仅当您想让同一用户同时以NFS和SMB客户机访问一组通用文件时,才适合配置细化身份映射规则。如果NFS和SMB客户机要访问不相交的文件系统,则不需要配置任何身份映射规则。
重新配置身份映射服务对活动的SMB会话没有任何影响。已连接的用户将保持连接,且其先前的名称映射可用于授权访问其他共享资源(最多 10 分钟)。要防止未经授权的访问,您必须在导出共享资源之前配置映射。
身份映射的安全性取决于其与您的目录服务的同步程度。例如,如果您创建了一个基于名称的映射来拒绝访问某特定用户,而该用户的名称发生了更改,则该映射不会再拒绝访问该用户。
您只能为每个 Windows 域设置一个双向映射,来将该 Windows 域中的所有用户映射到所有 Unix 身份。如果您想创建多个全域性规则,请确保指定这些规则仅从 Windows 映射到 Unix。
尽可能使用 IDMU 映射模式,而非基于目录的映射。