户凭据）。

注: 有关针对多协议共享、用户映射、访问策略和用户凭据来配置和管理 NAS 服务器的信息，请参阅 PowerStore Manager 联机

帮助。

用户映射

在多协议环境中，Windows 用户需要匹配到 UNIX 用户。但是，仅当访问策略是 Windows 时，UNIX 用户才必须映射到 Windows 用

户。为执行文件系统安全性，这种匹配是必要的，即便并非协议所固有。用户映射中涉及以下组件：

● UNIX 目录服务和/或本地文件

● Windows 解析器

● 安全映射 (secmap) 是一种缓存，其中包含 NAS 服务器所使用的 SID 和 UID 或 GID 之间的所有映射。

● ntxmap

注: 用户映射不影响 SMB 服务器本地的用户或组。

UNIX 目录服务和本地文件

UNIX 目录服务 (UDS) 和本地文件用于执行以下操作：

● 返回特定用户标识符 (UID) 的相应 UNIX 帐户名称。

● 返回特定 UNIX 帐户名称的相应 UID 和主要组标识符 (GID)。

支持的服务包括：

● LDAP

● NIS

● 本地文件

● 无（唯一可能的映射是通过默认用户）

当启用了多协议共享时，应当为 NAS 服务器启用一个 UDS 或本地文件，或本地文件和 UDS 都启用。NAS 服务器的 Unix 目录服务属

性确定哪个服务用于用户映射。

Windows 解析器

使用 Windows 解析程序为用户映射执行以下操作：

● 返回特定安全标识符 (SID) 的相应 Windows 帐户名

● 返回特定 Windows 帐户名称的相应 SID

Windows 解析器包括：

● 域的域控制器 (DC)

● SMB 服务器的本地组数据库 (LGDB)

secmap

secmap 的作用是存储所有 SID 到 UID 和主要 GID 以及 UID 到 SID 映射，确保在 NAS 服务器的所有文件系统上的一致性。

身份验证和访问