User-Name-Mapping-和-Services-for-UNIX-NFS-支持

UserNameMapping和ServicesforUNIXNFS支持操作系统技术指南摘要MicrosoftWindowsServicesforUNIX2.0包括UserNameMapping。这是一个在Windows和UNIX的名称空间之间映射用户名的组件。引言Windows和UNIX操作系统使用不同的机制来进行用户标识、身份验证和资源访问控制。在异构网络中，用户在UNIX网络和Windows网络中各有帐户。由于Windows和UNIX的用户标识和用户名在存储与使用方面各不相同，因此，即使两个网络中的用户相同，这两套名称之间也没有关联。采用不同用户名和不同标识机制的独立名称空间给提供跨域资源访问的服务带来了问题。为了使这些服务正确运行，这些服务需要使用其各自的名称空间中的用户标识。另一方面，用户喜欢使用他们习惯的名称空间。本指南讲述如何在基于Windows的网络的用户名和基于UNIX的网络的用户名之间进行相互映射。NFS中的用户标识默认情况下，NFS协议使用UNIX用户标识进行访问控制。这种用户标识通常由用户标识符(UID)和组标识符(GID)组成。基于Windows的NFS服务器必须从NFS请求中识别出Windows名称空间中的请求用户。由于基于Windows的计算机和域不使用UID和GID进行标识，因此需要从NFS请求中包含的UID和GID到Windows用户名进行映射。基于Windows的NFS客户机需要在转发NFS请求之前先将请求的Windows用户的用户名映射到UID/GID。访问基于UNIX的NFS资源的Windows用户需要提供UNIX标识(UID/GID)。这就要求Windows用户使用他们的UNIX用户名和密码在UNIX网络中验证自己的身份。管理问题许多基于Windows的NFS产品（或提供跨域进行资源访问的其它服务）在每台计算机上都创建映射，提供跨平台标识的NFS服务。由于增加、删除或更改帐户时，每台计算机或服务器上的映射都必须保持一致，所以维护这些映射既困难又耗时。提供这些服务的所有服务器必须具有一致的映射，以便从网络中任何位置都可以访问资源。UserNameMappingUserNameMapping是ServicesforUNIX的一个组件。该组件提供在基于Windows的网络用户名和基于UNIX的网络用户名之间进行相互映射的功能。对于那些在基于Windows和基于UNIX的域中具有不同身份的用户，这是将两个网络中的用户名关联起来的一种方法。该组件的设计目标如下：在网络间共享一套用户名映射。ClientforNFS、ServerforNFS和GatewayforNFS的多个实例应只使用一套映射。这将使用户在使用任意计算机上的任意NFS产品时可以进行一致的访问。减轻维护提供NFS服务或远程Shell程序服务(RemoteShellService)的所有Windows计算机上的映射管理任务。使Windows用户通过一次注册即可访问基于UNIX的NFS资源。用户不必记住两套用户名和密码，也不必分别对两个操作系统进行注册。UserNameMapping在Windows和UNIX的用户名之间创建映射。这些映射是以表的形式来维护的，如表1所示。表1Windows和UNIX之间的用户名映射。Windows用户名Windows域UNIX用户名UNIX域UID/GIDJohnDoeIndwindowsJohndIndunix1090/201MaryjaneIndwindowsMaryjIndunix1223/201所有ServicesforUNIX网络文件服务(NFS)组件-ServerforNFS、ClientforNFS和GatewayforNFS-都使用UserNameMapping对NFS进行标识和资源访问。UserNameMapping的益处中央映射服务器UserNameMapping可以部署在组织内部的单个节点上，而网络中所有的NFS组件都可以访问该映射服务器。这允许从所有计算机中进行一致的NFS访问。使用一台中央服务器还有助于降低管理成本。允许进行简单和高级映射使用UserNameMapping，可很方便地在基于Windows的网络和基于UNIX的网络中用户名相同的用户之间进行映射。使用简单映射，UNIX和Windows网络中用户名相同的用户被自动映射，而无需管理员的介入。使用UserNameMapping中的高级选项,还可以映射用户名不同的用户。支持多个基于Windows的域和基于NIS的域UserNameMapping可以在任何NIS域的多个用户名和任何Windows域的一个用户名之间建立高级映射。这允许映射服务器能够在多个域间共享。映射用户和组UserNameMapping服务既可以映射用户名，又可以映射两个名称空间之间的组名。定期刷新NIS、PCNFS和Windows用户名UserNameMapping定期刷新Windows域控制器和基于NIS的服务器或PCNFS中的用户名。无论是在UNIX域还是在Windows域中添加或删除了一个用户，均可自动添加或删除映射。该功能的主要优点是，无需管理员介入即可更改UNIX和Windows名称空间中的用户。提供命令行、图形界面和远程管理能力可使用图形用户界面(GUI)或命令行实用程序创建、维护和管理用户名映射。这可简化用户名映射的管理工作。支持对映射进行备份和还原UserNameMapping可以将已创建的映射保存到文件中，或是从文件装载它们，并填充映射服务器。该功能特别适用于将映射备份到UserNameMapping服务器的地址失败中。允许多个Windows用户映射到一个UNIX用户使用UserNameMapping可很方便地将多个Windows用户名映射到一个UNIX用户名。当UNIX和Windows用户之间没有一一对应关系时，这是非常有用的。当必须按照不同等级的访问特权提供对基于UNIX的文件服务器的访问时，可能要用到这一功能。验证UNIX用户名和密码UserNameMapping使用UNIX加密算法验证UNIX用户名和密码，并提供UNIX标识。在Windows用户要求使用用户未映射到的UNIX帐户访问UNIX资源的情况下，这是非常有用的。安装UserNameMapping安装UserNameMappingUserNameMapping可以作为ServicesforUNIX的组件安装到任何一台运行WindowsNT4.0或Windows2000的计算机上。然而，为了将它作为中央服务器使用，应该将它安装到作为服务器级计算机使用的WindowsNT4.0或Windows2000服务器上。默认情况下，该组件没有被选中，而且必须在自定义安装中才能选中它。既可以使用GUI工具也可以使用命令行工具来安装UserNameMapping。配置NFS组件ServicesforUNIXNFS组件、ServerforNFS、ClientforNFS和GatewayforNFS，都可以配置为使用特定UserNameMapping服务器。还可以在安装ServicesforUNIX期间配置UserNameMapping服务器的名称。另外，可以对UserNameMapping服务器进行设置，以便使用ServicesforUNIX管理。可以为每一个NFS组件选择要使用的UserNameMapping服务器。如果您的浏览器不支持行内框，请单击此处查看独立的页面。图1ServicesforUNIX管理中ServerforNFS屏幕的实例。安装ServerforNFSAuthentication为了使ServerforNFS正确运行，还必须安装ServerforNFSAuthentication。ServicesforUNIX要求将ServerforNFSAuthentication和ServerforNFS安装到同一台计算机上。如果要使用UserNameMapping将UNIX用户名映射到本地Windows用户名，那么这就是必要的。在本地服务器运行的ServerforNFSAuthentication便于使用Windows用户帐户访问NFS资源。为了便于使用Windows域用户的凭据访问ServerforNFS上的NFS资源，必须将ServerforNFSAuthentication安装到该Windows域中的所有域控制器上。如果要使用UserNameMapping将UNIX用户名映射到Windows域用户名，那么这就是必要的。此外，还必须将ServerforNFSAuthentication安装到要映射UNIX用户的所有域的域控制器上。例如，假设用户名为paul的UNIX用户与ntphyslab(ntphyslab\paulv)域中的Windows用户paulv是同一个人。当paul使用UNIX客户机访问驻留在Windows服务器上的NFS文件时，ServerforNFS必须使用ntphyslab\paulv的凭据才能访问这些NFS文件。为了使访问成功，必须将ServerforNFSAuthentication安装到ntphyslab域中的所有域控制器上。配置UserNameMapping在配置UserNameMapping之前，必须先掌握某些信息。1.确定基于UNIX的网络是使用NIS还是使用/etc/passwd和/etc/group文件。还需要确定是否使用PCNFS来验证基于Windows的NFS客户机的身份。2.如果使用NIS，确定Windows主域和UNIXNIS主服务器，以便在它们之间映射用户名。多数用户将在这两个域中设立帐户。3.如果使用PCNFS服务器，必须使用基于Windows的PCNFS服务器，才能用UserNameMapping通过该服务器进行用户名映射。您应该知道WindowsPCNFS服务器使用的密码和组文件的位置。4.对于多数用户来说，在Windows域和UNIX域中的用户名应是相同的。这些用户可以使用UserNameMapping提供的SimpleMapping进行映射。对于具有不同用户名的用户，必须使用AdvancedMapping进行映射。您应当编制一个具有不同用户名的用户列表。5.SimpleMapping只允许在一个Windows域和另一个UNIXNIS域(或PCNFS)之间存在一个映射。对于其他Windows域或UNIX域中的用户，必须使用AdvancedMapping进行映射。6.如果需要拒绝某些用户的访问或为他们提供“匿名”特权，就必须使用AdvancedMapping来映射他们的用户名。7.如果需要将多个Windows用户映射到一个UNIX用户，则必须使用AdvancedMapping。这主要适用于ClientforNFS或GatewayforNFS。必须使用少量的“访问级别”为大量Windows用户提供NFS访问时，这是非常有用的。SimpleMapping假设一个组织具有许多Windows域和UNIXNIS域，参见图2。该组织想要在名为ntphyslab的Windows域中某台计算机上安装ServerforNFS。在一个同时具有UNIX和Windows计算机的组织中，如果用户在UNIX域和Windows域中都具有帐户，使用SimpleMapping（简单映射）可以很方便地地映射这些用户。如果想要访问该NFS服务器的多数UNIX用户具有此Windows域中的帐户，也具有另一个UNIX域中的帐户，简单映射将提供最简单的映射方式。假设多数NFS用户在名为uxphyslab的UNIX域中具有帐户。如果您的浏览器不支持行内框，请单击此处查看独立的页面。图2ntphyslab和uxphyslab之间的映射。在该例中，应使用简单映射来映射ntphyslab和uxphyslab之间的用户名。假设一部分用户在基于UNIX和Windows的域中都具有帐户。一旦在这两个域之间都启用了SimpleMapping，这些用户将被自动映射到