1 Oracle ZFS Storage Appliance 개요
6 SAN(Storage Area Network) 구성
SMB Microsoft 독립형 DFS 이름 공간 관리 도구 지원 표
Active Directory Windows Server 2012 지원
Active Directory Windows Server 2008 지원
Active Directory Windows Server 2008 지원 섹션 A: Kerberos 문제(KB951191)
Active Directory Windows Server 2008 지원 섹션 B: NTLMv2 문제(KB957441)
Active Directory Windows Server 2008 지원 섹션 C: NTLMv2 정보
SMB 서비스는 ID 매핑 서비스를 사용하여 Windows 및 Unix ID를 연결합니다. SMB 서비스는 사용자를 인증할 때 ID 매핑 서비스를 사용하여 사용자의 Windows ID를 적절한 Unix ID로 매핑합니다. Windows 사용자에 대해 Unix ID가 존재하지 않으면 서비스가 임시 UID 및 GID를 사용하여 임시 ID를 생성합니다. 이러한 매핑을 사용하면 공유를 내보내고 SMB 및 NFS 클라이언트에서 공유에 동시 액세스할 수 있습니다. Windows 및 Unix ID를 연결하면 NFS 및 SMB 클라이언트가 동일한 ID를 공유할 수 있으므로 동일한 파일 세트에 액세스할 수 있습니다.
Windows 운영 체제의 액세스 토큰에는 로그인 세션에 대한 정보가 포함되며 사용자, 사용자의 그룹 및 사용자의 권한을 식별합니다. 관리자는 작업 그룹이나 Active Directory 도메인 컨트롤러에서 관리되는 SAM 데이터베이스에서 Windows 사용자 및 그룹을 정의합니다. 각 사용자 및 그룹에는 SID가 있습니다. SID는 호스트 및 로컬 도메인 내부와 가능한 모든 Windows 도메인에서 사용자 또는 그룹을 고유하게 식별합니다.
Unix는 사용자 인증 및 파일 권한을 기반으로 사용자 자격 증명을 만듭니다. 관리자는 로컬 암호 및 그룹 파일이나 이름 또는 디렉토리 서비스(예: NIS 및 LDAP)에서 Unix 사용자 및 그룹을 정의합니다. 각 Unix 사용자 및 그룹에는 UID 및 GID가 있습니다. 일반적으로 UID 또는 GID는 단일 Unix 도메인에서 사용자 또는 그룹을 고유하게 식별합니다. 그러나 이러한 값은 도메인에서 고유하지 않습니다.
Windows 이름은 대소문자를 구분하지 않지만 Unix 이름은 대소문자를 구분합니다. 사용자 이름 JSMITH, JSmith 및 jsmith가 Windows에서는 모두 동일하지만 Unix에서는 서로 다른 3개의 이름입니다. 대소문자 구분은 매핑의 방향에 따라 이름 매핑에 다르게 영향을 줍니다.
Windows-to-Unix 매핑이 일치 항목을 생성하기 위해서는 Windows 사용자 이름의 대소문자가 Unix 사용자 이름의 대소문자와 일치해야 합니다. 예를 들어, Windows 사용자 이름 "jsmith"만 Unix 사용자 이름 "jsmith"와 일치합니다. Windows 사용자 이름 "Jsmith"는 일치하지 않습니다.
Windows-to-Unix 매핑을 위한 대소문자 일치 요구 사항의 예외는 매핑이 여러 사용자 이름을 매핑하기 위해 와일드카드 문자 "*"를 사용할 경우에 발생합니다. ID 매핑 서비스에서 Windows 사용자 *@some.domain을 Unix 사용자 "*"로 매핑하는 매핑이 발생하면 먼저 Windows 이름과 똑같이 일치하는 Unix 이름을 검색합니다. 일치 항목을 찾지 못하면 서비스가 전체 Windows 이름을 소문자로 전환하고 다시 일치하는 Unix 이름을 검색합니다. 예를 들어, Windows 사용자 이름 "JSmith@some.domain"은 Unix 사용자 이름 "jsmith"로 매핑됩니다. 만일 Windows 사용자 이름을 소문자로 전환한 후에 서비스가 일치 항목을 찾지 못하면 사용자가 매핑을 얻지 못합니다. 대소문자만 다른 문자열이 일치하도록 규칙을 만들 수 있습니다. 예를 들어, 사용자별 매핑을 만들어 Windows 사용자 "JSmith@sun.com"을 Unix 사용자 "jSmith"로 매핑할 수 있습니다. 그렇지 않은 경우 서비스가 임시 ID를 Windows 사용자에게 지정합니다.
Unix-to-Windows 매핑은 일치 항목 생성 시 대소문자가 일치하지 않아도 됩니다. 예를 들어, Unix 사용자 이름 "jsmith"는 대소문자와 상관없이 "JSMITH" 문자가 포함된 Windows 사용자 이름과 일치합니다.
ID 매핑 서비스가 이름 매핑을 제공할 경우 매핑은 10분 동안 저장되었다가 만료됩니다. 수명 10분 동안 매핑은 ID 매핑 서비스가 다시 시작되면 유지됩니다. 매핑이 만료된 후에 SMB 서버가 사용자에 대한 매핑을 요청하면 서비스가 매핑을 다시 평가합니다.
매핑이나 이름 서비스 디렉토리를 변경해도 매핑 수명 10분 동안에는 기존 연결에 영향이 미치지 않습니다. 서비스는 클라이언트가 공유에 연결하려 하고 만료되지 않은 매핑이 없는 경우에만 매핑을 평가합니다.
도메인 차원 매핑 규칙은 Windows 도메인의 일부 또는 모든 이름을 Unix 이름과 일치시킵니다. 양측의 사용자 이름이 정확히 일치해야 합니다(대소문자 구분이 충돌하는 경우는 예외적으로 위에서 설명한 규칙을 따름). 예를 들어, "myDomain.com"에 있는 모든 Windows 사용자를 동일한 이름의 Unix 사용자와 일치시키거나 반대로 일치시키는 양방향 규칙을 만들 수 있습니다. 또 다른 예로 "myDomain.com"에 있는 "Engineering" 그룹의 모든 Windows 사용자를 동일한 이름의 Unix 사용자로 매핑하는 규칙을 만들 수 있습니다. 다른 매핑과 충돌하는 도메인 차원 매핑은 만들 수 없습니다.
특정 사용자에게 이름 기반 매핑 규칙이 적용되지 않으면 해당 사용자는 거부 매핑에 의해 차단된 경우를 제외하고 임시 매핑을 통해 임시 자격 증명을 받습니다. 임시 Unix 이름을 보유한 Windows 사용자가 시스템에서 파일을 만들면 SMB를 사용하여 파일에 액세스하는 Windows 클라이언트에는 해당 Windows ID에 의해 파일이 소유되고 있다고 나타납니다. 그러나 NFS 클라이언트에는 "nobody"에 의해 파일이 소유되고 있다고 나타납니다.