Clients können auf Dateiressourcen in Oracle ZFS Storage Appliance mit SMB oder NFS zugreifen, und jeder Client hat eine eindeutige Benutzer-ID. SMB-/Windows-Benutzer besitzen SIDs (Security Descriptors), während UNIX-/Linux-Benutzer UIDs (User IDs) besitzen. Benutzer können auch Mitglieder von Gruppen sein, die über Gruppen-SIDs (für Windows-Benutzer) bzw. Gruppen-IDs (GIDs) für Unix-/Linux-Benutzer gekennzeichnet sind.
In Umgebungen, in denen über beide Protokolle auf Dateiressourcen zugegriffen wird, ist es häufig ratsam, Identitätsentsprechungen einzurichten, sodass ein UNIX-Benutzer beispielsweise einem bestimmten Active Directory-Benutzer entspricht. Dies ist zur Bestimmung der Zugriffsrechte auf Dateiressourcen auf der Appliance von Bedeutung.
Es gibt verschiedene Arten der Identitätszuordnung, die Directory Services wie Active Directory, LDAP und NIS einbeziehen. Für den verwendeten Directory Service sollten nach Möglichkeit in Bezug auf Sicherheitsverfahren Best Practices zum Einsatz kommen.
Microsoft bietet eine Funktion namens Identity Management for UNIX (IDMU). Diese Software ist für Windows Server 2003 verfügbar und ist in Windows Server 2003 R2 und höher eingebunden. Diese Funktion ist Teil der vormals als Services for UNIX bezeichneten Services in entbündelter Form.
IDMU dient hauptsächlich zur Unterstützung von Windows als NIS-/NFS-Server. Mit IDMU kann der Administrator eine Reihe UNIX-bezogener Parameter angeben: UID, GID, Anmeldeshell, Home-Verzeichnis und Ähnliches für Gruppen. Diese Parameter werden mit AD über ein Schema bereitgestellt, das dem in RFC 2307 beschriebenen ähnelt, sowie über den NIS-Service.
Im IDMU-Zuordnungsmodus verwendet der Identitätszuordnungsservice diese UNIX-Attribute zur Herstellung von Zuordnungen zwischen Windows- und UNIX-Attributen. Dieser Ansatz weist starke Ähnlichkeiten mit der verzeichnisbasierten Zuordnung auf, nur dass der Identitätszuordnungsservice das von der IDMU-Software eingerichtete Eigenschaftsschema abfragt, anstatt ein benutzerdefiniertes Schema zuzulassen. Bei Verwendung dieses Ansatzes darf keine weitere verzeichnisbasierte Zuordnung verwendet werden.
Bei der verzeichnisbasierten Zuordnung werden an ein LDAP- oder Active Directory-Objekt Informationen darüber angehängt, wie dessen Identität einer entsprechenden Identität auf der gegenüberliegenden Plattform zuzuordnen ist. Diese zusätzlichen, mit dem Objekt verknüpften Attribute müssen konfiguriert werden.
Bei der namensbasierten Zuordnung werden verschiedene Regeln erstellt, die die Identitäten nach Namen zuordnen. Diese Regeln stellen Entsprechungen zwischen Windows- und UNIX-Identitäten her.
Gelten für einen bestimmten Benutzer keine namensbasierten Zuordnungsregeln, erhält dieser Benutzer über eine flüchtige Zuordnung temporäre Zugangsdaten, es sei denn, er ist durch eine Zuordnungsverweigerungssperre blockiert. Erstellt ein Windows-Benutzer mit einem flüchtigen UNIX-Namen eine Datei im System, wird Windows-Clients, die auf die Datei über SMB zugreifen, diese Windows-Identität als Eigentümer der Datei angezeigt. NFS-Clients hingegen wird als Eigentümer der Benutzer "nobody" angezeigt.