Les clients peuvent accéder aux ressources de fichiers d'Oracle ZFS Storage Appliance via le protocole SMB ou NFS et chacun d'entre eux dispose d'un identifiant unique. Les utilisateurs SMB/Windows ont des SID (Security Descriptors) et les utilisateurs UNIX/Linux ont des ID utilisateur (UIDs). Les utilisateurs peuvent également faire partie de groupes qui sont identifiés par SID de groupe (pour les utilisateurs Windows) ou ID de groupe (GID) pour les utilisateurs UNIX/Linux.
Dans des environnements où les ressources de fichiers sont accessibles à l'aide des deux protocoles, il est souvent recommandé d'établir des équivalences d'identité où un utilisateur UNIX est équivalent à un utilisateur Active Directory, par exemple. Cette pratique est utile pour déterminer les droits d'accès aux ressources de fichiers sur l'appareil.
Il existe différents types de mappage des identités qui concernent les services d'annuaire tels que Active Directory, LDAP et NIS. Assurez-vous de suivre les meilleures pratiques de sécurité pour le service d'annuaire utilisé.
Microsoft offre une fonctionnalité appelée Identity Management for Unix (IDMU). Ce logiciel est disponible pour Windows Server 2003 et intégré à Windows Server 2003 R2 et aux versions ultérieures. Cette fonction fait partie de l'ancien logiciel Services pour Unix non fourni en standard.
L'utilisation principale d'IDMU est la prise en charge de Windows en tant que serveur NIS/NFS. IDMU permet à l'administrateur de spécifier un nombre de paramètres UNIX : UID, GID, shell de connexion, annuaire personnel et de même type pour les groupes. Ces paramètres sont accessibles dans AD via un schéma similaire (mais pas identique) à celui du document RFC 2307 et via le service NIS.
Lorsque le mode IDMU est utilisé, le service de mappage des identités utilise ces attributs Unix pour établir des correspondances entre les identités Windows et Unix. Cette approche est très similaire au mappage basé sur un annuaire. La seule différence tient au fait que le service de mappage des identités interroge le schéma de propriété établi par le logiciel IDMU au lieu d'autoriser un schéma personnalisé. Lorsque cette approche est utilisée, aucun autre mappage basé sur un annuaire ne peut être utilisé.
Ce type de mappage comprend l'annotation d'un objet LDAP ou Active Directory à l'aide d'informations relatives à la manière dont l'identité est mise en correspondance avec une identité équivalente sur la plate-forme opposée. Ces attributs supplémentaires associés à l'objet doivent être configurés.
L'approche du mappage basé sur un nom consiste en la création de différentes règles de mise en correspondance des identités par nom. Ces règles établissent des équivalences entre les identités Windows et UNIX.
Si aucune règle de mappage basé sur un nom ne s'applique à un utilisateur spécifique, celui-ci reçoit des informations d'identification temporaires via un mappage éphémère (à moins qu'un mappage de refus ne l'interdise). Lorsqu'un utilisateur Windows portant un nom UNIX éphémère crée un fichier sur le système, les clients Windows qui accèdent au fichier par le biais de SMB voient que le fichier appartient à cette identité Windows. En revanche, pour les clients NFS, le fichier appartient à "nobody".