ID 매핑

클라이언트는 SMB 또는 NFS를 사용하여 Oracle ZFS Storage Appliance에서 파일 리소스에 액세스할 수 있으며, 각 클라이언트에는 고유한 사용자 식별자가 지정됩니다. SMB/Windows 사용자의 경우 SID(보안 설명자)가 지정되고 UNIX/Linux 사용자의 경우 UID(사용자 ID)가 지정됩니다. 사용자는 또한 그룹의 구성원일 수도 있는데, 이 경우 그룹 SID(Windows 사용자의 경우) 또는 GID(그룹 ID)(UNIX/Linux 사용자의 경우)로 식별됩니다.

두 프로토콜을 모두 사용하여 파일 리소스에 액세스하는 환경에서는 대개 ID 동일성을 설정하는 것이 좋습니다. 예를 들어 UNIX 사용자는 Active Directory 사용자에 해당합니다. 이는 어플라이언스에서 파일 리소스에 대한 액세스 권한을 결정하는 데 중요합니다.

Active Directory, LDAP, NIS 등의 디렉토리 서비스와 관련된 몇 가지 유형의 ID 매핑이 있습니다. 사용 중인 디렉토리 서비스에 대한 보안 모범 사례를 따를 때는 주의해야 합니다.

Unix용 ID 관리

Microsoft는 IDMU(Identity Management for UNIX)라는 기능을 제공합니다. 이 소프트웨어는 Windows Server 2003에서 사용할 수 있으며 Windows Server 2003 R2 이상과 함께 번들로 제공됩니다. 이 기능은 예전에 Services for UNIX라고 불린 번들되지 않은 형태의 일부였습니다.

IDMU의 주요 용도는 Windows를 NIS/NFS 서버로 지원하는 것입니다. IDMU를 사용하면 관리자가 여러 UNIX 관련 매개변수(그룹에 대한 UID, GID, 로그인 셸, 홈 디렉토리 등)를 지정할 수 있습니다. 이러한 매개변수는 RFC 2307과 비슷하지만 똑같지는 않은 스키마 및 NIS 서비스를 통해 AD에서 사용할 수 있습니다.

IDMU 매핑 모드를 사용하면 ID 매핑 서비스가 이러한 UNIX 속성을 사용하여 Windows 및 UNIX ID 사이에 매핑을 설정합니다. 이 방법은 ID 매핑 서비스가 사용자 정의 스키마를 허용하는 대신 IDMU 소프트웨어가 설정한 등록 정보 스키마를 질의한다는 점만 제외하면 디렉토리 기반 매핑과 매우 비슷합니다. 이 방법을 사용할 경우 다른 디렉토리 기반 매핑은 사용할 수 없습니다.

디렉토리 기반 매핑

디렉토리 기반 매핑은 ID가 반대 플랫폼에서 동일한 ID로 매핑되는 방법에 대한 정보로 LDAP 또는 Active Directory 객체에 주석을 다는 방식입니다. 객체와 연관된 이러한 추가 속성은 반드시 구성해야 합니다.

이름 기반 매핑

이름 기반 매핑은 ID를 이름별로 매핑하는 다양한 규칙을 만드는 방법입니다. 이러한 규칙은 Windows ID 및 UNIX ID 사이에 동일성을 설정합니다.

임시 매핑

특정 사용자에게 이름 기반 매핑 규칙이 적용되지 않으면 해당 사용자는 거부 매핑에 의해 차단된 경우를 제외하고 임시 매핑을 통해 임시 자격 증명을 받습니다. 임시 UNIX 이름을 보유한 Windows 사용자가 시스템에서 파일을 만들면 SMB를 사용하여 파일에 액세스하는 Windows 클라이언트에는 해당 Windows ID에 의해 파일이 소유되고 있다고 나타납니다. 그러나 NFS 클라이언트에는 "nobody"에 의해 파일이 소유되고 있다고 나타납니다.