SMB 服务使用身份映射服务来关联 Windows 和 UNIX 身份。在 SMB 服务对用户进行验证时,它会使用身份映射服务将用户的 Windows 身份映射到相应的 UNIX 身份。如果某 Windows 用户没有 UNIX 身份,该服务会使用临时的 UID 和 GID 生成临时身份。这些映射可允许 SMB 和NFS客户机同时导出和访问一个共享资源。将 Windows 身份与 UNIX 身份相关联之后,NFS 和 SMB 客户机便可共享同一身份,从而可访问同一组文件。
在 Windows 操作系统中,访问令牌包含登录会话的安全信息,并标识用户、用户组以及用户特权。管理员在工作组或 SAM 数据库(在Active Directory域控制器中进行管理)中定义 Windows 用户和组。每个用户和组都有一个 SID,可在一个主机和一个本地域中,以及所有可能的 Windows 域中,唯一标识用户或组。
UNIX 根据用户验证和文件权限创建用户凭证。管理员在本地密码和组文件或者名称或目录服务(例如 NIS 或 LDAP)中定义 UNIX 用户和组。每个 UNIX 用户和组都有一个 UID 和 GID。通常,UID 或 GID 可唯一标识单个 UNIX 域中的用户或组。但是,这些值在域之间并不是唯一的。
在选择映射模式时可使用以下选项:
基于规则的映射-用于创建各种按名称映射身份的规则,从而在 Windows 身份与 UNIX 身份之间建立等效性。如果希望用户通过 SMB 和 NFS 客户机访问同一组文件,映射规则会很有用。
基于目录的映射-用于为 LDAP 或 Active Directory 对象加注有关如何将身份映射到对应平台上的对等身份的信息。
基于 IDMU 的映射-UNIX 标识管理 (Identity Management for UNIX, IDMU) 是 Microsoft 为 Windows Server 2003 提供的一项功能,与 Windows Server 2003 R2 及更高版本捆绑提供。IDMU 支持 Windows 作为 NIS/NFS 服务器:将 "UNIX Attributes"(UNIX 属性)面板添加到 "Active Directory Users and Computers"(Active Directory 用户和计算机)用户界面。这将允许管理员指定一些与 UNIX 相关的参数,包括 UID、GID、登录 shell 和主目录。这些参数通过使用类似 RFC 2307(但不完全相同)的模式的 Active Directory 提供,也可通过 NIS 服务提供。选择 IDMU 映射模式时,身份映射服务会使用这些 UNIX 属性,以在 Windows 身份与 UNIX 身份之间创建映射。此方法与基于目录的映射非常相似,但是身份映射服务会查询 IDMU 软件建立的属性模式,而不是允许使用定制模式。使用此方法时,无法使用任何其他基于目录的映射。