| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Guide d'administration des systèmes Oracle® ZFS Storage Appliance |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Guide d'administration des systèmes Oracle® ZFS Storage Appliance |
Utilisation de la présente documentation
Chapitre 1 Présentation d'Oracle ZFS Storage Appliance
Chapitre 3 Configuration initiale
Chapitre 4 Configuration réseau
Chapitre 5 Configuration de stockage
Chapitre 6 Configuration du réseau de stockage SAN
Chapitre 7 Configuration utilisateur
Chapitre 8 Définition des préférences de ZFSSA
Chapitre 9 Configuration des alertes
Chapitre 10 Configuration de cluster
Configuration de services à l'aide de la BUI
Affichage de l'écran d'un service spécifique
Affichage de l'écran d'un service spécifique
Affichage des journaux de service
Configuration de services à l'aide de la CLI
Affichage de l'état d'un service
Affichage de l'aide sur un service
Propriétés NFS de la BUI de la CLI
Partage d'un système de fichiers via NFS
Authentification du service iSCSI
Cibles et initiateurs du service iSCSI
Exemple : manipulation des espaces de noms DFS
Ajout d'un utilisateur à un groupe SMB local
Utilisateurs, groupes et connexions SMB
Etablissement de la liste des Services SMB
Configuration du SMB à l'aide de la BUI
Configuration d'Active Directory
Configuration d'un projet et d'un partage
Configuration du service de données SMB
Configuration du FTP à l'aide de la BUI
Autorisation de l'accès FTP à un partage
Authentification et contrôle d'accès HTTP
Autorisation de l'accès HTTP à un partage
Configurations NDMP locales et configurations NDMP distantes
Formats et types de sauvegarde NDMP
Sauvegardes incrémentielles NDMP
Propriétés de la migration shadow
Autorisation de l'accès SFTP à un partage
Configuration des services FTP pour l'accès à distance
Autorisation de l'accès TFTP à un partage
Extensions de fichiers Virus Scan
Configuration de l'analyse antivirus pour un partage
Ajout d'un administrateur de l'appareil à partir de NIS
Ajout d'un administrateur de l'appareil
Rejoindre le domaine Active Directory
Rejoindre le groupe de travail Active Directory
Domaines et groupes de travail Active Directory
Signature LDAP d'Active Directory
Prise en charge de Windows Server 2012 par Active Directory
Prise en charge de Windows Server 2008 par Active Directory
Prise en charge de Windows Server 2008 par Active Directory Section C : remarque sur NTLMv2
Configuration d'Active Directory à l'aide de la BUI
Rejoindre un groupe de travail
Configuration d'Active Directory à l'aide de la CLI
Exemple : configuration d'Active Directory à l'aide de la CLI
Service de mappage des identités
Propriétés de mappage des identités
Mappage des identités : mappage basé sur une règle
Mappage des identités : mappage basé sur un annuaire
Mappage des identités via IDMU
Règles de mappage des identités
Symboles de direction d'une règle de mappage
Mappage des identités : Mappages
Mappage des identités : Journaux
Pratiques recommandées pour le mappage des identités
Concepts de mappage des identités
Sensibilité à la casse du mappage des identités
Exemples de mappage des identités
Configuration du mappage des identités
Configuration du mappage des identités
Affichage ou vidage des mappages
Protocoles de routage dynamique RIP et RIPng
Conseils relatifs au service NTP
Configuration du NTP à l'aide de la BUI
Synchronisation de l'horloge de la BUI
Configuration du NTP à l'aide de la CLI
Compte de connexion unique Oracle
Enregistrement de l'appareil à l'aide de la BUI
Enregistrement de l'appareil à l'aide de l'interface de ligne de commande
Modification des informations relatives au compte
Propriétés des indicateurs de maintenance
Bases de données MIB du service SNMP
Configuration de SNMP afin qu'il indique l'état de l'appareil
Configuration de SNMP afin d'envoyer des déroutements
Format du message d'alerte SYSLOG
Exemples de configuration du récepteur
Configuration d'un récepteur Solaris
Configuration d'un récepteur Linux
Propriétés d'Identité du système
Journaux d'Identité du système
Désactivation de l'accès SSH root
Chapitre 12 Partages, projets et schéma
Chapitre 15 Ecriture de scripts à l'aide de la CLI
Le service SMB utilise le mappage des identités pour associer des identités Windows et Unix. Lorsque le service SMB authentifie un utilisateur, il utilise le service de mappage des identités pour mapper l'identité Windows de l'utilisateur vers l'identité Unix appropriée. Si aucune identité Unix n'existe pour un utilisateur Windows, le service génère une identité temporaire à l'aide d'un UID et d'un GID éphémère. Grâce à ces mappages, un partage peut être exporté et accessible simultanément par des clients SMB et NFS. En associant les identités Windows et Unix, des clients NFS et SMB peuvent partager la même identité, ce qui permet notamment d'accéder au même ensemble de fichiers.
Dans le système d'exploitation Windows, un jeton d'accès contient les informations de sécurité d'une session de connexion et identifie l'utilisateur, ses groupes et ses privilèges. Les administrateurs définissent des utilisateurs et des groupes Windows dans un groupe de travail ou une base de données SAM gérés sur un contrôleur de domaine Active Directory. Chaque utilisateur et chaque groupe possède un SID. Un SID identifie de manière unique un utilisateur ou un groupe au sein d'un hôte et d'un domaine local, ainsi que dans tous les domaines Windows possibles.
Unix crée des informations d'identification utilisateur basées sur l'authentification utilisateur et les autorisations d'accès aux fichiers. Les administrateurs définissent des utilisateurs et des groupes Unix dans des fichiers de mot de passe et de groupe locaux ou dans un service de noms ou d'annuaire, tel que NIS et LDAP. Chaque utilisateur et chaque groupe Unix possède un UID et un GID. En règle générale, l'UID ou le GID identifie de façon unique un utilisateur ou un groupe au sein d'un seul domaine Unix. Toutefois, ces valeurs ne sont pas uniques dans tous les domaines.
Les noms Windows sont sensibles à la casse, contrairement aux noms Unix. Les noms d'utilisateur JSMITH, JSmith et jsmith sont équivalents dans Windows, mais différents dans Unix. La sensibilité à la casse affecte les correspondances de noms différemment en fonction du sens du mappage.
Pour qu'un mappage Windows vers Unix produise une correspondance, la casse du nom d'utilisateur Windows doit être identique à celle du nom d'utilisateur Unix. Par exemple, seul le nom d'utilisateur "jsmith" de Windows correspond au nom d'utilisateur "jsmith" d'Unix. Le nom d'utilisateur Windows "Jsmith" ne correspond pas.
Une exception existe dans les exigences du mappage Windows vers Unix lorsque le caractère générique "*" est utilisé pour établir une correspondance entre plusieurs noms d'utilisateur. Si le service de mappage des identités rencontre la correspondance d'utilisateur Windows *@some.domain vers l'utilisateur Unix "*", il commence par rechercher un nom Unix correspondant exactement au nom Windows. Si aucune correspondance n'est trouvée, le service convertit le nom Windows entier en minuscule et relance la recherche d'un nom Unix correspondant. Par exemple, le nom d'utilisateur Windows "JSmith@some.domain" correspond au nom d'utilisateur Unix "jsmith". Si, après avoir converti le nom d'utilisateur Windows en minuscule, le service ne trouve aucune correspondance, l'utilisateur n'obtient aucun mappage. Vous pouvez créer une règle pour mettre en correspondance les chaînes dont seule la casse diffère. Vous pouvez, par exemple, créer un mappage spécifique à l'utilisateur pour établir une correspondance entre l'utilisateur Windows "JSmith@sun.com" et l'utilisateur Unix "jSmith". Autrement, le service affecte un ID éphémère à l'utilisateur Windows.
Pour qu'un mappage Unix vers Windows produise une correspondance, il n'est pas nécessaire que la casse soit respectée. Par exemple, le nom d'utilisateur Unix "jsmith" correspond à n'importe quel nom d'utilisateur Windows comprenant les lettres "JSMITH", indépendamment de la casse.
Lorsque le service de mappage des identités établit une correspondance de noms, il stocke le mappage pendant 10 minutes, délai au-delà duquel le mappage expire. Durant ses 10 minutes de validité, un mappage persiste malgré les redémarrages du service de mappage des identités. Si le serveur SMB demande une correspondance pour l'utilisateur après l'expiration du mappage, le service réévalue les mappages.
Les modifications apportées aux mappages ou aux annuaires du service de noms n'ont aucune incidence sur les connexions existantes au cours des 10 minutes de validité d'un mappage. Le service évalue les mappages uniquement lorsque le client tente de se connecter à un partage et qu'aucun mappage non expiré n'existe.
Une règle de mappage au niveau du domaine établit une correspondance entre tout ou partie des noms d'un domaine Windows et des noms Unix. Les noms d'utilisateur des deux côtés doivent être exactement identiques (sauf en matière de casse, ce qui dépend des règles mentionnées plus haut). Vous pouvez par exemple créer une règle bidirectionnelle pour établir une correspondance entre tous les utilisateurs Windows de "myDomain.com" et les utilisateurs Unix portant le même nom (et vice versa). Vous pouvez aussi créer une règle pour établir une correspondance entre tous les utilisateurs Windows de "myDomain.com" du groupe "Engineering" et les utilisateurs Unix portant le même nom. Il est impossible de créer des mappages au niveau d'un domaine si ceux-ci sont en conflit avec d'autres mappages.
Si aucune règle de mappage basé sur un nom ne s'applique à un utilisateur spécifique, celui-ci reçoit des informations d'identification temporaires via un mappage éphémère (à moins qu'un mappage de refus ne l'interdise). Lorsqu'un utilisateur Windows portant un nom UNIX éphémère crée un fichier sur le système, les clients Windows qui accèdent au fichier par le biais de SMB voient que le fichier appartient à cette identité Windows. En revanche, pour les clients NFS, le fichier appartient à "nobody".
|