UserNameMapping和ServicesforUNIXNFS支持.doc

User Name Mapping 和 Services for UNIX NFS 支持 操作系统 技术指南 摘要 Microsoft Windows Services for UNIX 2.0 包括 User Name Mapping。这是一个在 Windows 和 UNIX 的名称空间之间映射用户名的组件。 引言 Windows 和 UNIX 操作系统使用不同的机制来进行用户标识、身份验证和资源访问控制。在异构网络中，用户在 UNIX 网络和 Windows 网络中各有帐户。由于 Windows 和 UNIX 的用户标识和用户名在存储与使用方面各不相同，因此，即使两个网络中的用户相同，这两套名称之间也没有关联。 采用不同用户名和不同标识机制的独立名称空间给提供跨域资源访问的服务带来了问题。为了使这些服务正确运行，这些服务需要使用其各自的名称空间中的用户标识。另一方面，用户喜欢使用他们习惯的名称空间。 本指南讲述如何在基于 Windows 的网络的用户名和基于 UNIX 的网络的用户名之间进行相互映射。 NFS 中的用户标识 默认情况下，NFS 协议使用 UNIX 用户标识进行访问控制。这种用户标识通常由用户标识符 (UID) 和组标识符 (GID) 组成。基于 Windows 的 NFS 服务器必须从 NFS 请求中识别出 Windows 名称空间中的请求用户。由于基于 Windows 的计算机和域不使用 UID 和 GID 进行标识，因此需要从 NFS 请求中包含的 UID 和 GID 到 Windows 用户名进行映射。基于 Windows 的 NFS 客户机需要在转发 NFS 请求之前先将请求的 Windows 用户的用户名映射到 UID/GID。 访问基于 UNIX 的 NFS 资源的 Windows 用户需要提供 UNIX 标识 (UID/GID)。这就要求 Windows 用户使用他们的 UNIX 用户名和密码在 UNIX 网络中验证自己的身份。 管理问题 许多基于 Windows 的 NFS 产品（或提供跨域进行资源访问的其它服务）在每台计算机上都创建映射，提供跨平台标识的 NFS 服务。由于增加、删除或更改帐户时，每台计算机或服务器上的映射都必须保持一致，所以维护这些映射既困难又耗时。提供这些服务的所有服务器必须具有一致的映射，以便从网络中任何位置都可以访问资源。 User Name Mapping User Name Mapping 是 Services for UNIX 的一个组件。该组件提供在基于 Windows 的网络用户名和基于 UNIX 的网络用户名之间进行相互映射的功能。对于那些在基于 Windows 和基于 UNIX 的域中具有不同身份的用户，这是将两个网络中的用户名关联起来的一种方法。该组件的设计目标如下： 在网络间共享一套用户名映射。Client for NFS、Server for NFS 和 Gateway for NFS 的多个实例应只使用一套映射。这将使用户在使用任意计算机上的任意 NFS 产品时可以进行一致的访问。 减轻维护提供 NFS 服务或远程 Shell 程序服务 (Remote Shell Service) 的所有 Windows 计算机上的映射管理任务。 使 Windows 用户通过一次注册即可访问基于 UNIX 的 NFS 资源。用户不必记住两套用户名和密码，也不必分别对两个操作系统进行注册。 User Name Mapping 在 Windows 和 UNIX 的用户名之间创建映射。这些映射是以表的形式来维护的，如表 1 所示。 表 1 Windows 和 UNIX 之间的用户名映射。 Windows 用户名Windows 域UNIX 用户名UNIX 域UID/GIDJohnDoeIndwindowsJohndIndunix1090/201MaryjaneIndwindowsMaryjIndunix1223/201所有 Services for UNIX 网络文件服务 (NFS) 组件 - Server for NFS、Client for NFS 和 Gateway for NFS - 都使用 User Name Mapping 对 NFS 进行标识和资源访问。 User Name Mapping 的益处 中央映射服务器 User Name Mapping 可以部署在组织内部的单个节点上，而网络中所有的 NFS 组件都可以访问该映射服务器。这允许从所有计算机中进行一致的 NFS 访问。使用一台中央服务器还有助于降低管理成本。 允许进行简单和高级映射 使用 User Name Mapping，可很方便地在基于 Windows 的网络和基于 UNIX 的网络中用户名相同的用户之间进行映射。使用简单映射，UNIX 和 Windows 网络中用户名相同的用户被自动映射，而无需管理员的介入。使用 User Name Mapping 中的高级选项,还可以映射用户名不同的用户。 支持多个基于 Windows 的域和基于 NIS 的域 User Name Mapping 可以在任何 NIS 域的多个用户名和任何 Windows 域的一个用户名之间建立高级映射。这允许映射服务器能够在多个域间共享。 映射用户和组 User Name Mapping 服务既可以映射用户名，又可以映射两个名称空间之间的组名。 定期刷新 NIS、PCNFS 和 Windows 用户名 User Name Mapping 定期刷新 Windows 域控制器和基于 NIS 的服务器或 PCNFS 中的用户名。无论是在 UNIX 域还是在 Windows 域中添加或删除了一个用户，均可自动添加或删除映射。该功能的主要优点是，无需管理员介入即可更改 UNIX 和 Windows 名称空间中的用户。 提供命令行、图形界面和远程管理能力 可使用图形用户界面 (GUI) 或命令行实用程序创建、维护和管理用户名映射。这可简化用户名映射的管理工作。 支持对映射进行备份和还原 User Name Mapping 可以将已创建的映射保存到文件中，或是从文件装载它们，并填充映射服务器。该功能特别适用于将映射备份到 User Name Mapping 服务器的地址失败中。 允许多个 Windows 用户映射到一个 UNIX 用户 使用 User Name Mapping 可很方便地将多个 Windows 用户名映射到一个 UNIX 用户名。当 UNIX 和 Windows 用户之间没有一一对应关系时，这是非常有用的。当必须按照不同等级的访问特权提供对基于 UNIX 的文件服务器的访问时，可能要用到这一功能。 验证 UNIX 用户名和密码 User Name Mapping 使用 UNIX 加密算法验证 UNIX 用户名和密码，并提供 UNIX 标识。在 Windows 用户要求使用用户未映射到的 UNIX 帐户访问 UNIX 资源的情况下，这是非常有用的。 安装 User Name Mapping 安装 User Name Mapping User Name Mapping 可以作为 Services for UNIX 的组件安装到任何一台运行 Windows NT 4.0 或 Windows 2000 的计算机上。然而，为了将它作为中央服务器使用，应该将它安装到作为服务器级计算机使用的 Windows NT 4.0 或 Windows 2000 服务器上。默认情况下，该组件没有被选中，而且必须在自定义安装中才能选中它。既可以使用 GUI 工具也可以使用命令行工具来安装 User Name Mapping。 配置 NFS 组件 Services for UNIX NFS 组件、Server for NFS、Client for NFS 和 Gateway for NFS，都可以配置为使用特定 User Name Mapping 服务器。还可以在安装 Services for UNIX 期间配置 User Name Mapping 服务器的名称。另外，可以对 User Name Mapping 服务器进行设置，以便使用 Services for UNIX 管理。可以为每一个 NFS 组件选择要使用的 User Name Mapping 服务器。 如果您的浏览器不支持行内框，请单击此处查看独立的页面。 图 1 Services for UNIX 管理中 Server for NFS 屏幕的实例。 安装 Server for NFS Authentication 为了使 Server for NFS 正确运行，还必须安装 Server for NFS Authentication。Services for UNIX 要求将 Server for NFS Authentication 和 Server for NFS 安装到同一台计算机上。如果要使用 User Name Mapping 将 UNIX 用户名映射到本地 Windows 用户名，那么这就是必要的。在本地服务器运行的 Server for NFS Authentication 便于使用 Windows 用户帐户访问 NFS 资源。 为了便于使用 Windows 域用户的凭据访问 Server for NFS 上的 NFS 资源，必须将 Server for NFS Authentication 安装到该 Windows 域中的所有域控制器上。如果要使用 User Name Mapping 将 UNIX 用户名映射到 Windows 域用户名，那么这就是必要的。此外，还必须将 Server for NFS Authentication 安装到要映射 UNIX 用户的所有域的域控制器上。 例如，假设用户名为 paul 的 UNIX 用户与 ntphyslab (ntphyslabpaulv) 域中的 Windows 用户 paulv 是同一个人。当 paul 使用 UNIX 客户机访问驻留在 Windows 服务器上的 NFS 文件时，Server for NFS 必须使用 ntphyslabpaulv 的凭据才能访问这些 NFS 文件。为了使访问成功，必须将 Server for NFS Authentication 安装到 ntphyslab 域中的所有域控制器上。 配置 User Name Mapping 在配置 User Name Mapping 之前，必须先掌握某些信息。 1. 确定基于 UNIX 的网络是使用 NIS 还是使用 /etc/passwd 和 /etc/group 文件。还需要确定是否使用 PCNFS 来验证基于 Windows 的 NFS 客户机的身份。 2. 如果使用 NIS，确定 Windows 主域和 UNIX NIS 主服务器，以便在它们之间映射用户名。多数用户将在这两个域中设立帐户。 3. 如果使用 PCNFS 服务器，必须使用基于 Windows 的 PCNFS 服务器，才能用 User Name Mapping 通过该服务器进行用户名映射。您应该知道 Windows PCNFS 服务器使用的密码和组文件的位置。 4. 对于多数用户来说，在 Windows 域和 UNIX 域中的用户名应是相同的。这些用户可以使用 User Name Mapping 提供的 Simple Mapping 进行映射。对于具有不同用户名的用户，必须使用 Advanced Mapping 进行映射。您应当编制一个具有不同用户名的用户列表。 5. Simple Mapping 只允许在一个 Windows 域和另一个 UNIX NIS 域 (或 PCNFS) 之间存在一个映射。对于其他 Windows 域或 UNIX 域中的用户，必须使用 Advanced Mapping 进行映射。 6. 如果需要拒绝某些用户的访问或为他们提供“匿名”特权，就必须使用 Advanced Mapping 来映射他们的用户名。 7. 如果需要将多个 Windows 用户映射到一个 UNIX 用户，则必须使用 Advanced Mapping。这主要适用于 Client for NFS 或 Gateway for NFS。必须使用少量的“访问级别”为大量 Windows 用户提供 NFS 访问时，这是非常有用的。 Simple Mapping 假设一个组织具有许多 Windows 域和 UNIX NIS 域，参见图 2。该组织想要在名为 ntphyslab 的 Windows 域中某台计算机上安装 Server for NFS。在一个同时具有 UNIX 和 Windows 计算机的组织中，如果用户在 UNIX 域和 Windows 域中都具有帐户，使用 Simple Mapping（简单映射）可以很方便地地映射这些用户。如果想要访问该 NFS 服务器的多数 UNIX 用户具有此 Windows 域中的帐户，也具有另一个 UNIX 域中的帐户，简单映射将提供最简单的映射方式。假设多数 NFS 用户在名为 uxphyslab 的 UNIX 域中具有帐户。 如果您的浏览器不支持行内框，请单击此处查看独立的页面。 图 2 ntphyslab 和 uxphyslab 之间的映射。 在该例中，应使用简单映射来映射 ntphyslab 和 uxphyslab 之间的用户名。 假设一部分用户在基于 UNIX 和 Windows 的域中都具有帐户。一旦在这两个域之间都启用了 Simple Mapping，这些用户将被自动映射到彼此的域，并且管理员不必分别映射这些用户名。 ntphyslab 和 uxphyslab 域具有大量公用的用户和组。我们已经配置了 User Name Mapping，以便在这两个域之间创建简单映射。 图 3 表示 UNIX 域 uxphyslab 和 Windows 域 ntphyslab 之间的相互映射。在这两个域中具有相同用户名的所有用户都已相互映射。例如，它将 Windows 用户 john 和 UNIX 用户 john 相关联。 如果您的浏览器不支持行内框，请单击此处查看独立的页面。 图 3 Services for UNIX 管理中 User Name Mapping 屏幕的实例。 利用 Client for NFS 访问 NFS 资源 假设要使用 Client for NFS 从一台 Windows 2000 计算机连接到 UNIX NFS。在该例中，使用 Windows 计算机的 mary 想安装一个 UNIX NFS 共享 (157.60.253.91y)。如下图所示，ntphyslabmary 被映射到 uxphyslabmary。在 UNIX 域中，mary 的 UID/GID 为 627/200。 Mary 使用她自己的 Windows 凭据，通过 net 命令连接到一个 UNIX 共享，请参见图 4. Client for NFS 使用 User Name Mapping 将 ntphyslabmary 映射到 uxphyslabmary。由于 Mary 已在 ntphyslab 域中进行了身份验证，所以 Client for NFS 不要求她在 UNIX uxphyslab 域中进行身份验证。它使用 User Name Mapping 在 NFS 请求中提供的 uxphyslabmary 的 UID 和 GID。这使用户能够通过一次注册1即可访问多个 UNIX NFS 共享。注意，用来（通过驱动器 i:）安装和访问该 NFS 共享的 UID/GID 是 627/200，它属于 uxphyslabmary。 如果您的浏览器不支持行内框，请单击此处查看独立的页面。 图 4 作为 ntphyslabmary 运行的 Windows 命令会话实例。 Client for NFS 还允许使用 UNIX 用户名和密码连接到 NFS 共享。它不使用 User Name Mapping 来映射用户名。而是通过 User Name Mapping 使用 UNIX 用户名和密码来验证该 UNIX 域用户的身份。User Name Mapping 使用 NIS 或 PCNFS 来验证用户名和密码。 图 5 表示在该 UNIX 计算机上的 ls 的输出。注意，该文件的 UID 和 GID 是被映射用户即 uxphyslabmary 的 UID 和 GID。 如果您的浏览器不支持行内框，请单击此处查看独立的页面。 图 5 UNIX 计算机上 ls 输出的实例。 利用 Server for NFS 访问文件 一旦通过 User Name Mapping 建立了映射，UNIX 用户即可在 Server for NFS 上安装并访问 NFS 共享。根据 Windows 计算机上映射用户的凭据，为访问文件的 UNIX 用户提供访问权。UNIX 计算机的文件访问权与该文件的权限位是一致的。下例说明 UNIX 根如何安装由 Server for NFS 计算机导出的 NFS 共享。此例还说明 UNIX 用户如何在该计算机上创建文件或目录。可以看出，该用户创建的文件的 UID 和 GID 是正确的。 roottpilx2 /root# showmount -e vivekn02Export list for vivekn02:/nfstest (everyone)roottpilx2 /root# mount vivekn02:/nfstest /mnt/sfunfsroottpilx2 /root# cd /mnt/sfunfsroottpilx2 sfunfs# lsroottpilx2 sfunfs# su marymarytpilx2 sfunfs$ touch mary.file.1marytpilx2 sfunfs$ mkdir mary.dir.1marytpilx2 sfunfs$ ls -altotal 3d-rwx 2 root root 64 Apr 25 15:11 ./drwxrwxrwx 18 root root 1024 Apr 25 12:43 ./drwxr-xr-x 2 mary theory 64 Apr 25 15:11 mary.dir.1/-rw-r-r- 1 mary theory 0 Apr 25 15:11 mary.file.1marytpilx2 sfunfs$roottpilx2 sfunfs# su joshuajoshuatpilx2 sfunfs$ touch joshua.file.1joshuatpilx2 sfunfs$ ls -altotal 3d-rwx 2 root root 64 Apr 25 15:11 ./drwxrwxrwx 18 root root 1024 Apr 25 12:43 ./-rw-r-r- 1 joshua nuclear 0 Apr 25 15:12 joshua.file.1drwxr-xr-x 2 mary theory 64 Apr 25 15:11 mary.dir.1/-rw-r-r- 1 mary theory 0 Apr 25 15:11 mary.file.1joshuatpilx2 sfunfs$ touch mary.file.1touchmary.file.1:Permission deniedUNIX 用户在 Windows 计算机上创建的文件是使用映射的 Windows 用户的凭据创建的。文件所有权、该文件的主组以及该文件在 Windows 计算机上的 DACL，都是根据映射进行设置的。以 uxphyslabmary 创建的文件 mary.file.1 为例。该 UNIX 用户被映射到 Windows 用户 ntphyslabmary，后者是 Windows 计算机上的文件。该文件的 ACL 如下： C:nfstestcacls mary.file.1C:nfstestmary.file.1 NTPHYSLABmary:(special access:)/DELETEREAD_CONTROLSYNCHRONIZEFILE_GENERIC_READFILE_GENERIC_WRITEFILE_READ_DATAFILE_WRITE_DATAFILE_APPEND_DATAFILE_READ_EAFILE_WRITE_EAFILE_READ_ATTRIBUTESFILE_WRITE_ATTRIBUTESNTPHYSLABtheory:(special access:)READ_CONTROLSYNCHRONIZEFILE_GENERIC_READFILE_READ_DATAFILE_READ_EAFILE_READ_ATTRIBUTESEveryone:(special access:)READ_CONTROLSYNCHRONIZEFILE_GENERIC_READFILE_READ_DATAFILE_READ_EAFILE_READ_ATTRIBUTES该文件的所有权和主组关系以及 mary.file.1 文件的安全描述符的设置如下： Owner:NTPHYSLABadministrator (User): (S-1-5-21-339783794-3065341851-447533925-500)PrimaryGroup:NTPHYSLABtheory (Group): (S-1-5-21-339783794-3065341851-447533925-1120)Advanced Mapping User Name Mapping 提供了 Advanced Mapping，在这里任何域中的 Windows 用户都可以映射到 UNIX 用户。（参见图 6。） 1. 映射那些在 Windows 和 UNIX 域中具有不同用户名的用户。假设 Peter Johnson 的 Windows 用户名为 pete_Johnson，而其 UNIX 用户名为 peterj。为了映射这两个用户名，我们使用高级映射。使用这种映射时，Peter 使用 pete_Johnson 帐户在 UNIX NFS 服务器上创建的文件将被标记为由 peterj 所拥有。同样，peterj 可以从 UNIX NFS 客户机访问 pete_johnson 所拥有的文件。 如果您的浏览器不支持内嵌式框架页，单击这里浏览独立的页面。 图 6 Services for UNIX 管理中显示 Advanced Mapping 的 User Name Mapping 屏幕的实例。 在下例中，当 Peter 以 pete_johnson 身份登录到一台 Windows 计算机时，他在 UNIX NFS 服务器上创建了一个文件： c:sectoolsnet use * 192.168.238.17UITests1 /u:ntphyslabpete_johnsonThe password is invalid for 192.168.238.17UITests1.Type the password for 192.168.238.17UITests1:Drive L:is now connected to 192.168.238.17UITests1.The command completed successfully.C:sectoolsmountLocal Remote Properties-/L:192.168.238.17UITests1 UID=755, GID=147rsize=32768, wsize=32768mount=soft, timeout=0.8retry=5, locking=yeslang=euc-jpC:touch l:pete.file.1The following output shows the listing of this file on the UNIX computer:# ls -al pete*-rwxr-xr-x 1 peterj particle 0 Apr 29 06:13 pete.file.1在 User Name Mapping 中创建的用户映射也适用于从 UNIX NFS 客户机访问 Server for NFS 共享。在下例中，当 Peter 以 peterj 身份从 UNIX NFS 客户机登录时，在 Server for NFS 共享上创建一个文件： # mount 157.60.253.92:/nfstest /mnt/nfstest# su peterj$ cd nfstest$ cat peterj.file.2This is a file$ ls -al pet*-rw-r-r- 1 peterj particle 15 Apr 29 07:05 peterj.file.2在 Windows 计算机上，该文件的所有者、组和 DACL 表明，该文件为预期的 Windows 用户所有。 Owner:NTPHYSLABpete_johnson (User): (S-1-5-21-339783794-3065341851-447533925-1122)PrimaryGroup:NTPHYSLABparticle (Group): (S-1-5-21-339783794-3065341851-447533925-1118)2. 映射那些与简单映射中的域不同的域中的用户。如果不同域中的用户需要访问 NFS 资源，或用户为移动用户，这将非常有用。在上例中（参见图 6），由于 pradeeps 在 nfslab NIS 域中有一个帐户，我们将 ntphyslabpradeeps 映射到了 nfslabpradeeps。 3. 将多个 Windows 用户映射到一个 UNIX 用户。假设 UNIX 有一个称为 spec 的帐户，该帐户具有一定的文件访问权限。Windows 域 ntphyslab 中的 yench 和 zoe 都需要访问该帐户，以便更新这些文件。通过将 zoe 和 yench 都映射到 nfslabspec，使他们二人都可以访问用户帐户 spec 所拥有的文件，即可达到此目的。注意，只能将多个 Windows 用户名映射到一个 UNIX 帐户，反之则不行。同样，可以将 UNIX 用户映射到 Windows 用户。这为将 UNIX 用户更改为匿名用户，从而访问 Server for NFS 上的 NFS 资源提供了一条途径。 在下例中，ntphsylabyench 在 UNIX NFS 共享上创建了一个文件。在安装了共享之后，在被安装的共享上创建了一个名为 yench.spec.file 的文件。 C:sectoolsnet use * 192.168.238.17UITests1 /u:ntphyslabyenchThe password is invalid for 192.168.238.17UITests1.Type the password for 192.168.238.17UITests1:Drive I:is now connected to 192.168.238.17UITests1.The command completed successfully.C:sectoolstouch i:touch yench.spec.file随后，ntphyslabzoe 也安装了同一个 NFS 共享。从安装的输出中可以注意到，两个安装都是作为 UID=100 和 GID=101 创建的，这是 nfslabspec 的 UID/GID。该用户也在安装的共享上创建了一个名为 yench.spec.file 的文件。 C:sectoolsnet use * 192.168.238.17UITests1 /u:ntphyslabzoeThe password is invalid for 192.168.238.17UITests1.Type the password for 192.168.238.17UITests1:Drive L:is now connected to 192.168.238.17UITests1.The command completed successfully.C:sectoolsmountLocal Remote Properties-/I192.168.238.17UITests1 UID=100, GID=101rsize=32768,wsize=32768mount=soft, timeout=0.8retry=5, locking=yeslang=euc-jp/L:192.168.238.17UITests1 UID=100, GID=101rsize=32768, size=32768mount=soft, timeout=0.8retry=5, locking=yeslang=euc-jpc:sectoolstouch l:zoe.spec.fileNFS 服务器上这两个文件的列表说明这些文件由用户 spec 所拥有。 $ grep spec /etc/passwdspec:x:100:101:/home1/spec:/bin/sh$ ls -al *spec*-rwxr-xr-x 1 spec indiadev 0 Apr 29 07:28 yench.spec.file-rwxr-xr-x 1 spec indiadev 0 Apr 29 07:30 zoe.spec.file4. 通过不映射用户提供匿名访问。在某些情况下，可能需要禁止或允许某些用户对 NFS 资源进行匿名访问。可以使用 Advanced Mapping 将这些用户映射到 用户。这样可以将 Windows 用户更改为 UNIX NFS 服务器上的匿名用户。在下例中，janetn 和 jbr 都被映射到 用户，以便为他们分别提供默认的 UID / GID 或 -2 和 -1。 这将在下例中说明，其中 NFS 共享由 janetn 安装。 c:net use * 157.60.253.91UITests1 /u:ntphyslabjanetn *Type the password for 157.60.253.91UITests1:Drive L:is now connected to 157.60.253.91UITests1.The command completed successfully.C:mountLocal Remote Properties-/L:157.60.253.91UITests1 UID=-2, GID=-1rsize=8192, wsize=8192mount=soft, timeout=0.8retry=5, locking=nolang=euc-jpL:copy con janet.fileThis file is created by JanetZ1 file(s) copied.该文件在 UNIX NFS 服务器上以匿名方式创建。该文件的目录清单如下所示。 roottpilx2 /UITests1# ls -al janet*-rwxr-xr-x 1 nobody nobody 31 Apr 29 19:30 janet.file*User Name Mapping 还允许将 UNIX 用户名映射到 Windows 用户名。这可以用于将某些 UNIX 用户帐户改为 Server for NFS 的匿名用户。在该例中，通过将 UNIX 用户 john 映射到 用户来映射到匿名用户。另外，我们还将它的主组 nfstest 映射到了 组。这一整套映射如下所示。 C:nfstestmapadmin list allAdvanced User Mappings:Windows user UNIX user Uid Primary Gid-* ntphyslabyench nfslabspec 100 101 ntphyslabzoe nfslabspec 100 101 ntphyslabpradeeps nfslabpradeeps 1021 1 ntphyslabjbr nfslab -2 -1 ntphyslabjanetn nfslab -2 -1 uxphyslabjohn 1041 202Advanced Group Mappings:Windows group UNIX group Gid-* ntphyslabnuclear uxphyslabindiadev 101 uxphyslabnfstest 205随后，John 即可连接到 Server for NFS 并在该 Windows 计算机上创建一个文件。 roottpilx2 /UITests1# mount vivekn02:/nfstest /mnt/nfstestroottpilx2 /UITests1# su johnjohntpilx2 /UITests1$ cd /mnt/nfstestjohntpilx2 nfstest$ grep john /etc/passwdjohn:x:1041:205:/home/john:/bin/bashjohntpilx2 nfstest$ grep nfstest /etc/groupnfstest:x:205:johnjohntpilx2 nfstest$ cat john.fileThis file is created by John from a Unix NFS client on Server for NFSjohntpilx2 nfstest$ ls -al john.file-rw-r-r- 1 65534 65535 70 Apr 29 20:05 john.file 主映射 在该例中，我们将两个用户 ntphyslabyench 和 ntphyslabzoe 映射到同一个 UNIX 用户 (spec)。当这两个用户中的任何一个访问 UNIX NFS 共享时，UNIX 用户 spec 的 UID 和 GID 用于访问和创建文件。 然而，当 UNIX 用户 spec 连接到 Server for NFS 时，可能存在两个其凭据可以用来实现该 NFS 请求的 Windows 用户帐户。User Name Mapping 允许管理员将其中一个用户帐户标记为主映射，从而为解决这种冲突提供了一种方法。在该例中，ntphyslabyench 和 uxphyslabspec 之间的映射被标记为主映射，即在 User Name Mapping 管理工具中用“*”标记该映射。 C:nfstestmapadmin list advancedAdvanced User Mappings:Windows user UNIX user Uid Primary Gid-* ntphyslabyench nfslabspec 100 101 ntphyslabzoe nfslabspec 100 101 ntphyslabpradeeps nfslabpradeeps 1021 1 ntphyslabjbr nfslab -2 -1 ntphyslabjanetn nfslab -2 -1 uxphyslabjohn 1041 202Advanced Group Mappings:Windows group UNIX group Gid-* ntphyslabnuclear uxphyslabindiadev 101下例说明主映射的效果。当用户 spec 在 Server for NFS 上创建一个名为 spec.file 的文件时，将正确地显示出该文件由 UID=spec 和 GID = indiadev 的用户所拥有。 # mount 157.60.253.92:/nfstest /mnt/nfstest# su spec$ cd /mnt/nfstest$ cat spec.fileThis is a file created by spec.$ ls -al spec.file-rw-r-r- 1 spec indiadev 32 Apr 29 07:53 spec.file然而，在 Windows 计算机上，文件的所有者和主组被标记为 ntphyslabyench 和 ntphyslabnuclear。 Owner:NTPHYSLAByench (User): (S-1-5-21-339783794-3065341851-447533925-1116)PrimaryGroup:NTPHYSLABnuclear (Group): (S-1-5-21-339783794-3065341851-447533925-1121)根访问 如果需要提供对 Windows NFS 服务器的根访问，就必须启用对 UNIX NFS 客户机的根访问，这些客户机应该具有对 NFS 服务器的根访问权。另外，还需要创建根和该 Windows 域中另一个帐户之间的映射。要创建的自然映射是在根和管理员之间的相互映射。 下例说明如何提供根访问。您需要将 UNIX 根用户映射到域管理员（或本地管理员）。如果打算映射域帐户，还需要将 UNIX 根的主组映射到 Windows“域管理员”组；如果打算映射本地帐户，则需要将 UNIX 根的主组映射到“管理员”组。在下例中，root (nfslabroot) 被映射到域管理员 (ntphyslabadministrator)，而根 other (nfslabother) 的主组被映射到域管理员组 (ntphyslabdomain admins)。 Advanced User Mappings:Windows user UNIX user Uid Primary Gid- ntphyslabadministrator nfslabroot 0 1Advanced Group Mappings:Windows group UNIX group Gid- ntphyslabdomain admins nfslabother 1此外，还需要为在 NFS 服务器上具有根权限的计算机提供根访问权。 C:nfsshare roottest=c:roottest -o root=192.168.238.17roottest was shared success