Reference Guide

授予未映射用户访问权限

多协议要求满足以下条件：

● 必须将 Windows 用户映射到 UNIX 用户。

● 当 UNIX 用户访问一个有 Windows 访问策略的文件系统时，为构建 Windows 凭据，此用户必须映射到一个 Windows 用户。

对于未映射的用户，有两个属性关联到 NAS 服务器：

● 默认 UNIX 用户。

● 默认 Windows 用户。

当未映射的 Windows 用户试图连接到一个多协议文件系统而为 NAS 服务器配置的是默认 UNIX 用户帐户时，在 Windows 凭据中使用

默认 UNIX 用户的用户标识符 (UID) 和主要组标识符 (GID)。同理，当未映射的 UNIX 用户试图连接到一个多协议文件系统而为 NAS

服务器配置的是默认 Windows 用户帐户时，使用默认的 Windows 用户的 Windows 凭据。

注: 如果 UNIX 目录服务 (UDS) 中未设置默认 UNIX 用户，则拒绝未映射的用户进行 SMB 访问。如果在 Windows DC 或 LGDB 中

找不到默认 Windows 用户，则拒绝未映射用户对具有 Windows 访问策略的文件系统进行 NFS 访问。

注: 默认 UNIX 用户既可以是有效的现有 UNIX 帐户名称，也可以遵循新的格式 @uid=xxxx,gid=yyyy@，其中 xxxx 和 yyyy 分

别是 UID 和主要 GID 的十进制数值，可以通过 PowerStore Manager 在系统上进行配置。

用于 NFS 请求的 UNIX 凭据

若要为仅 NFS 或具有 UNIX 或本机访问策略的多协议文件系统处理 NFS 请求，必须使用 UNIX 凭据。UNIX 凭据始终嵌入在每个请求

中；不过，凭据限制为 16 个额外组。通过 NFS 服务器的 extendedUnixCredEnabled 属性，可以构建用于超过 16 个组的凭据。

如果设置了此属性，系统将使用 UID 对活动 UDS 进行查询以获得主要 GID 及其所属的所有组 GID。如果未在 UDS 中找到 UID，系统

将使用嵌入在请求中的 UNIX 凭据。

注: 对于 NFS 安全访问，必须始终使用 UDS 构建凭据。

用于 SMB 请求的 UNIX 凭据

若要为具有 UNIX 访问策略的多协议文件系统处理 SMB 请求，必须在会话建立时，先为 SMB 用户构建 Windows 凭据。Windows 用

户的 SID 用于从 AD 查找名称。该名称然后（也可以通过 ntxmap）用于从 UDS 或本地文件（passwd 文件）查找 Unix UID 和 GID。

用户的所有者 UID 包括在 Windows 凭据中。当访问一个有 UNIX 访问策略的文件系统时，将使用用户的 UID 查询 UDS 以构建 UNIX

凭据，类似于为 NFS 构建扩展凭据的过程。UID 为配额管理所必需。

用于 SMB 请求的 Windows 凭据

若要为仅 SMB 或具有 Windows 或本机访问策略的多协议文件系统处理 SMB 请求，必须使用 Windows 凭据。只需在用户连接过程中

会话建立请求时，构建一次用于 SMB 的 Windows 凭据。

当使用 Kerberos 身份认证时，用户的凭据包括在会话建立请求的 Kerberos 票证中，这与使用 NT LAN Manager (NTLM) 时不同。其

他信息从 Windows DC 或 LGDB 中查询得到。对于 Kerberos，从 Kerberos 票证和额外本地组 SID 的列表中获取额外组 SID 的列表。

从 LGDB 中获取权限列表。对于 NTLM，从 Windows DC 和额外本地组 SID 的列表中获取额外组 SID 的列表。从 LGDB 中获取权限列

表。

此外，还可以从用户映射组件中检索相应的 UID 和主要 GID。由于主要组 SID 未用于访问检查，因此将使用 UNIX 的主要 GID。

注: NTLM 是较早的一个专有安全协议套件，为用户提供身份验证、完整性和机密性。Kerberos 是一种开放的标准协议，通过使

用票务系统来提供更快的身份验证。Kerberos 为网络系统添加比 NTLM 更高的安全性。

用于 NFS 请求的 Windows 凭据

仅当用户试图通过 NFS 请求访问具有 Windows 访问策略的文件系统时，才会构建或检索 Windows 凭据。UID 提取自 NFS 请求。有

一个全局 Windows 凭据缓存，可帮助避免对具有关联保留时间的每个 NFS 请求构建凭据。如果在此缓存中找到 Windows 凭据，则

不需要执行任何其他操作。如果找不到 Windows 凭据，则查询 UDS 或本地文件来查找 UID 的名称。然后，该名称（也可以通过

ntxmap）用于查找 Windows 用户，同时，从 Windows DC 或 LGDB 检索凭据。如果未找到映射，系统将转为使用默认 Windows 用户

的 Windows 凭据，或者访问将被拒绝。

身份验证和访问