Linux 用户到 Windows 用户名映射的多域搜索
将 Linux 用户映射到 Windows 用户时,ONTAP 支持多域搜索。搜索所有已发现的可信域中与替换模式匹配的内容,直至返回匹配结果。或者,您可以配置首选可信域列表,在搜索时将使用该列表而不是已发现的可信域列表,并将按顺序搜索直至返回匹配结果。
域信任如何影响 Linux 用户到 Windows 用户名的映射搜索
要了解多域用户名映射如何发挥作用,您必须了解 ONTAP 中的域信任如何发挥作用。Active Directory 与 CIFS 服务器主域的信任关系可以是双向信任,也可以是两种单向信任类型之一,即入站信任或出站信任。主域是 SVM 上 CIFS 服务器所属的域。
- 双向信任
在双向信任中,两个域彼此信任。如果 CIFS 服务器的主域与另一域双向信任,主域可认证和授权属于该可信域的用户,反之亦然。
只能在主域和另一域之间具有双向信任时,才能执行 Linux 用户到 Windows 用户名的映射搜索。
- 出站信任
对于出站信任,主域信任另一域。在这种情况下,主域可认证和授权属于出站可信域的用户。
执行 Linux 用户到 Windows 用户名的映射搜索时,不搜索与主域具有出站信任关系的域。
- 入站信任
对于入站信任,另一域信任 CIFS 服务器的主域。在这种情况下,主域无法认证或授权属于入站可信域的用户。
执行 Linux 用户到 Windows 用户名的映射搜索时,不搜索与主域具有入站信任关系的域。
如何使用通配符(*)为名称映射配置多域搜索
在 Windows 用户名的域部分中使用通配符有助于进行多域名称映射搜索。下表说明了如何在名称映射条目的域部分中使用通配符来实现多域搜索:
| 模式 | 替换 | 结果 |
|---|---|---|
| 根 | *\\administrator | Linux 用户root映射到名为 administrator的用户。按照顺序搜索所有可信域,直至找到第一个名为 administrator的匹配用户。 |
| * | *\\* | 有效 Linux 用户映射到相应的 Windows 用户。按照顺序搜索所有可信域,直至找到第一个具有该名称的匹配用户。 注 *\\* 模式仅对从 Linux 到 Windows 的名称映射有效,反之则不行。 |
执行多域名称搜索的方式
可以选择两种方法之一来确定用于多域名称搜索的可信域列表:
使用由 ONTAP 编制的自动发现双向信任列表
使用您编制的首选可信域列表
如果将 Linux 用户映射到 Windows 用户(用户名的域部分中使用了通配符),则会在所有可信域中查找 Windows 用户,如下所示:
如果已配置了首选可信域列表,则仅在此搜索列表中按顺序查找映射的 Windows 用户。
如果未配置首选可信域列表,则会在主域的所有双向信任域中查找 Windows 用户。
如果主域没有双向信任域,则在主域中查找用户。
如果将 Linux 用户映射到用户名中没有域部分的 Windows 用户,则在主域中查找此 Windows 用户。