Reference Guide
● Pour créer des informations d'identification Windows pour une demande NFS lorsque la stratégie d'accès au système de fichiers est
Windows.
REMARQUE : Pour une demande NFS lorsque la propriété des informations d'identification n'est pas définie, les informations
d'identification UNIX de la demande NFS sont utilisées. Lors de l'utilisation de l'authentification Kerberos pour une demande SMB, les
informations d'identification Windows de l'utilisateur du domaine sont incluses dans le ticket Kerberos de la demande de configuration
de session.
Un cache persistant des informations d'identification est utilisé dans les cas suivants :
● Les informations d'identification Windows créées pour accéder à un système de fichiers ayant une stratégie d'accès Windows.
● Les informations d'identification UNIX pour l'accès via NFS si l'option d'informations d'identification étendue est activée.
Il existe une instance de cache pour chaque serveur NAS.
Autorisation d'accès à des utilisateurs non mappés
Un environnement multiprotocole requiert les éléments suivants :
● Un utilisateur Windows doit être mappé sur un utilisateur UNIX.
● Un utilisateur UNIX doit être mappé sur un utilisateur Windows pour générer les informations d'identification Windows lorsque
l'utilisateur accède à un système de fichiers qui dispose d'une stratégie d'accès Windows.
Deux propriétés sont associées au serveur NAS par rapport aux utilisateurs non mappés :
● L'utilisateur UNIX par défaut.
● L'utilisateur Windows par défaut.
Lorsqu’un utilisateur Windows non mappé tente de se connecter à un système de fichiers multiprotocole et que le compte d’utilisateur
UNIX par défaut est configuré pour le serveur NAS, l’ID de l’utilisateur (UID) et l’ID du groupe principal (GID) de l’utilisateur UNIX par
défaut sont utilisés dans les informations d’identification Windows. De même, lorsqu’un utilisateur UNIX non mappé tente de se connecter
à un système de fichiers multiprotocole et que le compte d’utilisateur Windows par défaut est configuré pour le serveur NAS, les
informations d’identification Windows de l’utilisateur Windows par défaut sont utilisées.
REMARQUE :
Si l'utilisateur UNIX par défaut n'est pas défini dans les Services d'annuaire UNIX (UDS), l'accès SMB est refusé pour
les utilisateurs non mappés. Si l’utilisateur Windows par défaut ne se trouve pas dans la LGDB ou le DC Windows, l’accès NFS sur un
système de fichiers qui dispose d’une politique d’accès Windows est refusé pour les utilisateurs non mappés.
REMARQUE : L’utilisateur UNIX par défaut peut être un nom de compte UNIX existant valide ou peut utiliser le nouveau format
@uid=xxxx,gid=yyyy@, où xxxx et yyyy sont, respectivement, les valeurs numériques décimales de l’UID et du GID principal. La
configuration peut être effectuée via PowerStore Manager.
Informations d'identification UNIX pour demandes NFS
Pour gérer les demandes NFS pour un système de fichiers avec protocole NFS uniquement ou multiprotocole avec une stratégie d'accès
UNIX ou une stratégie d'accès native, les informations d'identification UNIX doivent être utilisées. Les informations d'identification UNIX
sont toujours intégrées dans chaque demande ; toutefois, les informations d'identification sont limitées à 16 groupes supplémentaires. La
propriété extendedUnixCredEnabled du serveur NFS permet de générer des informations d’identification avec plus de 16 groupes. Si
cette propriété est définie, l'UDS actif est interrogé avec l'UID pour obtenir le GID principal et tous les GID de groupe auxquels il appartient.
Si l'UID ne se trouve pas dans l'UDS, les informations d'identification UNIX intégrées dans la demande sont utilisées.
REMARQUE : Pour l'accès sécurisé NFS, les informations d'identification sont toujours créées à l'aide de l'UDS.
Informations d'identification UNIX pour demandes SMB
Pour gérer les demandes SMB pour un système de fichiers multiprotocole avec une stratégie d'accès UNIX, les informations
d'identification Windows doivent d'abord être générées pour l'utilisateur SMB lors de la configuration de la session. L'identifiant de session
de l'utilisateur Windows est utilisé pour trouver l'annuaire AD. Ce nom est ensuite utilisé (éventuellement via ntxmap) pour rechercher un
UID et GID Unix à partir de l'UDS ou du fichier local (fichier passwd). L'UID du propriétaire est inclus dans les informations d'identification
Windows. Lors de l'accès à un système de fichiers avec une règle d'accès UNIX, l'UID de l'utilisateur est utilisé pour interroger les UDS afin
de créer les informations d'identification UNIX, de la même façon que lors de la génération d'informations d'identification étendues pour
NFS. L'UID est requis pour la gestion des quotas.
Authentification et accès
27