Reference Guide
группами. Свойство extendedUnixCredEnabled сервера NFS обеспечивает возможность создания учетных данных,
содержащих более 16 групп. Если это свойство задано, в активную службу UDS отправляется запрос с идентификатором
UID для получения идентификатора GID главной группы и всех идентификаторов GID групп, к которым он принадлежит.
Если идентификатор UID не найден в службе UDS, используются учетные данные UNIX, встроенные в запрос.
ПРИМЕЧАНИЕ: В случае безопасного доступа по протоколу NFS учетные данные всегда создаются с использованием
UDS.
Учетные данные UNIX для запросов SMB
Для обработки запросов SMB в файловой системе с несколькими протоколами, в которой применяется политика доступа
UNIX, во время установления сессии предварительно должны быть созданы учетные данные Windows для пользователя
SMB. Идентификатор SID пользователя Windows используется для поиска имени из AD. Это имя затем используется
(посредством ntxmap, если требуется) для поиска идентификаторов Unix (UID и GID) в UDS или в локальном файле (файле
passwd). Принадлежащий пользователю идентификатор UID владельца включается в учетные данные Windows. При
доступе к файловой системе с использованием политики доступа UNIX идентификатор UID пользователя используется для
запроса службы UDS с целью создания учетных данных UNIX, аналогично созданию расширенных учетных данных для
файловой системы NFS. Идентификатор UID требуется для управления квотами.
Учетные данные Windows для запросов SMB
Для обработки запросов SMB в файловой системе только с протоколом SMB или в многопротокольной файловой системе,
где применяется политика доступа Windows или собственная политика доступа, должны использоваться учетные данные
Windows. Учетные данные Windows для протокола SMB требуется создавать только один раз во время запроса
установления сессии при подключении пользователя.
При использовании аутентификации Kerberos учетные данные пользователя включаются в сертификат Kerberos запроса
установления сессии, в отличие от случая, когда используется NTLM (NT LAN Manager). Остальная информация
запрашивается из контроллера домена Windows или LGDB. В случае Kerberos список идентификаторов SID дополнительных
групп берется из сертификата Kerberos и из списка идентификаторов SID дополнительных локальных групп. Список прав
берется из базы данных локальных групп. В случае с NTLM список идентификаторов SID дополнительных групп берется из
контроллера домена (DC) Windows и из списка идентификаторов SID дополнительных локальных групп. Список прав
берется из базы данных локальных групп.
Кроме того, из компонента установки соответствия между пользователями также извлекаются соответствующий
идентификатор UID и главный идентификатор GID. Поскольку идентификатор SID главной группы не используется при
проверке прав доступа, вместо него используется главный идентификатор GID UNIX.
ПРИМЕЧАНИЕ: NTLM — это более старый набор частных протоколов безопасности, который обеспечивает
аутентификацию пользователей, а также целостность и конфиденциальность их данных. Kerberos — это открытый
стандартный протокол, обеспечивающий более быструю аутентификацию за счет использования системы
сертификатов. Kerberos обеспечивает более высокую безопасность для систем в сети, чем NTLM.
Учетные данные Windows для запросов NFS
Учетные данные Windows создаются или извлекаются только тогда, когда пользователь посредством запроса NFS
обращается к файловой системе, в которой действует политика доступа Windows. Идентификатор UID извлекается из
запроса NFS. Предусмотрена глобальная кэш-память учетных данных Windows с соответствующим временем хранения,
которая помогает избежать создания учетных данных для каждого запроса NFS. Если учетные данные Windows найдены в
этой кэш-памяти, никакие другие действия не требуются. Если учетные данные Windows не найдены, для поиска имени для
UID запрашивается UDS или локальный файл. После чего имя используется (если это необходимо, посредством ntxmap),
чтобы найти пользователя Windows, а эти учетные данные извлекаются из контроллера домена Windows или базы данных
LGDB. Если соответствие не найдено, используются учетные данные пользователя Windows по умолчанию либо в доступе
отказывается.
Сведения о Common AntiVirus Agent (CAVA)
Программа Common AntiVirus Agent (CAVA) — антивирусное решение для клиентов, которые используют сервер NAS. В
решении используется протокол файловой системы SMB, соответствующий отраслевому стандарту, в среде Microsoft
30 Аутентификация и доступ