客户机可以使用 SMB 或 NFS 访问 Oracle ZFS Storage Appliance 上的文件资源,每个客户机都有一个唯一的用户标识符。SMB/Windows 用户具有安全描述符 (Security Descriptor, SID),UNIX/Linux 用户具有用户 ID (User ID, UID)。用户还可以是组的成员,这些组由组 SID 标识(对于 Windows 用户)或者由组 ID (Group ID, GID) 标识(对于 UNIX/Linux 用户)。
在同时使用这两种协议访问文件资源的环境中,通常最好建立身份对等关系,例如某个 UNIX 用户等效于某个 Active Directory 用户。这对于确定该设备上文件资源的访问权限非常重要。
有多种不同类型的身份映射,这涉及 Active Directory、LDAP 和 NIS 等目录服务。对于要使用的目录服务,应当小心遵循安全最佳做法。
Microsoft 提供了一项称为“UNIX 标识管理”( Identity Management for UNIX, IDMU) 的功能。此软件适用于 Windows Server 2003,且已与 Windows Server 2003 R2 和更高版本捆绑。此功能是之前称为 "Services for UNIX" 的功能的一部分(采用非捆绑形式)。
IDMU 的主要用途是支持将 Windows 作为 NIS/NFS 服务器。IDMU 允许管理员指定一组与 UNIX 相关的参数:UID、GID、登录 shell、起始目录,对于组也有类似的参数。这些参数是使用 AD 通过类似 RFC 2307(但不完全相同)的模式以及 NIS 服务提供的。
使用 IDMU 映射模式时,身份映射服务将使用这些 UNIX 属性在 Windows 身份与 UNIX 身份之间建立映射关系。此方法与基于目录的映射非常相似,但是身份映射服务会查询 IDMU 软件建立的属性模式,而不是允许使用定制模式。使用此方法时,无法使用任何其他基于目录的映射。
基于目录的映射涉及为 LDAP 或 Active Directory 对象加注有关如何将身份映射到对应平台上的对等身份的信息。必须配置这些与对象关联的额外属性。
基于名称的映射涉及创建各种按名称映射身份的规则。这些规则在 Windows 身份与 UNIX 身份之间建立对等关系。
如果没有适用于特定用户的基于名称的映射规则,系统将通过临时映射为该用户提供临时凭证,除非这些临时凭证被拒绝映射阻止。当拥有临时 UNIX 名称的 Windows 用户在系统上创建一个文件时,使用 SMB 访问该文件的 Windows 客户机将认为该文件归该 Windows 身份所有。但是,NFS 客户机将认为该文件归 "nobody" 所有。