了解本地 ONTAP SMB 用户身份验证
建议更改
PDF
本地用户必须先创建经过身份验证的会话,然后才能访问 CIFS 服务器上的数据。
由于 SMB 基于会话,因此首次设置会话时,只需确定一次用户身份即可。CIFS 服务器在对本地用户进行身份验证时使用基于 NTLM 的身份验证。支持 NTLMv1 和 NTLMv2 。
ONTAP 在三种使用情形下使用本地身份验证。每个用例取决于用户名的域部分(采用 domain\user 格式)是否与 CIFS 服务器的本地域名( CIFS 服务器名称)匹配:
-
域部分匹配
请求访问数据时提供本地用户凭据的用户将在 CIFS 服务器上进行本地身份验证。
-
域部分不匹配
ONTAP 尝试对 CIFS 服务器所属域中的域控制器使用 NTLM 身份验证。如果身份验证成功,则登录完成。如果失败,接下来会发生什么情况取决于身份验证失败的原因。
例如,如果用户位于 Active Directory 中,但密码无效或已过期,则 ONTAP 不会尝试使用 CIFS 服务器上的相应本地用户帐户。相反,身份验证将失败。在其他情况下, ONTAP 会使用 CIFS 服务器上的相应本地帐户(如果存在)进行身份验证,即使 NetBIOS 域名不匹配也是如此。例如,如果存在匹配的域帐户,但该帐户已禁用,则 ONTAP 会使用 CIFS 服务器上的相应本地帐户进行身份验证。
-
未指定域部分
ONTAP 首先尝试以本地用户身份进行身份验证。如果以本地用户身份进行身份验证失败,则 ONTAP 会使用 CIFS 服务器所属域中的域控制器对用户进行身份验证。
成功完成本地或域用户身份验证后, ONTAP 将根据本地组成员资格和权限构建完整的用户访问令牌。
有关本地用户的 NTLM 身份验证的详细信息,请参见 Microsoft Windows 文档。
了解 ONTAP SMB 用户访问令牌
当用户映射共享时,将建立经过身份验证的 SMB 会话,并构建用户访问令牌,其中包含有关用户,用户的组成员资格和累积权限以及映射的 UNIX 用户的信息。
除非禁用此功能,否则本地用户和组信息也会添加到用户访问令牌中。构建访问令牌的方式取决于登录用户是本地用户还是 Active Directory 域用户:
-
本地用户登录
尽管本地用户可以是不同本地组的成员,但本地组不能是其他本地组的成员。本地用户访问令牌由分配给特定本地用户所属组的所有权限组成。
-
域用户登录
域用户登录时, ONTAP 会获取一个用户访问令牌,该令牌包含用户所属的所有域组的用户 SID 和 SID 。ONTAP 使用域用户访问令牌与用户域组的本地成员资格(如果有)提供的访问令牌以及分配给域用户或其任何域组成员资格的任何直接权限进行联合。
对于本地和域用户登录,还会为用户访问令牌设置主组 RID 。默认RID Domain Users (里德513)。您不能更改默认值。
Windows 到 UNIX 和 UNIX 到 Windows 名称映射过程会对本地帐户和域帐户遵循相同的规则。
|
从 UNIX 用户到本地帐户没有隐含的自动映射。如果需要,必须使用现有名称映射命令指定显式映射规则。 |