组映射如何支持无限卷的多协议访问
组映射可以提高 NFSv4.1 客户端显示具有 NTFS 文件权限的文件或目录的 ACL 时的权限准确性。如果无限卷既支持 NFSv4.1 ACL 也支持 SMB,则应配置组映射,它与用户映射类似。
为什么需要配置组映射
在 ACL 中经常使用组来简化安全管理。但是,位于多个 Windows 域中的组不能轻松转换为单个 NFSv4.1 域的组。
将组从 Windows 映射到 UNIX,可以确保在 NFSv4.1 客户端上显示 NFSv4.1 ACL 时显示组名称。
如果 Windows 组未映射到 UNIX 组,并且未配置默认 UNIX 组,则 Windows 组将在 NFSv4.1 客户端上显示为“nobody”(具体为 nobody@ v4-id-domain )。
需要配置什么组映射
如果无限卷既支持 SMB 也支持 NFSv4.1 ACL,则应执行以下配置:
为每个 Windows 组创建 Windows 到 UNIX 映射。
定义一个默认 UNIX 组。如果 Windows 组不存在映射且 Windows 组的小写名称在 UNIX 域中不是有效组名称,则会使用该 UNIX 组。
用户映射与组映射的对比
组映射与用户映射具有以下相似点:
组映射和用户映射都可以通过 ONTAP 或 LDAP 进行定义。
如果通过 ONTAP 定义组映射和用户映射,则这些映射的定义方式类似,并采用相同的转换规则。
有关用户映射和组映射中转换规则的信息,请参阅NFS 参考或SMB/CIFS 参考。
组映射的独特性体现在以下方面:
组映射仅适用于带有无限卷的存储虚拟机(SVM),而不适用于 SVM。
只有在为 SVM 同时配置了 SMB 和 NFSv4.1(包括 NFSv4.1 ACL)时,才需要配置组映射。
组映射不会影响访问权限;组映射仅影响 NFSv4.1 客户端的显示内容。
在访问权限检查期间,所有 SVM 都将以相同的方式确定用户的组成员资格。
只需要配置单向(从 Windows 到 UNIX)组映射。
UNIX 组无需映射到 Windows 组。