身份映射最佳实践

• 仅当您想让同一用户同时以NFS和SMB客户机访问一组通用文件时，才适合配置细化身份映射规则。如果NFS和SMB客户机要访问不相交的文件系统，则不需要配置任何身份映射规则。

• 重新配置身份映射服务对活动的SMB会话没有任何影响。已连接的用户将保持连接，且其先前的名称映射可用于授权访问其他共享资源（最多 10 分钟）。要防止未经授权的访问，您必须在导出共享资源之前配置映射。

• 身份映射的安全性取决于其与您的目录服务的同步程度。例如，如果您创建了一个基于名称的映射来拒绝访问某特定用户，而该用户的名称发生了更改，则该映射不会再拒绝访问该用户。

• 您只能为每个 Windows 域设置一个双向映射，来将该 Windows 域中的所有用户映射到所有 Unix 身份。如果您想创建多个全域性规则，请确保指定这些规则仅从 Windows 映射到 Unix。

• 尽可能使用 IDMU 映射模式，而非基于目录的映射。