Ignorer les liens de navigation | |
Quitter la vue de l'impression | |
Guide d'administration des systèmes Oracle® ZFS Storage Appliance, version 2013.1.3.0 |
A propos d'Oracle ZFS Storage Appliance
Configuration d'Oracle ZFS Storage Appliance
Utilisation des services d'Oracle ZFS Storage Appliance
Icônes et boutons de la page de services de la BUI
Configuration des services à l'aide de la CLI
Affichage de l'écran d'un service spécifique à l'aide de la BUI
Affichage de l'écran d'un service spécifique
Activation d'un service à l'aide de la BUI
Désactivation d'un service à l'aide de la BUI
Définition des propriétés à l'aide de la BUI
Affichage des journaux de services à l'aide de la BUI
Sélection d'un service à l'aide de la CLI
Affichage de l'état d'un service à l'aide de la CLI
Activation d'un service à l'aide de la CLI
Désactivation d'un service à l'aide de la CLI
Définition des propriétés à l'aide de la CLI
Affichage de l'aide d'un service à l'aide de la CLI
Configuration des domaines Kerberos pour NFS
Partage d'un système de fichiers via NFS
Ajout d'espaces de noms à un groupe SMB local
Ajout d'un utilisateur à un groupe SMB local
Utilisateurs, groupes et connexions SMB
Etablissement de la liste des Services SMB
Configuration du service SMB à l'aide de la BUI
Configuration d'Active Directory pour SMB à l'aide de la BUI
Configuration d'un projet et d'un partage SMB à l'aide de la BUI
Configuration d'un service de données SMB à l'aide de la BUI
Autorisation de l'accès FTP à un partage à l'aide de la BUI
Authentification et contrôle d'accès HTTP
Autorisation de l'accès HTTP à un partage à l'aide de la BUI
Configurations NDMP locales et configurations NDMP distantes
Formats et types de sauvegarde NDMP
Sauvegardes incrémentielles NDMP
Utilisation de la réplication distante
Utilisation de la migration shadow
Autorisation de l'accès SFTP à un partage à l'aide de la BUI
Configuration du service SFTP pour un accès à distance à l'aide de la CLI
Autorisation de l'accès TFTP à un partage à l'aide de la BUI
Utilisation de l'analyse antivirus
Propriétés de l'analyse antivirus
Extensions de fichiers de l'analyse antivirus
Configuration de l'analyse antivirus pour un partage à l'aide de la BUI
Ajout d'un administrateur de l'appareil à partir de NIS à l'aide de la BUI
Définition de propriétés à plusieurs paires de valeurs d'attributs dans la CLI
Ajout d'un administrateur de l'appareil à l'aide de la BUI
Utilisation d'Active Directory
Rejoindre le domaine Active Directory
Rejoindre le groupe de travail Active Directory
Domaines et groupes de travail Active Directory
Signature LDAP d'Active Directory
Prise en charge de Windows Server par Active Directory
Rejoindre un domaine AD à l'aide de la BUI
Rejoindre un groupe de travail AD à l'aide de la BUI
Configuration d'Active Directory à l'aide de la CLI
Utilisation du mappage des identités
Règles de mappage des identités
Symboles de direction d'une règle de mappage
Pratiques recommandées pour le mappage des identités
Configuration du mappage des identités à l'aide de la BUI
Affichage des mappages à l'aide de la BUI
Vidage des mappages à l'aide de la BUI
Utilisation du routage dynamique
Configuration de la synchronisation temporelle à l'aide de la BUI
Configuration du service NTP à l'aide de la CLI
Utilisation du service Phone Home
Enregistrement de l'appareil à l'aide de la BUI
Enregistrement de l'appareil à l'aide de la CLI
Modification des informations relatives au compte à l'aide de la BUI
Utilisation des indicateurs de maintenance
Bases de données MIB du service SNMP
Configuration du service SNMP afin qu'il indique l'état de l'appareil à l'aide de la BUI
Configuration du service SNMP afin d'envoyer des déroutements à l'aide de la BUI
Format du message d'alerte SYSLOG
Exemple de configuration d'un récepteur Solaris à l'aide de la CLI
Exemple de configuration d'un récepteur Linux à l'aide de la CLI
Utilisation de l'identité du système
Désactivation de l'accès SSH root à l'aide de la CLI
Le service SMB utilise le mappage des identités pour associer des identités Windows et Unix. Lorsque le service SMB authentifie un utilisateur, il utilise le service de mappage des identités pour mapper l'identité Windows de l'utilisateur avec l'identité Unix appropriée. Si aucune identité Unix n'existe pour un utilisateur Windows, le service génère une identité temporaire à l'aide d'un UID et d'un GID éphémère. Grâce à ces mappages, un partage peut être exporté et accessible simultanément par des clients SMB et NFS . En associant les identités Windows et Unix, des clients NFS et SMB peuvent partager la même identité, ce qui permet notamment d'accéder au même ensemble de fichiers.
Dans le système d'exploitation Windows, un jeton d'accès contient les informations de sécurité d'une session de connexion et identifie l'utilisateur, ses groupes et ses privilèges. Les administrateurs définissent des utilisateurs et des groupes Windows dans un groupe de travail ou une base de données SAM gérés sur un contrôleur de domaine Active Directory . Chaque utilisateur et chaque groupe possède un SID. Un SID identifie de manière unique un utilisateur ou un groupe au sein d'un hôte et d'un domaine local, ainsi que dans tous les domaines Windows possibles.
Unix crée des informations d'identification utilisateur basées sur l'authentification utilisateur et les autorisations d'accès aux fichiers. Les administrateurs définissent des utilisateurs et des groupes Unix dans des fichiers de mot de passe et de groupe locaux ou dans un service de noms ou d'annuaire, tel que NIS et LDAP. Chaque utilisateur et chaque groupe Unix possède un UID et un GID. En règle générale, l'UID ou le GID identifie de façon unique un utilisateur ou un groupe au sein d'un seul domaine Unix. Toutefois, ces valeurs ne sont pas uniques dans tous les domaines.
Les noms Windows sont sensibles à la casse, contrairement aux noms Unix. Les noms d'utilisateur JSMITH, JSmith et jsmith sont équivalents dans Windows, mais différents dans Unix. La sensibilité à la casse affecte les correspondances de noms différemment en fonction du sens du mappage.
Pour qu'un mappage Windows vers Unix produise une correspondance, la casse du nom d'utilisateur Windows doit être identique à celle du nom d'utilisateur Unix. Par exemple, seul le nom d'utilisateur "jsmith" de Windows correspond au nom d'utilisateur "jsmith" d'Unix. Le nom d'utilisateur Windows "Jsmith" ne correspond pas.
Une exception existe dans les exigences du mappage Windows vers Unix lorsque le caractère générique "*" est utilisé pour établir une correspondance entre plusieurs noms d'utilisateur. Si le service de mappage des identités rencontre la correspondance d'utilisateur Windows *@some.domain vers l'utilisateur Unix "*", il commence par rechercher un nom Unix correspondant exactement au nom Windows. Si aucune correspondance n'est trouvée, le service convertit le nom Windows entier en minuscule et relance la recherche d'un nom Unix correspondant. Par exemple, le nom d'utilisateur Windows "JSmith@some.domain" correspond au nom d'utilisateur Unix "jsmith". Si, après avoir converti le nom d'utilisateur Windows en minuscule, le service ne trouve aucune correspondance, l'utilisateur n'obtient aucun mappage. Vous pouvez créer une règle pour mettre en correspondance les chaînes dont seule la casse diffère. Vous pouvez, par exemple, créer un mappage spécifique à l'utilisateur pour établir une correspondance entre l'utilisateur Windows "JSmith@sun.com" et l'utilisateur Unix "jSmith". Autrement, le service affecte un ID éphémère à l'utilisateur Windows.
Pour qu'un mappage Unix vers Windows produise une correspondance, il n'est pas nécessaire que la casse soit respectée. Par exemple, le nom d'utilisateur Unix "jsmith" correspond à n'importe quel nom d'utilisateur Windows comprenant les lettres "JSMITH", indépendamment de la casse.
Lorsque le service de mappage des identités établit une correspondance de noms, il stocke le mappage pendant 10 minutes, délai au-delà duquel le mappage expire. Durant ses 10 minutes de validité, un mappage persiste malgré les redémarrages du service de mappage des identités. Si le serveur SMB demande une correspondance pour l'utilisateur après l'expiration du mappage, le service réévalue les mappages.
Les modifications apportées aux mappages ou aux annuaires du service de noms n'ont aucune incidence sur les connexions existantes au cours des 10 minutes de validité d'un mappage. Le service évalue les mappages uniquement lorsque le client tente de se connecter à un partage et qu'aucun mappage non expiré n'existe.
Une règle de mappage au niveau du domaine établit une correspondance entre tout ou partie des noms d'un domaine Windows et des noms Unix. Les noms d'utilisateur des deux côtés doivent être exactement identiques (sauf en matière de casse, ce qui dépend des règles mentionnées plus haut). Vous pouvez par exemple créer une règle bidirectionnelle pour établir une correspondance entre tous les utilisateurs Windows de "myDomain.com" et les utilisateurs Unix portant le même nom (et vice versa). Vous pouvez aussi créer une règle pour établir une correspondance entre tous les utilisateurs Windows de "myDomain.com" du groupe "Engineering" et les utilisateurs Unix portant le même nom. Il est impossible de créer des mappages au niveau d'un domaine si ceux-ci sont en conflit avec d'autres mappages.
Si aucune règle de mappage basé sur un nom ne s'applique à un utilisateur spécifique, celui-ci reçoit des informations d'identification temporaires via un mappage éphémère (à moins qu'un mappage de refus ne l'interdise). Lorsqu'un utilisateur Windows portant un nom UNIX éphémère crée un fichier sur le système, les clients Windows qui accèdent au fichier par le biais de SMB voient que le fichier appartient à cette identité Windows. En revanche, pour les clients NFS, le fichier ne présente aucun propriétaire.