Os clientes podem acessar recursos de arquivo no Oracle ZFS Storage Appliance usando SMB ou NFS, e cada um deles tem um identificador de usuário exclusivo. Os usuários do SMB/Windows têm SIDs (Security Descriptors) e os usuários do UNIX/Linux têm UIDs (User IDs). Os usuários também podem ser membros de grupos identificados por SIDs de Grupo, no caso de usuários do Windows, ou por GIDs (Group IDs), no caso de usuários do UNIX/Linux.
Nos ambientes em que os recursos de arquivo são acessados por meio dos dois protocolos, geralmente convém estabelecer equivalências de identidade em que, por exemplo, um usuário do UNIX é equivalente a um usuário do Active Directory. Isso é importante para determinar os direitos de acesso a recursos de arquivo no appliance.
Há diferentes tipos de mapeamento de identidade que envolvem Serviços de Diretório, como Active Directory, LDAP e NIS. É importante seguir as melhores práticas de segurança para o serviço de diretório que está sendo usado.
A Microsoft oferece um recurso chamado IDMU (Identity Management for UNIX). Esse software está disponível para o Windows Server 2003 e é fornecido com o Windows Server 2003 R2 e versões posteriores. Ele faz parte de um recurso antes denominado Services for UNIX que era fornecido separadamente.
O IDMU é usado principalmente para oferecer suporte ao Windows como um servidor NIS/NFS. O IDMU permite que o administrador especifique vários parâmetros relacionados ao UNIX: UID, GID, shell de login, diretório base e outros parâmetros semelhantes para grupos. Esses parâmetros são disponibilizados com o uso do AD por meio de um esquema semelhante, mas não idêntico ao da RFC2307, e por meio do serviço NIS.
Quando o modo de mapeamento do IDMU é usado, o serviço de mapeamento de identidades utiliza esses atributos UNIX para estabelecer mapeamentos entre identidades do Windows e do UNIX. Essa abordagem é muito semelhante ao mapeamento baseado em diretório; a única diferença é que o serviço de mapeamento de identidades consulta o esquema de propriedades estabelecido pelo software IDMU, em vez de permitir um esquema personalizado. Quando essa abordagem é usada, nenhum outro mapeamento baseado em diretório pode ser usado.
No mapeamento baseado em diretório, informações sobre como a identidade é mapeada para outra equivalente na plataforma oposta são anotadas no objeto do Active Directory ou LDAP. Esses atributos extras associados ao objeto devem ser configurados.
O mapeamento baseado em nome envolve a criação de várias regras que mapeiam as identidades por nome. Essas regras estabelecem equivalências entre as identidades do Windows e as do UNIX.
Se nenhuma regra de mapeamento baseado em nome se aplicar a determinado usuário, ele receberá credenciais temporárias por meio de um mapeamento efêmero, a menos que elas sejam bloqueadas por um mapeamento de negação. Quando um usuário do Windows com um nome UNIX efêmero cria um arquivo no sistema, os clientes Windows que acessam o arquivo usando o SMB veem que ele pertence a essa identidade do Windows. Entretanto, para os clientes NFS, esse arquivo aparece como pertencente ao usuário “nobody”.