configuración de mapping de usuarios de emc celerra...configuración de mapping de usuarios de emc...

1 de 56

ContenidoIntroducción al mapping de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

Terminología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3Conceptos del mapping de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

Configuración de la función de mapping de usuariosen entornos de solo Windows . . . . . . . . . . . . . . . . . . . . . . . . . .7

Configuración de la función de mapping de usuariosen entornos de múltiples protocolos . . . . . . . . . . . . . . . . . . . .8

Mapping seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8Mapping de usuario y ntxmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9Base de datos de mapping de usuarios . . . . . . . . . . . . . . . . . . . . . . . .9

Cómo funciona el mapping de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . .10Requisitos del sistema para mapping de usuarios . . . . . . . . . . . . . . . . .12

E-Lab Interoperability Navigator . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12Opciones de la interfaz de usuario para mapping de usuarios. . . . . . . .13

Uso de Celerra Manager para configurar mapping de usuarios . . .13Guía de configuración de mapping de usuarios. . . . . . . . . . . . . . . . . . . .14Uso de Usermapper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

Restricciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16Consideraciones sobre la planificación . . . . . . . . . . . . . . . . . . . . . . .17Uso de la configuración predeterminada de Usermapper

con Celerra único . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18Configuración de un entorno de Usermapper

con múltiples Celerra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19Uso de los servicios de directorio basados en LDAP . . . . . . . . . . . . . . .22Uso de archivos locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

Para modificar archivos locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23Copie los archivos locales desde el Data Mover . . . . . . . . . . . . . . . .24Agregue el nombre de dominio de Windows

como nombre de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25Agregue los nombres de usuario de Windows . . . . . . . . . . . . . . . . .26Copie los archivos locales modificados al Data Mover . . . . . . . . . .27

Uso de NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28Recuperación de nombres de grupo y usuario de NIS

sin una asociación de dominio . . . . . . . . . . . . . . . . . . . . . . . .28Uso de Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

Configuración de un Data Mover para consultasa Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Configuración de mappingde usuarios de EMC Celerra

P/N 300-008-089Rev A03

Versión 5.6.39Agosto de 2008

Configuración de mapping de usuarios de EMC Celerra 2 de 56

Uso del snap-in de administrador de usuarios de Celerra UNIX . . .30Uso de la extensión de la página de propiedades

de grupos y usuarios de Celerra UNIX . . . . . . . . . . . . . . . . . .30Uso de las herramientas de migración de cuentas de usuarios . . . . . . .31

Celerra UNIX Attributes Migration Tool . . . . . . . . . . . . . . . . . . . . . . .31NTMigrate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

Configuración del mapping de grupo primario paraobjetos de file system . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32Uso de GIDs de UNIX de usuarios para objetos de file system . . . .33Determinación de GIDs en objetos de file system copiados . . . . . .34

Administración de Usermapper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35Visualización del estado de Usermapper . . . . . . . . . . . . . . . . . . . . . .35Importación y exportación de la información de base de datos . . .38Mantenimiento de la base de datos de Usermapper . . . . . . . . . . . . .39Realización de backup de Usermapper . . . . . . . . . . . . . . . . . . . . . . .40Modificación de la configuración predeterminada

de Usermapper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41Administración de secmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42

Desactivación de secmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42Visualización de entradas de mapping de secmap . . . . . . . . . . . . . .43Visualización de entradas de mapping inverso de secmap . . . . . . .43Creación de entradas de mapping de secmap. . . . . . . . . . . . . . . . . .44Comprobación de entradas de mapping de secmap. . . . . . . . . . . . .45Actualización de entradas de mapping de secmap. . . . . . . . . . . . . .46Eliminación de entradas de mapping de secmap . . . . . . . . . . . . . . .47Exportación de entradas de mapping de secmap . . . . . . . . . . . . . . .48Importación de entradas de mapping de secmap

desde un archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48Reporting del estado de secmap. . . . . . . . . . . . . . . . . . . . . . . . . . . . .49

Resolución de problemas de mapping de usuarios. . . . . . . . . . . . . . . . .50Dónde obtener ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50Limitaciones y problemas conocidos relacionados

con el uso de Usermapper . . . . . . . . . . . . . . . . . . . . . . . . . . . .50Eventos y notificaciones de Usermapper. . . . . . . . . . . . . . . . . . . . . .51Limitaciones y problemas conocidos relacionados

con el uso de secmap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52Mensajes de error de mapping de usuarios . . . . . . . . . . . . . . . . . . . . . . .53Información relacionada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54

Programas de capacitación para clientes . . . . . . . . . . . . . . . . . . . . .54Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55

3 de 56Configuración de mapping de usuarios de EMC Celerra

Introducción al mapping de usuariosCada usuario de EMC® Celerra® Network Server, ya sea un usuario de Microsoft Windows o de UNIX/Linux, debe ser identificado por un identificador de grupo (GID) y un identificador de usuario (UID) numérico exclusivo. Sin embargo, Windows no utiliza IDs numéricos para identificar usuarios. En lugar de esto, emplea cadenas llamadas identificadores de seguridad (SIDs). Por ello, antes de configurar el servicio de uso compartido de archivos de Windows (CIFS) en Celerra Network Server, debe seleccionar un método para hacer mapping de los SIDs Windows a UIDs y GIDs. El método que se debe utilizar depende de la existencia de un entorno de solo Windows o de UNIX/Linux y Windows (múltiples protocolos). Dichos métodos incluyen:

u Usermapper

u servicios de directorio basados en LDAP

u Archivos locales

u Network Information Service (NIS)

u Active Directory

u ntxmap

En “Conceptos del mapping de usuarios” en la página 6, se proporciona más información.

Este documento forma parte de la documentación de Celerra Network Server y está dirigido a los administradores de sistemas responsables de la configuración y administración de mapping de ID de usuarios de Windows.

Terminología Esta sección define términos importantes para comprender las capacidades de mapping de usuarios en Celerra Network Server. El EMC Celerra Glossary proporciona una lista completa de terminología de Celerra.

Active Directory: Servicio de directorios avanzado incluido con servidores Windows 2000 y Windows 2003. Almacena información de los objetos en una red y permite que dicha información esté disponible para los usuarios y los administradores de la red mediante un protocolo como LDAP.

Archivo de usuario: Hace referencia al archivo de contraseña que reside en cada Data Mover.

Autenticación: Proceso de verificación de la identidad de un usuario que intenta acceder a un recurso, objeto o servicio, como un archivo o directorio.

Control Station: Componente de hardware y software de Celerra Network Server que administra el sistema y proporciona la interfaz del usuario a todos los componentes de Celerra.

Controlador de dominio: Servidor que autentica los inicios de sesión y mantiene la política de seguridad y la base de datos maestra de la cuenta de seguridad para un dominio de Windows. Los controladores de dominio administran el acceso de los usuarios a la red, incluidos el inicio de sesión, la autenticación y el acceso al directorio y a los recursos compartidos. Consulte además dominio de Windows 2000 o Windows Server 2003 y dominio de Windows NT.

../../mergedprojects/Glossary/index.htm

Configuración de mapping de usuarios de EMC Celerra4 de 56

Cuota: Límite sobre la cantidad de espacio en disco asignado, además de la cantidad de archivos (inodos) que un usuario o grupo de usuarios puede crear en un file system de producción. Las cuotas controlan la cantidad de espacio en disco o la cantidad de archivos que un usuario o grupo de usuarios pueden consumir o ambos.

Data Mover: En un Celerra Network Server, un componente del gabinete que ejecuta su propio sistema operativo que recupera archivos desde un dispositivo de almacenamiento y permite que estén disponibles para un cliente de la red. También se denomina blade. A veces al Data Mover se lo denomina internamente ‘DART’, ya que DART es el software que se ejecuta en la plataforma.

Directorio basado en LDAP: Servidores de directorios distribuidos OpenLDAP o iPlanet (también conocidos como Sun Java System Directory Server y Sun ONE Directory Server).

Domain Name System (DNS): Software de resolución de nombres que permite a los usuarios ubicar computadoras en una red UNIX o red TCP/IP por el nombre de dominio. El servidor DNS mantiene una base de datos de los nombres de dominio, los nombre de host y sus direcciones de IP correspondientes, y los servicios que prestan estos hosts. Consulte ntxmap.

Dominio: Agrupación lógica de servidores de Microsoft Windows y de otras computadoras que comparten seguridad común e información de cuentas de usuarios. Todos los recursos como las computadoras y los usuarios son números de dominio y poseen una cuenta en el dominio que los identifica como exclusivos. El administrador de dominio crea una cuenta de usuario para cada usuario del dominio y los usuarios inician sesión en el dominio una vez. Los usuarios no inician sesión en cada servidor individual.

Dominio de Windows 2000 o Windows Server 2003: Dominio de Microsoft Windows controlado y administrado por Microsoft Windows 2000 o por Windows Server 2003 mediante Active Directory para administrar todos los recursos del sistema. Emplea DNS para resolución de nombres.

Dominio de Windows NT: Dominio de Microsoft Windows controlado y administrado por un servidor de Microsoft Windows NT mediante una base de datos SAM para administrar las cuentas de usuarios y grupos, y un namespace de NetBIOS. En un dominio de Windows NT, existen un controlador de dominio primario (PDC) con una copia de lectura/escritura de SAM y, posiblemente, varios controladores de dominio de backup (BDCs) con copias de solo lectura de SAM. Consulte también dominio y controlador de dominio.

File systems comunes de Internet (CIFS): Protocolo de uso compartido de archivos basado en Microsoft Server Message Block (SMB). Permite a los usuarios compartir file systems mediante Internet e intranets.

ID de usuario (UID): Identificador numérico que corresponde a un usuario específico.

Identificador de grupo (GID): Identificador numérico asignado a un grupo específico de usuarios.

Identificador de seguridad (SID): Identificador exclusivo que define a un usuario o a un grupo en un entorno Microsoft Windows. Cada usuario o grupo posee su propio SID.

Identity Management for UNIX (IdMU): Software de Microsoft que proporciona un entorno de UNIX en Windows, específicamente servicios de identidad y seguridad de UNIX.

Kerberos: Mecanismo de autenticación, integridad de datos y encriptación de privacidad de datos utilizado para codificar información de autenticación. Kerberos


coexiste con NTLM (servicios Netlogon) y, mediante criptografía de clave secreta, proporciona autenticación para aplicaciones cliente/servidor.

Lista de control de acceso (ACL): Lista de entradas de control de acceso (ACEs) que proporciona información sobre los usuarios y los grupos que poseen acceso a un objeto.

Microsoft Windows Services for UNIX (SFU): Software de Microsoft que proporciona un entorno de UNIX en Windows.

Network File System (NFS): File system distribuido que proporciona acceso transparente a file systems remotos. NFS permite a todos los sistemas de red compartir una única copia de un directorio.

Network Information Service (NIS): Servicio de búsqueda de datos distribuidos que comparte información del usuario y el sistema en una red, incluidos nombres de usuarios, contraseñas, directorios principales, grupos, nombres de host, direcciones IP y definiciones de netgroup.

Ntxmap: Software personalizado utilizado para soportar requerimientos de mapping en un entorno de múltiples protocolos.

Protocolo de hora en red (NTP): Protocolo utilizado para sincronizar el reloj de tiempo real de una computadora con una fuente de hora de la red.

Protocolo ligero de acceso a directorio (LDAP): Protocolo de acceso a la información estándar de la industria que se ejecuta directamente mediante TCP/IP. Es el protocolo de acceso primario para Active Directory y para los servidores de directorio basados en LDAP. La versión 3 de LDAP se define mediante un conjunto de documentos estándar propuestos en Internet Engineering Task Force (IETF) RFC 2251.

Servicio de CIFS: Proceso del servidor CIFS que se ejecuta en el Data Mover que presenta recursos compartidos en una red y en computadoras basadas en Microsoft Windows.

Servicio Usermapper primario: Instancia del servicio Usermapper que asigna UIDs y GIDs a usuarios y grupos de Windows solicitando a Celerra Network Server permiso de acceso a objetos del sistema.

Servicio Usermapper secundario: En un entorno de múltiples Celerra, una instancia del servicio Usermapper que reenvía solicitudes para mappings de usuarios al servicio Usermapper primario y regresa esos mappings a los Data Movers, además de almacenar los mappings que procesa.

Servidor CIFS: Servidor lógico que utiliza el protocolo CIFS para la transferencia de archivos. Un Data Mover puede albergar muchas instancias de un servidor CIFS. Cada instancia se denomina servidor CIFS.

SFU: Consulte Microsoft Windows Services for UNIX.

Sistema de administración de bases de datos (DBMS): Software diseñado para administrar bases de datos. Los Data Movers utilizan DBMS para crear y administrar información de Usermapper y mapping de secmap.

Usermapper: Servicio que asigna automáticamente distintos usuarios y grupos de Windows a distintos IUD y GID de estilo UNIX.

Windows Internet Naming Service (WINS): Sistema de resolución de nombres de Microsoft que determina la dirección IP asociada con un nodo de red en particular. WINS proporciona el mapping entre el nombre de la máquina y la dirección de Internet, lo que permite a las redes de Microsoft funcionar a través de redes TCP/IP.


Conceptos del mapping de usuariosA cada usuario de Celerra Network Server se le debe asignar un UID y un GID numéricos exclusivos para indicar la propiedad de directorios y archivos. Celerra Network Server utiliza la propiedad de directorios y archivos para aplicar y exigir permisos de acceso y límites de cuotas.

Nota: Para conexiones de usuarios de Windows, la comprobación de acceso a archivos se realiza mediante SIDs solamente. Esto se realiza para evitar errores que pudieran surgir de la falta de coincidencia de UIDs y para reducir la dependencia de la base de datos de Usermapper.

Al igual que Celerra Network Server, los sistemas UNIX/Linux utilizan UIDs y GIDs para identificar usuarios y grupos. Por lo tanto, Celerra Network Server puede utilizar los UIDs y GIDs suministrados por los clientes UNIX/Linux sin requerir mappings adicionales. Sin embargo, Windows no utiliza IDs numéricos para identificar usuarios. En lugar de esto, emplea cadenas llamadas identificadores de seguridad (SIDs). Por ello, antes de configurar el servicio de uso compartido de archivos de Windows (denominado CIFS) en Celerra Network Server, debe seleccionar un método para hacer mapping de los SIDs de Windows a UIDs y GIDs. El método de mapping se selecciona en función de la existencia de un entorno de solo Windows o de UNIX/Linux y Windows (múltiples protocolos). La figura 1 en la página 7 identifica los factores que determinan la técnica de mapping de usuarios más adecuada para su entorno.


Figura 1 Diagrama de técnicas de mapping de usuarios

Configuración de la función de mapping de usuarios en entornos de solo WindowsLa función Usermapper de Celerra Network Server asigna UIDs y GIDs a usuarios y grupos de Windows de manera automática. Usermapper forma parte del software del Data Mover. No requiere una instalación independiente y, en el caso de un Celerra Network Server nuevo, no se requieren procedimientos de configuración adicionales.

EMC recomienda la utilización de Usermapper en entornos que sean solamente de Windows.

Nota: Antes de configurar y ejecutar Usermapper, incluya solamente un Usermapper primario en un entorno de Celerra Network Server.

No

Inicio

No, solamente Windows

Active Directory y cifs utilizan el parámetro ADMap

Parámetro de resolución de NIS y cifs/servicios de directorio

basados en LDAP

Usermapper

Active Directory

¿Tiene un solo dominio de

Windows o nombres de usuario que son únicos

en todos los dominios de Windows?

¿Es Active Directory o UNIX su

entorno de administración de mapping de

usuario primario?

¿Los usuarios tienen cuentas de UNIX y Windows?

Archivos locales

Sí

Sí

CNS-000598

UNIX


Configuración de la función de mapping de usuarios en entornos de múltiples protocolosEn entornos de múltiples protocolos, los usuarios de UNIX/Linux y Windows pueden acceder a los file systems. El acceso a los archivos está determinado por los permisos sobre el archivo o directorio, en especial, por uno o ambos de los siguientes:

u Permisos de UNIX/Linux

u Listas de control de acceso (ACLs) de Windows

Por ello, si un usuario tiene cuentas de usuario UNIX/Linux y Windows, se debe seleccionar un método de mapping que permita indicar que las dos cuentas representan al mismo usuario. Entre los métodos de mapping que le permiten controlar los mappings utilizados y garantizar que los SIDs específicos de Windows se asignan a los UIDs o GIDs correspondientes y que lo opuesto también es válido, se incluyen:

u Servicios de directorio basados en LDAP, por ejemplo, Active Directory (mediante Microsoft Windows Services for UNIX [SFU] o Identity Management for UNIX [IdMU])

u Archivos de grupo y usuario locales de un Data Mover

u Network Information Service (NIS)

u Active Directory (con snap-ins de Microsoft Management Console)

Nota: Si un usuario de un entorno de múltiples protocolos utiliza solamente un inicio de sesión único (mediante Windows o UNIX/Linux), puede utilizar Usermapper. Si un usuario tiene solo una cuenta, no es necesario realizar mapping a una identidad equivalente en el otro entorno.

Mapping seguroMapping seguro (secmap) es una memoria caché que incluye todos los mappings entre SIDs y UIDs o GIDs utilizados por un Data Mover o Data Mover virtual (VDM). Secmap solo almacena en la memoria caché los mappings generados por los mecanismos de mapping utilizados por Celerra; secmap no genera mappings. Por lo general, los mappings son persistentes y nunca se actualizan.

La base de datos de secmap almacena dos tipos de información:

u Mappings de SID a UID o GID

u Mappings inversos de UID o GID a SID

El Data Mover almacena permanentemente en memoria caché todos los mappings que recibe de cualquier origen (Usermapper, servicios de directorio basados en LDAP, archivos locales, NIS y Active Directory) en la base de datos de secmap, lo que hace a la respuesta ante solicitudes de mapping posteriores más rápida y menos propensa a problemas de red. El mapping inverso ofrece mejor servicio de cuotas.

Nota: El almacenamiento en memoria caché de secmap está activado de manera predeterminada y no requiere ninguna configuración especial. EMC recomienda el uso de secmap, aunque se puede desactivar en caso de ser necesario.


Mapping de usuario y ntxmapEn un entorno Celerra de múltiples protocolos, cuando un usuario de Windows desea acceder a un recurso UNIX, o un usuario de UNIX desea acceder a un recurso de Windows, el nombre de usuario debe asignarse del mismo modo en cada entorno; de lo contrario, no se puede realizar el mapping, y el usuario no podrá acceder al recurso.

Sin embargo, es posible que desee realizar mapping de los usuarios de Windows y UNIX identificados de manera diferente en cada entorno. La función ntxmap permite definir mappings explícitos entre dichos nombres de usuario de Windows y UNIX.

En Using ntxmap for EMC Celerra CIFS User Mapping, se proporciona más información.

Base de datos de mapping de usuariosLas versiones anteriores de Celerra Network Server dependían de una base de datos básica, nameDB, para mantener la información de mapping de secmap y Usermapper. En la versión 5.6, DBMS reemplaza a la base de datos básica. Esto resuelve el problema de consumo de inodos y brinda mejor consistencia y capacidad de recuperación con el soporte de transacciones de bases de datos. Asimismo, ofrece mejor atomicidad, aislamiento y durabilidad en la administración de las bases de datos.

../ntxmapUsermapper/index.htm


Cómo funciona el mapping de usuarios Cuando un usuario inicia sesión en un dominio de Windows y solicita acceso a los recursos de un Data Mover:

1. Al iniciar sesión en un dominio de Windows NT, o al acceder a un Data Mover declarado como computadora anterior a Windows 2000, el usuario se autentica mediante el uso de NT LAN Manager (NTLM). Si el Data Mover usa un nombre de computadora y se une a un dominio de Windows 2000 o Windows Server 2003, el usuario se autentica por medio de Kerberos o proveedor de socket seguro NT LAN Manager (NTLMSSP).

2. La identificación del usuario se envía al Data Mover.

3. El Data Mover sigue el orden de búsqueda predeterminado y busca en estos orígenes un mapping existente del SID del usuario a un UID o GID:

Nota: Si se creó un archivo nsswitch.conf en el Data Mover, el orden en que se consultan los orígenes basados en UNIX/Linux (archivos locales, NIS y servidores de directorio basados en LDAP) está determinado por dicho archivo. Configuring Celerra Naming Services brinda información acerca del uso del archivo nsswitch.conf.

a. En primer lugar, el Data Mover busca en su base de datos de secmap un mapping SID a UID o GID existente.

b. Si no se encuentra ningún mapping, se consulta al controlador de dominio de Windows sobre el nombre de grupo o usuario asociado con el SID y, a continuación, el Data Mover busca en sus archivos de grupo y contraseña locales un UID o GID para asociarlo con el nombre.

c. Si no se encuentra ningún mapping, y NIS está configurado, el Data Mover consulta NIS en busca de un UID o GID para asociar con el nombre.

d. Si no se encuentra ningún mapping, y los servicios de directorio basados en LDAP están configurados, el Data Mover consulta los servicios de directorio basados en LDAP en busca de un UID o GID para asociar con el nombre.

Nota: Para los servidores de dominio de Windows con SFU, se puede utilizar la función Identity Management for UNIX con Active Directory para administrar el mapping de usuarios en entornos de múltiples protocolos. SFU/IdMU permite consolidar la información de usuario y grupo en una sola ubicación que el Data Mover puede recuperar con facilidad. Configuring EMC Celerra Naming Services brinda más información.

e. Si no se encuentra ningún mapping, y las consultas a Active Directory están configuradas (en entornos Windows 2000 y Windows Server 2003), el Data Mover consulta Active Directory en busca de un mapping de SID a UID o GID.

f. Si no se encuentra ningún mapping, el Data Mover consulta Usermapper en busca de un mapping de SID a UID o GID.

g. El servicio de Usermapper primario comprueba su base de datos para determinar si este usuario o grupo ya tiene asignado un UID o GID. De no ser así, el Usermapper primario genera un UID o Configuring Celerra Naming Services nuevo y agrega el usuario o grupo nuevo y el mapping a su base de datos. Luego, devuelve el mapping al Data Mover.

../NameServices/index.htm



h. El Data Mover almacena permanentemente en memoria caché todos los mappings que recibe de cualquier origen (Usermapper, servicios de directorios basados en LDAP, archivos locales, NIS y Active Directory) en la base de datos de secmap, lo que hace a la respuesta ante solicitudes posteriores de mapping de SID a UID o GID más rápida y menos propensa a problemas de red.

i. A continuación, se autentica el usuario y se le proporciona acceso al recurso compartido de CIFS (unidad de red).

j. Si no es posible resolver un mapping de ID de usuario por medio de estos métodos, se registra un error en el log de servidor, y el usuario no puede acceder al recurso compartido de CIFS (unidad de red).


Requisitos del sistema para mapping de usuariosLa tabla 1 en la página 12 describe las configuraciones de software, hardware, red y almacenamiento de Celerra Network Server necesarias para utilizar mapping de usuarios de la forma en que se explica en este documento.

E-Lab Interoperability NavigatorEMC E-LabTM Interoperability Navigator es una aplicación basada en Web en la que se pueden hacer búsquedas, que brinda acceso a matrices de soporte de interoperabilidad de EMC. Se encuentra disponible en el sitio Web de EMC Powerlink® en http://Powerlink.EMC.com. Inicie sesión en Powerlink y haga clic en Soporte > Información de Interoperabilidad y de Ciclo de Vida de Productos > E-Lab Interoperability Navigator.

Tabla 1 Requisitos del sistema para mapping de usuarios

Software Celerra Network Server versión 5.6.

Hardware No tiene requisitos de hardware específicos.

Red Dominio de Windows 2000, Windows Server 2003 o Windows NT. Se deben configurar los dominios con lo siguiente:

• Dominios de Windows 2000 o Windows Server 2003:Active DirectoryKerberos o NT Lan Manager (NTLMSSP) DNSNTP

• Dominios de Windows NT:Administrador de LAN NT (NTLM)WINS

Almacenamiento Compruebe que exista suficiente espacio disponible en el file system root. Póngase en contacto con un representante del Servicio al Cliente de EMC para obtener ayuda para determinar los requisitos de tamaño.

http://powerlink.emc.com


Opciones de la interfaz de usuario para mapping de usuariosCelerra Network Server ofrece flexibilidad para administración de networked storage basado en su entorno de servicio y sus preferencias de interfaz. En este documento, se describe cómo configurar el mapping de usuarios mediante la interfaz de línea de comandos (CLI). También podrá realizar algunas de estas tareas mediante una de las aplicaciones de administración de Celerra:

u Celerra Manager: Basic Edition

u Celerra Manager: Advanced Edition

u Snap-ins de Microsoft Management Console (MMC)

u Extensiones de usuarios y computadoras de Active Directory (ADUC)

Para obtener información adicional acerca de la administración de Celerra, consulte:

u Learning about EMC Celerra

u EMC Celerra Manager online help

u El sistema de ayuda en línea de la aplicación incluido en el EMC Celerra Network Server Documentation CD

Installing EMC Celerra Management Applications incluye instrucciones para iniciar Celerra Manager y para instalar los snap-ins de MMC y las extensiones de ADUC.

Uso de Celerra Manager para configurar mapping de usuariosEs posible utilizar Celerra Manager para configurar un Data Mover de manera que use Usermapper y NIS, como se describe en la tabla 2 en la página 13. No es posible utilizar Celerra Manager para configurar la función Identity Management for UNIX ni para administrar Active Directory y los archivos locales.

La ayuda en línea de Celerra Manager brinda más información sobre el uso de Celerra Manager para configurar mapping de usuarios.

Nota: Asimismo, puede usar los asistentes de configuración para configurar el uso de NIS o Usermapper básico.

Tabla 2 Mapping de usuario configurado mediante Celerra Manager

Servicio de asignación de nombres

Procedimiento de Celerra Manager

NIS Para configurar el Data Mover como cliente NIS, seleccione Celerras > [Celerra_name] > Network y haga clic en NIS Settings.

Usermapper Para configurar Usermapper, seleccione Celerras > [Celerra_name] > CIFS y haga clic en Usermappers.

../../gettingstarted.htm

../../HelpSystems/ManagerHelp/wwhelp/wwhimpl/java/html/wwhelp.htm

../../HelpSystems/ManagerHelp/wwhelp/wwhimpl/java/html/wwhelp.htm

../../../wwhelp/wwhimpl/java/html/wwhelp.htm

../InstallationManagement/index.htm


Guía de configuración de mapping de usuariosA continuación, se detallan las tareas para configurar mapping de usuarios:

u “Uso de Usermapper” en la página 15

u “Uso de los servicios de directorio basados en LDAP” en la página 22

u “Uso de archivos locales” en la página 23

u “Uso de NIS” en la página 28

u “Uso de Active Directory” en la página 29

u “Uso de las herramientas de migración de cuentas de usuarios” en la página 31

u “Configuración del mapping de grupo primario para objetos de file system” en la página 32

Las tareas para administrar mapping de usuarios son:

u “Administración de Usermapper” en la página 35

u “Administración de secmap” en la página 42


Uso de UsermapperUsermapper es un servicio de Celerra que genera y mantiene, de manera automática, una base de datos que asigna SIDs a UIDs y GIDs para usuarios o grupos que acceden a file systems desde un dominio de Windows. Usermapper realiza estas funciones:

u Una instancia del servicio de Usermapper funciona como el Usermapper primario, lo que significa que asigna UIDs y GIDs a usuarios y grupos de Windows. De manera predeterminada, esta instancia se configura en el Data Mover de la ranura 2 (server_2).

u Los otros Data Movers en un entorno de Celerra único se configuran como clientes del servicio de Usermapper primario, lo que significa que envían solicitudes de mapping al servicio primario cuando no encuentran un mapping para un usuario o grupo en su memoria caché local. De manera predeterminada, todos los Data Movers cliente automáticamente envían una difusión a través de las interfaces internas del sistema Celerra para descubrir la ubicación del servicio de Usermapper primario. En “Uso de la configuración predeterminada de Usermapper con Celerra único” en la página 18, se proporciona información acerca de la configuración de los servicios de Usermapper en un entorno de Celerra único.

u En un entorno de múltiples Celerra, solo se configura un único servicio de Usermapper primario en una de las plataformas Celerra, y todos los Data Movers contenidos en esa plataforma usarán el servicio de Usermapper primario. Cada plataforma Celerra adicional tendrá su propio servicio de Usermapper secundario, y todos los Data Movers respectivos apuntarán a su Usermapper secundario. Al igual que un servicio de Usermapper primario, un servicio de Usermapper secundario comprueba su base de datos para determinar si un usuario o grupo ya tiene asignado un UID o GID. De no ser así, envía la solicitud de mapping al servicio de Usermapper primario. El servicio de Usermapper primario comprueba su base de datos y, si es necesario, genera un UID o GID nuevo y devuelve el mapping al servicio de Usermapper secundario.

El servicio de Usermapper secundario agrega el usuario o grupo nuevo y el mapping a su base de datos y devuelve el mapping al Data Mover. Si el servicio de Usermapper secundario no está disponible, los usuarios nuevos no podrán acceder a los archivos. Los usuarios existentes pueden acceder a los archivos solo si un usuario utilizó el Data Mover con anterioridad, y la memoria caché local del Data Mover contiene el mapping anterior. En “Configuración de un entorno de Usermapper con múltiples Celerra” en la página 19, se proporciona información acerca de la configuración de los servicios de Usermapper en un entorno con más de un Celerra Network Server que comparte el mismo espacio de dominio.


RestriccionesAntes de configurar y ejecutar Usermapper, tenga en cuenta estas restricciones:

u Designe solo un servicio de Usermapper primario en un entorno de Celerra Network Server determinado y solo en una de las plataformas Celerra, en el caso de un entorno de múltiples Celerra. De lo contrario, se pueden asignar diversos mappings al mismo usuario. Las plataformas Celerra adicionales deben ejecutar un servicio de Usermapper secundario y apuntar al servicio de Usermapper primario para obtener los mappings correspondientes. No se debe ejecutar un servicio de Usermapper primario y un servicio de Usermapper secundario en el mismo gabinete Celerra.

u En un Celerra único, asegúrese de que exista una sola instancia del servicio de Usermapper, ya sea primaria o secundaria. Todos los otros Data Movers de ese Celerra son clientes del servicio primario o secundario.

u En un entorno de múltiples Celerra, compruebe que el servicio de Usermapper primario esté activado antes de configurar un servicio de Usermapper secundario.

u De manera predeterminada, Usermapper se ejecuta en el Data Mover de la ranura 2 (server_2). Esta es la ubicación preferida desde la que se ejecutará el servicio de Usermapper primario o secundario.

u No es posible configurar un servicio de Usermapper primario o secundario en un Data Mover virtual (VDM).


Consideraciones sobre la planificaciónAntes de comenzar a usar Usermapper, considere estas situaciones:

u Usermapper detiene el mapping de nuevos UIDs y GIDs cuando el file system root del Data Mover en el cual se almacena la base de datos de Usermapper se llena. En este caso, los usuarios nuevos no podrán acceder a los objetos del sistema. El tamaño del file system root necesario se basa en la cantidad de usuarios del entorno de Windows. Póngase en contacto con un representante del Servicio al Cliente de EMC para obtener ayuda para determinar los requisitos de tamaño.

u Si está replicando un entorno de Windows que utiliza Usermapper o si está usando EMC Symmetrix® Remote Data Facility (SRDF®), es posible que se apliquen restricciones especiales de Usermapper. Póngase en contacto con un representante del Servicio al Cliente de EMC para obtener más información.

u En Usermapper, los valores de UID y GID están fijos en la base de datos de Usermapper, y Usermapper asigna automáticamente nuevos UIDs y GIDs en función del siguiente valor disponible. Por ello, no necesita un archivo de configuración de Usermapper para definir los valores de UID y GID. No obstante, es posible importar un archivo usrmap.cfg existente y utilizarlo para definir los valores de UID y GID. Este procedimiento se denomina método de mapping manual. Una vez activados los valores definidos en el archivo usrmap.cfg, el método de mapping automático de Usermapper mantiene esta información e impide mappings duplicados.

Nota: Si no existe un motivo en particular para usar valores de UID y GID específicos para los dominios del entorno, EMC recomienda usar el método de mapping automático y permitir a Usermapper asignar automáticamente nuevos UIDs y GIDs en función de los siguientes valores disponibles. Si no es posible evitar una futura revisión del archivo usrmap.cfg, póngase en contacto con un representante del Servicio al Cliente de EMC para obtener ayuda.

u Usermapper soporta la funcionalidad Historial de SID presentada en Windows 2000, la cual contribuye a la migración de usuarios de dominios de Windows NT a dominios de modo nativo de Windows 2000. Para usar el Historial de SID, este se debe activar en Windows 2000 y en el sistema Celerra. La documentación de Windows 2000 proporciona el procedimiento correcto para activar el Historial de SID en los sistemas Windows 2000. Con el Historial de SID activado, cuando se migran usuarios de un dominio de Windows NT o un dominio de Windows 2000 en modo mixto a un dominio de Windows 2000 en modo nativo, el token de acceso de seguridad contiene el Historial de SID del dominio de Windows NT y un SID nuevo del dominio de Windows 2000. Usermapper asigna automáticamente los mappings de UID y GID, incluido el Historial de SID, de manera predeterminada.


Uso de la configuración predeterminada de Usermapper con Celerra único

Nota: Cuando un nuevo Celerra Network Server que ejecuta el software versión 5.3 o posterior se inicia por primera vez, se configura automáticamente con la configuración predeterminada de Usermapper con Celerra único. En este caso, Usermapper se activa automáticamente como un servicio Celerra, y no se requiere ningún otro procedimiento de instalación o configuración.

La configuración predeterminada de Usermapper se compone de un único Celerra Network Server en el que el Data Mover de la ranura 2 (server_2) se configura con el servicio de Usermapper primario. Cada uno de los Data Movers restantes del sistema Celerra almacena en memoria caché todos los mappings de SID a UID o GID que utilizó. Sin embargo, si uno de estos Data Movers es accedido por un usuario para el que no tiene un mapping, consulta el servicio de Usermapper primario. Estos Data Movers son clientes del servicio de Usermapper primario. De manera predeterminada, todos los Data Movers del sistema Celerra envían una difusión a través de las interfaces internas de Celerra de manera automática, para descubrir la ubicación del servicio de Usermapper primario.

Algunos valores de UID y GID están reservados y no se pueden asignar a SIDs. Por ejemplo, 0 está reservado para la cuenta root UNIX. Se reservan números adicionales para mantenimiento. Los valores de UID y GID pueden comenzar en 32 KB. El valor máximo posible para UIDs y GIDs es determinado por el file system subyacente. A todos los grupos y usuarios de dominio que acceden a este file system se les asignan UIDs y GIDs en función de estas definiciones.

Nota: Al igual que en una configuración estándar de Celerra, es posible configurar otro Data Mover para que funcione como Data Mover de failover, lo que proporciona un backup para el servicio de Usermapper primario.

“Visualización del estado de Usermapper” en la página 35 describe cómo verificar la configuración de Usermapper y mostrar su estado actual. En caso de que el servicio de Usermapper primario no se active automáticamente, “Resolución de problemas de mapping de usuarios” en la página 50 brinda información que puede ayudarlo a resolver el problema. “Administración de Usermapper” en la página 35 proporciona información acerca de la administración del entorno de Usermapper.


Configuración de un entorno de Usermapper con múltiples CelerraSi tiene un entorno de Celerra Network Server que contiene más de un Celerra Network Server que comparte el mismo espacio de dominio de Windows, la configuración predeterminada de Usermapper no resulta adecuada. En este caso, debe modificar la configuración predeterminada de Usermapper en todos los Celerra Network Servers adicionales para usar un servicio de Usermapper primario. En este caso, use una configuración en la que el Data Mover de la ranura 2 (server_2) de cada servidor adicional Celerra se configure como un servicio de Usermapper secundario. Los Data Movers restantes en cada servidor Celerra envían solicitudes de mapping al servicio de Usermapper secundario local, y cada servicio de Usermapper secundario envía estas solicitudes al único servicio de Usermapper primario.

El servicio de Usermapper secundario envía una solicitud de mapping al servicio de Usermapper primario por vez y solo cuando es necesario. Por lo tanto, es posible que los servicios de Usermapper secundarios de un entorno no tengan las mismas entradas en sus bases de datos.

Nota: Si existe la posibilidad de que los file systems alguna vez se repliquen, los servidores Celerra implicados deben compartir un único servicio de Usermapper primario.

Para configurar un entorno de Usermapper con múltiples Celerra:

1. “Verifique el estado del servicio de Usermapper primario.” en la página 19

2. “Desactive el servicio de Usermapper primario” en la página 20

3. “Configure el servicio de Usermapper secundario” en la página 21

4. “Verifique el estado del servicio de Usermapper secundario” en la página 21

En esta sección, el Celerra Network Server que soporta el servicio de Usermapper primario se denomina Celerra 1, y el Celerra Network Server que ejecuta el servicio de Usermapper secundario se denomina Celerra 2.

Verifique el estado del servicio de Usermapper primario.En el Celerra 1, verifique que el servicio de Usermapper primario esté activado en server_2, que es la configuración predeterminada.

Acción

Para verificar que el servicio de Usermapper primario está activado, utilice la siguiente sintaxis de comandos: $ server_usermapper <movername>

donde: <movername> = nombre del Data Mover

Ejemplo:

Para verificar que el servicio de Usermapper primario está activado en server_2 del Celerra 1, escriba: $ server_usermapper server_2

Salida

server_2 : Usrmapper service: EnabledService Class: Primary


Desactive el servicio de Usermapper primarioLa configuración predeterminada de Usermapper siempre designa el Data Mover de la ranura 2 (server_2) como soporte del servicio de Usermapper primario. Se debe configurar un Data Mover en el Celerra 2 de manera explícita para que soporte un servicio de Usermapper secundario. En el Celerra 2, desactive el servicio de Usermapper primario que se encuentra activado de manera predeterminada.

No se debe enviar ninguna solicitud de mapping al servicio de Usermapper primario en el Celerra 2 hasta que no se haya configurado nuevamente. En consecuencia, no debe configurar CIFS en los Data Movers del Celerra 2 hasta que el servicio de Usermapper se haya configurado nuevamente como un servicio secundario.

Acción

Para desactivar el servicio de Usermapper primario, utilice la siguiente sintaxis de comandos: $ server_usermapper <movername> -disable


Ejemplo:

Para desactivar el servicio de Usermapper primario en server_2 del Celerra 2, escriba: $ server_usermapper server_2 -disable

Salida

server_2 : done


Configure el servicio de Usermapper secundarioDespués de desactivar el servicio de Usermapper primario en el Celerra 2, puede configurar server_2 para que se ejecute como un servicio de Usermapper secundario.

Cuando activa un servicio de Usermapper secundario, también indica la ubicación del servicio de Usermapper primario al que el servicio secundario enviará las solicitudes de mapping. Para ello, especifique la dirección IP del Data Mover en el que se encuentra el servicio primario.

Nota: Se debe activar el servicio de Usermapper primario antes de configurar un servicio secundario.

Verifique el estado del servicio de Usermapper secundarioVerifique que el servicio de Usermapper secundario se haya activado en server_2 del Celerra 2.

Acción

Para activar un servicio de Usermapper secundario, utilice la siguiente sintaxis de comandos: $ server_usermapper <movername> -enable primary=<ip addr>

donde: <movername> = nombre del Data Mover<ip addr> = dirección IP de red del Data Mover en el que se ejecuta el servicio de Usermapper primario

Ejemplo:

Para activar un servicio de Usermapper secundario en server_2 del Celerra 2, escriba: $ server_usermapper server_2 -enable primary=192.168.21.1

Salida

server_2 : done

Acción

Para verificar que el servicio de Usermapper secundario está activado, utilice la siguiente sintaxis de comandos: $ server_usermapper <movername>


Ejemplo:

Para verificar que el servicio de Usermapper secundario está activado en server_2 del Celerra 2, escriba: $ server_usermapper server_2

Salida

server_2 : Usrmapper service: EnabledService Class: SecondaryPrimary = 192.168.21.1(c)


Uso de los servicios de directorio basados en LDAPLos directorios basados en LDAP son servidores de directorios distribuidos que proporcionan un catálogo central para almacenar y administrar perfiles de identidad, privilegios de acceso e información sobre recursos de redes y aplicaciones. En un entorno Celerra, los directorios basados en LDAP se pueden utilizar para proporcionar información sobre cuentas de usuario, información de grupos, hosts y grupos de red.

Para el mapping de usuarios, Celerra utiliza servidores de directorio LDAP como reemplazo de NIS, para bases de datos de grupos de red, hosts, grupos y contraseñas. Para definir qué mecanismo de resolución se debe consultar: LDAP, archivos locales o NIS y también para definir la prioridad de las solicitudes de búsqueda, use el archivo /slot_x/.etc/ nsswitch.conf.

Configuring EMC Celerra Naming Services brinda información sobre la configuración de un Data Mover como cliente de un servidor de directorio basado en LDAP y sobre el uso del archivo nsswitch.conf.

Nota: EMC recomienda el uso de Active Directory con SFU/IdMU para el mapping de usuarios en entornos de múltiples protocolos.


Uso de archivos locales Si el entorno de múltiples protocolos está compuesto principalmente por usuarios de UNIX y tiene más de un dominio de Windows o nombres de usuarios que no son exclusivos en los dominios de Windows, puede modificar los archivos de grupo y contraseña locales del Data Mover de manera manual.

De manera predeterminada, el Data Mover busca nombres de usuario en el formulario username.domain y nombres de grupo en el formulario groupname.domain. Si los nombres de usuario y los nombres de grupo no tienen una asociación de dominio, debe agregar el nombre de dominio de Windows y verificar que el usuario de Windows tenga asignado el UID y el GID de la cuenta de UNIX existente.

Nota: “Uso de las herramientas de migración de cuentas de usuarios” en la página 31 brinda información acerca de cómo migrar la información de usuario de un entorno a otro.

Si agregó nombres de usuario y nombres de grupo a los archivos locales sin una asociación de dominio, puede establecer el parámetro de resolución de cifs para que el Data Mover busque los nombres sin anexar el dominio. En “Uso de NIS” en la página 28, se proporciona una descripción del uso del parámetro de resolución de cifs.

Para agregar manualmente usuarios y grupos de Windows a los archivos de grupo y contraseña en el Data Mover:

1. “Copie los archivos locales desde el Data Mover” en la página 24

2. “Agregue el nombre de dominio de Windows como nombre de grupo” en la página 25

3. “Agregue los nombres de usuario de Windows” en la página 26

4. “Copie los archivos locales modificados al Data Mover” en la página 27

Para modificar archivos localesAl modificar los archivos de grupo y contraseña:

u Todas las entradas (nombres de Windows, nombres de usuario, nombres de dominio y nombres de grupos globales) de los archivos de grupo y contraseña se deben escribir en ASCII y en minúsculas exclusivamente.

u Todos los espacios en los nombres de grupo o dominio de Windows se deben reemplazar por =20 para que sean válidos en un archivo de grupo o contraseña estilo UNIX.

u Si se utiliza la autenticación de usuario de UNIX, ejecute el comando server_user para generar una contraseña encriptada en el campo de la contraseña, pero no incluya el dominio como parte del nombre de usuario.

Nota: Configuring EMC Celerra Naming Services brinda información adicional sobre el uso de archivos locales para los servicios de asignación de nombres.



Copie los archivos locales desde el Data Mover Para modificar los archivos locales, debe copiarlos desde el Data Mover.

Copie los archivos de grupo y contraseña desde el Data Mover a la Control Station para modificarlos. Si los archivos locales no existen, créelos con un editor de ASCII, por ejemplo vi o Emacs.

!PRECAUCIÓN!Este comando sobrescribe los archivos existentes con el mismo nombre sin brindar notificación alguna. Tenga cuidado al copiar los archivos.

Acción

Para copiar el archivo de grupo o contraseña, utilice la siguiente sintaxis de comandos para cada archivo:$ server_file <movername> -get <src_file> <dst_file>

donde:<movername> = nombre del Data Mover<src_file> = nombre del archivo de origen<dst_file> = nombre del archivo de destino

Ejemplo:

Para copiar el archivo de contraseña a /home/nasadmin/passwd, escriba:$ server_file server_2 -get passwd /home/nasadmin/passwd

Salida

server_2 : done


Agregue el nombre de dominio de Windows como nombre de grupoUtilice este procedimiento para agregar el nombre de dominio de Windows a la copia del archivo de grupo UNIX en el Data Mover.

Utilice los editores de texto UNIX vi, Emacs o el Bloc de notas de Windows para modificar el archivo de configuración de manera manual.

Acción

Mediante un editor de texto, agregue el nombre de dominio de Windows como nombre de grupo en el archivo de grupo. Asigne un GID para el nombre de grupo recién creado. Las entradas del archivo de grupo tienen el formato siguiente:<groupname.domain>:*:<GID>:

donde: <groupname.domain> = nombre de grupo y nombre de dominio de Windows* = contraseña de UNIX para el grupo; este campo debe contener un asterisco (*) dado que la contraseña no se utiliza en el Celerra Network Server<GID> = ID de grupo numérico exclusivo que se asigna al nombre de grupo

Ejemplo 1:

Para agregar la galaxia de dominio de Windows al archivo de grupo, agregue la línea siguiente:galaxy:*:100:

La galaxia de dominio de Windows es el nombre de grupo. El GID es 100.

Ejemplo 2:

A continuación, se presenta un ejemplo de un archivo de grupo, incluidos el ejemplo de galaxia y los grupos globales de Windows predeterminados:. (se omitieron numerosos grupos UNIX)galaxy:*:100:domain=20admins.galaxy:*:101:domain=20users.galaxy:*:102:domain=20guests.galaxy:*:103:


Agregue los nombres de usuario de WindowsUtilice este procedimiento para agregar nombres de usuario a la copia del archivo de contraseña UNIX en el Data Mover.

Acción

Agregue los nombres de usuario de Windows del dominio de Windows al archivo de contraseña y asigne a cada usuario un UID exclusivo y el GID especificado para el dominio de Windows en “Agregue el nombre de dominio de Windows como nombre de grupo” en la página 25.

Las entradas del archivo de contraseña tienen el formato siguiente:<user.domain>:*:<UID>:<GID>:<name>:<path>:<shell>

donde:<user.domain> = nombre de dominio y nombre de usuario de Windows* = contraseña de UNIX para el usuario; si el modo de autenticación de usuario en el Data Mover se establece en NT o SHARE, este campo debe contener un asterisco (*); si el Data Mover utiliza la autenticación de usuario de UNIX, el campo debe contener la contraseña encriptada del usuario<UID> = ID de usuario exclusivo que se asigna<GID> = GID asignado al dominio<name>, <path> y <shell> son campos informativos opcionales y se ignoran durante el procesamiento

Ejemplo:

A continuación, se proporciona un ejemplo de una entrada de archivo de contraseña de usuario, glenn, en la galaxia de dominio. Esto requiere una entrada en la contraseña, como:glenn.galaxy:*:530:100:J.GLENN:/usr/home/jdir:/bin/csh

donde:glenn = nombre de usuario de Windowsgalaxy = nombre de dominio de Windows que se anexa para evitar un mapping accidental a clientes de Windows o UNIX existentes del mismo nombre* = contraseña de UNIX del usuario; si el modo de autenticación de usuario en el Data Mover se establece en NT o SHARE, este campo se ignora530 = UID100 = GIDJ.GLENN = nombre de usuario (opcional) que se ignora durante el procesamiento/usr/home/jdir = path del directorio principal de UNIX (opcional) que se ignora durante el procesamiento/bin/csh = shell de UNIX (opcional) que se ignora durante el procesamiento


Copie los archivos locales modificados al Data MoverUtilice este procedimiento para copiar los archivos locales modificados (archivo de grupo o contraseña) de nuevo al Data Mover.

!PRECAUCIÓN!Este comando sobrescribe los archivos existentes con el mismo nombre sin brindar notificación alguna. Tenga cuidado al copiar los archivos.

Acción

Para copiar los archivos locales modificados de nuevo al Data Mover, utilice el siguiente comando para cada archivo:$ server_file <movername> -put <src_file> <dst_file>

donde:<movername> = nombre del Data Mover<src_file> = nombre del archivo de origen<dst_file> = nombre del archivo de destino

Ejemplos:$ server_file server_2 -put passwd passwd$ server_file server_2 -put group group

Salida

server_2 : done


Uso de NISSi el entorno de múltiples protocolos está compuesto principalmente por usuarios de UNIX y tiene solo un dominio de Windows o nombres de usuario que son exclusivos en los dominios de Windows, puede usar NIS para administrar el mapping de grupos y usuarios.

Configuring EMC Celerra Naming Services brinda información acerca de la configuración de un Data Mover para acceder a un servidor NIS. La documentación del servidor NIS ofrece información acerca de la actualización manual de los mappings de grupo y contraseña NIS.

“Uso de las herramientas de migración de cuentas de usuarios” en la página 31 brinda información acerca de cómo migrar la información de usuario de un entorno a otro.

Después de configurar NIS, el Data Mover busca en NIS un nombre de grupo y usuario. De manera predeterminada, busca un nombre de usuario en el formulario username.domain y un nombre de grupo en el formulario groupname.domain. Si agregó nombres de usuario y nombres de grupo a NIS sin una asociación de dominio, puede establecer el parámetro de resolución de cifs para que el Data Mover busque los nombres sin anexar el dominio.

Nota: Todas las entradas (nombres de Windows, nombres de usuario, nombres de dominio y nombres de grupos globales) de los mappings de grupo y contraseña se deben escribir en ASCII y en minúsculas exclusivamente.

Recuperación de nombres de grupo y usuario de NIS sin una asociación de dominioTenga en cuenta que los nombres de parámetros e instalaciones distinguen mayúsculas y minúsculas.

Acción

Para cambiar el formato predeterminado de nombre de usuario y nombre de grupo de modo que se puedan recuperar desde NIS sin una extensión de dominio, use la siguiente sintaxis de comandos: $ server_param <movername> -facility cifs -modify resolver -value 1


Ejemplo:

Para cambiar el formato predeterminado de nombre de usuario y nombre de grupo de modo que se puedan recuperar desde NIS sin una extensión de dominio, escriba: $ server_param server_2 -facility cifs -modify resolver -value 1

Salida

server_2 : done


../Parameters/index.htm


Uso de Active DirectorySi el entorno de múltiples protocolos está compuesto principalmente de usuarios de Windows, puede usar Active Directory para centralizar la administración de cuentas de usuarios de UNIX y Windows.

Si el esquema de Active Directory se extiende para incluir atributos de UNIX para los usuarios y grupos de Windows, puede configurar un Data Mover de modo que consulte Active Directory a fin de determinar si un usuario y el grupo al que pertenece tienen atributos de UNIX asignados. De ser así, se utiliza la información almacenada en estos atributos para la autorización de acceso a archivos.

Nota: Installing EMC Celerra Management Applications y los sistemas de ayuda en línea Celerra UNIX User Management y Celerra UNIX Attribute Migration brindan información adicional acerca del uso de Active Directory. La ayuda en línea brinda detalles de las extensiones de esquema de Active Directory. “Uso de las herramientas de migración de cuentas de usuarios” en la página 31 proporciona información acerca de la migración de información de usuarios de un entorno a otro.

Configuración de un Data Mover para consultas a Active Directory

Paso Acción

1. Instale el componente de administración de usuarios de UNIX de los snap-ins de Celerra CIFS Microsoft Management Console (MMC) para la administración de usuarios de Celerra desde un equipo Windows. Estos snap-ins proporcionan un método de mapping manual que permite asignar UIDs y GIDs específicos a usuarios de Windows.

Nota: Celerra MMC no se requiere si se utiliza SFU/IdMU con Active Directory.

2. Establezca el parámetro cifs useADMap en 1 para activar los snap-ins a fin de que interactúen con el Data Mover.



Uso del snap-in de administrador de usuarios de Celerra UNIXCelerra UNIX User Management es un snap-in de MMC para la vista de administración de Celerra que se puede utilizar para asignar, quitar o modificar los UIDs o GIDs de UNIX para un grupo o usuario de Windows único en el dominio local y en dominios remotos.

Asimismo, este snap-in se puede utilizar para seleccionar la ubicación de la base de datos de atributos. Esta ubicación puede ser un dominio local o remoto. Puede seleccionar almacenar la base de datos de atributos en Active Directory de un dominio local cuando:

u Haya un solo dominio.

u No se permitan trusts.

u No se necesite centralizar la información de administración de usuarios de UNIX.

Puede seleccionar un dominio remoto cuando:

u Haya múltiples dominios.

u Ya existan trusts bidireccionales entre los dominios que necesiten acceder a la base de datos de atributos.

u Desee centralizar la información de administración de usuarios de UNIX.

Uso de la extensión de la página de propiedades de grupos y usuarios de Celerra UNIX Las páginas de propiedades de grupos y usuarios de Celerra UNIX son extensiones de la vista Active Directory Users and Computers. Puede utilizar estas páginas de propiedades para asignar, quitar o modificar UIDs o GIDs de UNIX para un único grupo o usuario de Windows en el dominio local.

Nota: No se puede utilizar esta extensión para administrar usuarios o grupos en un dominio remoto.


Uso de las herramientas de migración de cuentas de usuariosSi actualmente tiene un entorno de un solo protocolo (ya sea CIFS puro o NFS puro) y desea convertirlo en un entorno de múltiples protocolos (que soporte clientes Windows y UNIX), puede utilizar estas herramientas para migrar las cuentas de usuario de un protocolo a otro:

u Celerra UNIX Attributes Migration Tool

u NTMigrate

Celerra UNIX Attributes Migration Tool Celerra UNIX Attributes Migration es una herramienta que permite migrar usuarios de UNIX existentes desde Celerra Network Server (archivos locales) o NIS hacia Active Directory. Puede seleccionar los atributos de UNIX (UIDs y GIDs) para agregar al Active Directory. Sin embargo, no puede agregar usuarios ni grupos nuevos, ni puede modificar UIDs o GIDs de UNIX existentes. Para agregar usuarios o grupos nuevos o modificar atributos de UNIX existentes, consulte “Uso de Active Directory” en la página 29 para obtener información sobre el uso de Active Directory para el mapping de usuarios.

Nota: El uso de esta herramienta extiende el esquema de Active Directory. Una vez extendido el esquema, no se podrá volver al esquema original de Active Directory.

Installing EMC Celerra Management Applications brinda más información acerca de la instalación de esta herramienta. La ayuda en línea de Celerra UNIX Attributes Migration Tool ofrece más información sobre el uso de esta herramienta.

NTMigrateNTMigrate es una herramienta que migra usuarios de Windows a una base de datos de UID o GID UNIX (archivo de contraseña local o NIS). NTMigrate recopila la información de usuario de un dominio de Windows y la combina con los archivos de grupo y contraseña de UNIX.

NTMigrate es ideal para el mapping de grandes dominios de Windows a UIDs y GIDs UNIX. Using NTMigrate with EMC Celerra brinda más información.


../NTMigrate/index.htm


Configuración del mapping de grupo primario para objetos de file system En un file system, cada objeto (por ejemplo, un archivo, directorio, enlace y acceso directo) tiene un propietario y un grupo de propietarios asociados identificados por un UID y un GID. NFS utiliza el UID y el GID para controlar el acceso al objeto de file system. Dado que un usuario puede ser miembro de varios grupos, Celerra Network Server necesita una manera de determinar el grupo que se debe asociar con un archivo recién creado. La configuración del grupo primario de un usuario determina el GID que se asigna al objeto de file system.

NFS y CIFS tienen el concepto de un grupo primario para un usuario. En NFS, se requiere el grupo primario; sin embargo, el grupo primario es opcional en las plataformas Windows y se establece de manera predeterminada al grupo Domain Users.

Todos los objetos de file system (FSOs) de un Data Mover tienen un propietario asociado (identificado por un UID) y un grupo asociado (identificado por un GID). Los UID y GID asociados con un FSO se determinan de la manera siguiente:

u Para NFS: Cuando un FSO se crea desde un cliente UNIX, el GID del FSO se obtiene del GID suministrado por el cliente UNIX (en función del grupo primario del creador).

u Para CIFS: Cuando se crea un FSO desde un cliente Windows, el GID se puede determinar de estas formas:

• El GID del objeto de file system se obtiene del GID asociado con el grupo primario del creador (predeterminado).

• El GID del objeto del file system se obtiene del grupo primario UNIX de un usuario, según se define en el archivo de contraseña, NIS o Active Directory.


Uso de GIDs de UNIX de usuarios para objetos de file systemEl parámetro cifs acl.useUnixGid controla si Celerra Network Server obtiene el GID de un FSO del grupo primario de un usuario o del GID del usuario almacenado en el archivo de contraseña, NIS o Active Directory.

Tenga en cuenta que los nombres de parámetros e instalaciones distinguen mayúsculas y minúsculas.

Acción

Para establecer el mapping de GID para FSOs creados en un cliente Windows al GID del usuario de Windows almacenado en el archivo de contraseña, NIS o Active Directory, utilice la siguiente sintaxis de comandos: $ server_param <movername> -facility cifs -modify acl.useUnixGid -value 1


Ejemplo:

Para establecer el mapping de GID para objetos de file system creados en un cliente Windows al GID del usuario de Windows, escriba: $ server_param server_2 -facility cifs -modify acl.useUnixGid -value 1

Salida

server_2 : done



Determinación de GIDs en objetos de file system copiadosPor lo general, cuando un usuario de Windows copia un FSO con una herramienta como el explorador de Windows, la propiedad del FSO nuevo se asigna al usuario que realizó la copia. De hecho, el usuario obtiene la propiedad del FSO copiado. Celerra Network Server también mantiene GIDs en FSOs; se debe aplicar un GID al FSO copiado. El parámetro cifs acl.takegroupship determina el origen del GID del FSO copiado.


Acción

Para cambiar el origen del GID del FSO copiado, es decir, para determinar que el grupo primario deriva del origen especificado por el parámetro acl.useUnixGid, utilice la siguiente sintaxis de comandos: $ server_param <movername> -facility cifs -modify acl.takegroupship -value 1


Ejemplo:

Para determinar que el grupo primario deriva del origen especificado por el parámetro acl.useUnixGid, escriba: $ server_param server_2 -facility cifs -modify acl.takegroupship -value 1

Salida

server_2 : done


Administración de UsermapperTareas de administración de Usermapper:

u “Visualización del estado de Usermapper” en la página 35

u “Importación y exportación de la información de base de datos” en la página 38

u “Mantenimiento de la base de datos de Usermapper” en la página 39

u “Realización de backup de Usermapper” en la página 40

Visualización del estado de UsermapperPuede visualizar el estado de Usermapper en Celerra Network Server mediante dos comandos:

u El comando server_usermapper muestra el estado de los servicios de Usermapper que se ejecutan en un Data Mover.

u El comando server_cifs muestra la configuración CIFS de un Data Mover, incluido el servicio de Usermapper que utiliza.


Visualización de la información del servicio de UsermapperEl comando server_usermapper muestra el estado de los servicios de Usermapper que se ejecutan en un Data Mover, incluso:

u Si Usermapper está configurado como un servicio primario o secundario

u La dirección IP del servicio de Usermapper primario que utiliza el servicio secundario

u El estado operacional del servicio

Acción

Para visualizar el estado del servicio de Usermapper, utilice la siguiente sintaxis de comandos: $ server_usermapper <movername>


Ejemplo:

Para visualizar el estado del servicio de Usermapper en server_2, escriba: $ server_usermapper server_2

Salida Nota

server_2 : Usrmapper service: EnabledService Class: SecondaryPrimary = 192.168.21.1(c)

Usermapper tiene tres estados operacionales:

• Uninitialized: cuando Usermapper no está disponible en el Data Mover

• Initialized: cuando Usermapper se ha creado en el Data Mover, pero se ha desactivado por algún motivo

• Enabled: cuando Usermapper está en ejecución

Debe haber solo una instancia del servicio de Usermapper, primario o secundario, en un único servidor Celerra. Todos los otros Data Movers de ese entorno son clientes del servicio primario o secundario.


Visualización del servicio de Usermapper del Data MoverEl comando server_cifs muestra la configuración CIFS de un Data Mover, incluido el servicio de Usermapper que utiliza.

Si ejecuta el comando server_cifs para el Data Mover en el que se está ejecutando el servicio de Usermapper (por lo general, server_2), el servicio de Usermapper enumerado muestra la dirección de loopback del Data Mover (127.0.0.1) como la dirección IP del servicio de Usermapper.

Acción

Para visualizar el servicio de Usermapper utilizado por un Data Mover, utilice la siguiente sintaxis de comandos: $ server_cifs <movername>


Ejemplo:

Para mostrar el servicio de Usermapper utilizado por server_3, escriba: $ server_cifs server_3

Salida

server_3 :96 Cifs threads startedSecurity mode = NTMax protocol = NT1I18N mode = UNICODEHome Directory Shares DISABLEDUsermapper auto broadcast enabled

Usermapper[0]=[128.221.252.2] state:active (auto discovered)Usermapper[1]=[128.221.253.2] state:active (auto discovered)

Default WINS servers = 192.168.4.230Enabled interfaces: (All interfaces are enabled)

Disabled interfaces: (No interface disabled)

Nota

Este ejemplo muestra que server_3 utiliza el servicio de Usermapper ubicado en server_2 en las direcciones IP internas 128.221.252.2 y 128.221.253.2; el servicio está disponible y se ubicó mediante difusión de descubrimiento automático.


Importación y exportación de la información de base de datosEs posible importar y exportar la información de usuario y grupo hacia y desde la base de datos de Usermapper.

Importación de la información de base de datosPor lo general, se importa información a la base de datos de Usermapper desde un archivo de usuario y grupo para volver a importar una base de datos editada de Usermapper, migrar el servicio de Usermapper primario de un Data Mover a otro, o actualizar o migrar la configuración de Usermapper. Póngase en contacto con un representante del Servicio al Cliente de EMC para obtener ayuda si desea migrar el servicio de Usermapper primario de un Data Mover a otro.

Utilice la opción de importación del comando server_usermapper para importar un archivo de usuario o grupo. Usermapper puede importar archivos en estos dos formatos: un formato UNIX estándar que corresponda a los formatos de archivo de grupo y contraseña o un formato que incluya el SID en el primer campo.

Ejemplo de una entrada de archivo de usuario en formato UNIX estándar (Formato 1):

rob.hilder.dir:*:26831:903:rob.hilder.dir:/usr/rob.hilder.dir:/bin/sh

Ejemplo de una entrada de archivo de usuario en formato basado en SID (Formato 3):

S-1-5-15-139d2e78-56b177fd-5475b975-3323d:*:26831:903:user rob.hilder from domain dir:/usr/S-1-5-15-139d2e78-56b177fd-5475b975-3323d:/bin/sh

Ejemplo de una entrada de archivo de grupo en formato UNIX estándar (Formato 1):

people.mass.subscribers.db.dir:*:58362:people.mass.subscribers.db.dir:

Ejemplo de una entrada de archivo de grupo en formato basado en SID (Formato 3):

S-1-5-15-139d2e78-56b177fd-5475b975-2c3d6:*:58362:people.mass.subscribers.db.dir:

Acción

Para importar información de usuario y grupo en la base de datos de Usermapper, utilice la siguiente sintaxis de comandos: $ server_usermapper <movername> -Import {-user | -group} <pathname>

donde: <movername> = nombre del Data Mover<pathname> = nombre y ubicación del archivo de usuario que se importará

Ejemplos:

Para importar la información de usuario en la base de datos de Usermapper en server_2, escriba: $ server_usermapper server_2 -Import -user /nas/cifs/usrmapperV3/linux/usrmap.passwd

Para importar la información de grupo en la base de datos de Usermapper en server_2, escriba: $ server_usermapper server_2 -Import -group /nas/cifs/usrmapperV3/linux/usrmap.group

Salida

server_2 : done


Exportación de la información de base de datosPor lo general, se exporta información de usuario y grupo de la base de datos de Usermapper para migrar el servicio de Usermapper primario, realizar backup de la base de datos de Usermapper o recopilar información para la resolución de problemas.

Utilice la opción de exportación del comando server_usermapper para exportar un archivo de usuario o grupo. Usermapper exporta archivos en un formato que incluye el SID en el primer campo.

Ejemplo de una entrada de archivo de usuario en formato basado en SID (Formato 3):

S-1-5-15-139d2e78-56b177fd-5475b975-3323d:*:26831:903:user rob.hilder from domain dir:/usr/S-1-5-15-139d2e78-56b177fd-5475b975-3323d:/bin/sh

Ejemplo de una entrada de archivo de grupo en formato basado en SID (Formato 3):

S-1-5-15-139d2e78-56b177fd-5475b975-2c3d6:*:58362:people.mass.subscribers.db.dir:

Mantenimiento de la base de datos de UsermapperNo modifique los archivos de la base de datos de Usermapper. De lo contrario, es posible que los usuarios de Windows tengan problemas al acceder a los archivos.

Si cree que se debe modificar una entrada de mapping de Usermapper, consulte con un representante del Servicio al Cliente de EMC para determinar la mejor medida.

Nota: Los cambios efectuados a la base de datos de Usermapper no se reflejan en un Data Mover cliente si este ya almacenó la información existente de Usermapper en su memoria caché local. Si ya se crearon los archivos y las carpetas mediante los UIDs y GIDs existentes, el cambio del mapping de UID o GID hará que los objetos de archivo sean inaccesibles.

Acción

Para exportar información de usuario y grupo de la base de datos de Usermapper, utilice la siguiente sintaxis de comandos: $ server_usermapper <movername> -Export {-user | -group} <pathname>

donde: <movername> = nombre del Data Mover<pathname> = nombre y ubicación del archivo al que se exportará la información

Ejemplos:

Para exportar la información de usuario de la base de datos de Usermapper en server_2, escriba: $ server_usermapper server_2 -Export -user /home/nasadmin/backup.passwd

Para exportar la información de grupo de la base de datos de Usermapper en server_2, escriba: $ server_usermapper server_2 -Export -group /home/nasadmin/backup.group

Salida

server_2 : done


Realización de backup de Usermapper

Paso Acción

1. Como root, vuelque los archivos de grupo y contraseña a un directorio especificado. Para ello, escriba: $ server_usermapper server_2 -Export -user /home/nasadmin/backup.passwd $ server_usermapper server_2 -Export -group /home/nasadmin/backup.group

2. Escriba lo siguiente para realizar una copia de backup del archivo usrmap.cfg actual (si hay uno en uso):$ cp /nas/rootfs/slot_2/.etc/usrmapper/usrmap.cfg /home/nasadmin/usrmap.cfg

3. Escriba lo siguiente para realizar una copia de backup del archivo usrmap.settings:$ cp /nas/rootfs/slot_2/.etc/usrmapper/usrmap.settings /home/nasadmin/usrmap.settings


Modificación de la configuración predeterminada de UsermapperUsermapper cuenta con valores de configuración predeterminados, pero es posible cambiarlos mediante la modificación de los siguientes parámetros:

u usrmap minuid

u usrmap maxuid

u usrmap mingid

u usrmap maxgid

Si ha importado un archivo de configuración existente, estos límites de valores de UID y GID solo se aplicarán cuando se cree una nueva entrada en la base de datos de Usermapper.

Nota: Los nombres de parámetros y funcionalidades distinguen mayúsculas y minúsculas.

Acción

Para cambiar los valores predeterminados de UID o GID de Usermapper, utilice la siguiente sintaxis de comandos: $ server_param <movername> -facility usrmap -modify <param_name> -value <new_value>

donde: <movername> = nombre del Data Mover<param_name> = nombre del parámetro<new_value> = valor que desea establecer para el parámetro especificado

Ejemplo:

Para cambiar el valor mínimo de UID, escriba: $ server_param server_2 -facility usrmap -modify minuid -value 32

Para cambiar el valor máximo de UID, escriba: $ server_param server_2 -facility usrmap -modify maxuid -value 2147483647

Salida

server_2 : done


Administración de secmapTareas de administración de mapping seguro:

u “Desactivación de secmap” en la página 42

u “Visualización de entradas de mapping de secmap” en la página 43

u “Visualización de entradas de mapping inverso de secmap” en la página 43

u “Creación de entradas de mapping de secmap” en la página 44

u “Comprobación de entradas de mapping de secmap” en la página 45

u “Actualización de entradas de mapping de secmap” en la página 46

u “Eliminación de entradas de mapping de secmap” en la página 47

u “Exportación de entradas de mapping de secmap” en la página 48

u “Importación de entradas de mapping de secmap desde un archivo” en la página 48

u “Reporting del estado de secmap” en la página 49

Desactivación de secmapEl almacenamiento en memoria caché en secmap está activado de manera predeterminada. Se puede desactivar con el parámetro cifs secmap.enable. Secmap solo se activa cuando se inicia el servicio CIFS y se desactiva cuando se detiene el servicio CIFS. Este parámetro solo se tiene en cuenta en el inicio de CIFS. EMC recomienda el uso de secmap.


Acción

Para desactivar la memoria caché de secmap, utilice la siguiente sintaxis de comandos:$ server_param<movername> -facility cfs -modify secmap.enable -value 0

donde:<movername> = nombre del Data Mover

Ejemplo:

Para desactivar la memoria caché de secmap, escriba:$ server_param server_2 -facility cifs -modify secmap.enable -value 0

Salida

server_2 : done


Visualización de entradas de mapping de secmap

Visualización de entradas de mapping inverso de secmap

Acción

Para visualizar las entradas de mapping de secmap de un usuario, grupo, dominio, o un SID, o todas las entradas existentes, utilice la siguiente sintaxis de comandos: $ server_cifssupport <movername> -secmap -list [ -name <name> -domain <domain_name> | -domain <domain_name> | -sid <SID> | -uid <user_id> | -gid <group_id>]

donde: <movername> = nombre del Data Mover<name> = nombre del usuario o grupo<domain_name> = nombre de dominio completamente calificado<SID> = SID<user_id> = UID<group_id> = GID

Ejemplo:

Para visualizar todas las entradas de mapping de secmap en server_2, escriba: $ server_cifssupport server_2 -secmap -list

Para visualizar la entrada de mapping de secmap en server_2 para el usuario user1 en el dominio NASDOCS, escriba: $ server_cifssupport server_2 -secmap -list -name user1 -domain NASDOCS

Salida Nota

server_2 : done La salida incluye SID, tipo (usuario o grupo), ID (UID o GID según el tipo), origen, dominio y nombres de cuenta (opcional).

Si no se encuentra un mapping, se generará el siguiente mensaje: mapping not found.

Acción

Para visualizar las entradas de mapping inverso de secmap (SIDs) de un UID o GID, utilice la siguiente sintaxis de comandos: $ server_cifssupport <movername> -secmap -list -uid <user_id> | -gid <group_id>

donde: <movername> = nombre del Data Mover<user_id> = UID <group_id> = GID

Ejemplo:

Para visualizar la entrada de mapping inverso de secmap en server_2 para el UID 32771, escriba: $ server_cifssupport server_2 -secmap -list -uid 32771

Salida Nota

server_2 : done Es posible que la salida incluya varios SIDs si se ha asignado más de un SID al ID especificado. La salida muestra toda la información asociada con el SID.


Creación de entradas de mapping de secmapPara agregar un mapping nuevo para un usuario o grupo a la base de datos de secmap, Celerra comprueba, en primer lugar, si hay espacio suficiente para insertar una entrada nueva. Celerra solo puede almacenar mappings si hay más del 5% de inodos y bloques disponibles en el file system de secmap. Esta comprobación se realiza solo al comienzo de la operación. Si se alcanza el umbral durante la operación, Celerra continúa. Se devuelve un error solo si se produce una condición anormal. De ser así, Celerra determina en qué tabla de dominio se debe colocar el mapping. Antes de agregar el mapping de SID, Celerra agrega, en primer lugar, el mapping inverso correspondiente en la tabla requerida. Luego, agrega el mapping principal a la tabla de dominio correspondiente.

Si no existe espacio suficiente para almacenar el nuevo mapping o si se necesita una tabla de dominio nueva y no es posible crearla, Celerra devolverá un error. Si no se puede agregar el mapping principal por algún motivo, Celerra deshace las modificaciones de mapping inverso realizadas anteriormente. En “Reporting del estado de secmap” en la página 49, se describe cómo visualizar el estado actual de secmap, incluso el estado de la base de datos, los dominios administrados por secmap y el uso de recursos (cantidad de inodos y bloques usados). Si ya existe un mapping inverso para el SID, Celerra le anexará un nuevo SID.

Acción

Para crear entradas de mapping de secmap, utilice la siguiente sintaxis de comandos: $ server_cifssupport <movername> -secmap -create { -name <name> -domain <domain_name> | -sid <SID> }

donde: <movername> = nombre del Data Mover<name> = nombre del usuario o grupo<domain_name> = nombre de dominio completamente calificado<SID> = SID

Ejemplo:

Para crear una entrada de mapping de secmap en server_2 para el usuario user3 en el dominio NASDOCS, escriba: $ server_cifssupport server_2 -secmap -create -name user3 -domain NASDOCS

Salida Nota

server_2 : done La salida muestra todos los mappings que se hayan modificado después de incorporarlos a la base de datos.


Comprobación de entradas de mapping de secmapPara comprobar un mapping, Celerra busca, en primer lugar, el mapping existente. Luego, resuelve el mapping nuevamente mediante la obtención del nombre SID del controlador de dominio y la obtención del mapping a través de los mecanismos de mapping de usuarios disponibles. Por último, Celerra compara lo obtenido mediante la recreación del mapping con lo almacenado.

Se devuelve un error si el mapping:

u No existe en la base de datos de secmap

u No se pudo resolver

u No se pudo modificar

Acción

Para comprobar todas las entradas de mapping de secmap, utilice la siguiente sintaxis de comandos: $ server_cifssupport <movername> -secmap -verify {-name <name> -domain <domain_name> | -sid <SID>}


Ejemplo:

Para comprobar todas las entradas de mapping de secmap en server_2, escriba: $ server_cifssupport server_2 -secmap -verify -user user3 -domain NASDOCS

Salida Nota

server_2 : done La salida muestra todos los mappings que se hayan modificado después de incorporarlos a la base de datos.


Actualización de entradas de mapping de secmapPara actualizar un mapping, Celerra busca, en primer lugar, el mapping existente. Luego, resuelve el mapping nuevamente mediante la obtención del nombre SID del controlador de dominio y la obtención del mapping a través de los mecanismos de mapping de usuarios disponibles. Por último, Celerra compara lo obtenido mediante la recreación del mapping con lo almacenado. Si los valores difieren, Celerra reemplaza el valor existente por el valor nuevo.

Se devuelve un error si el mapping:

u No existe en la base de datos de secmap

u No se pudo resolver

u No se pudo modificar

Nota: Después de realizar una actualización, se debe forzar una actualización de las ACLs de todos los file systems para tomar en cuenta los mappings nuevos.

Acción

Para actualizar todas las entradas de mapping de secmap, utilice la siguiente sintaxis de comandos: $ server_cifssupport <movername> -secmap -update { -name <name> -domain <domain_name> | -sid <SID>}


Ejemplo:

Para actualizar todas las entradas de mapping de secmap en server_2, escriba: $ server_cifssupport server_2 -secmap -update -user user3 -domain NASDOCS

Salida Nota

server_2 : done La salida muestra todos los mappings que se actualizaron.


Eliminación de entradas de mapping de secmapPara eliminar un mapping, Celerra elimina, en primer lugar, el mapping inverso correspondiente y luego elimina el mapping principal. Si el mapping inverso contiene varios SIDs, Celerra elimina el SID especificado.

Acción

Para eliminar entradas de mapping de secmap, utilice la siguiente sintaxis de comandos: $ server_cifssupport <movername> -secmap -delete { -name <name> -domain <domain_name> | -sid <SID>}


Ejemplo:

Para eliminar una entrada de mapping de secmap en server_2 para el usuario user3 en el dominio NASDOCS, escriba: $ server_cifssupport server_2 -secmap -delete -name user3 -domain NASDOCS

Salida

server_2 : done


Exportación de entradas de mapping de secmap

Importación de entradas de mapping de secmap desde un archivoSi los mappings importados están en conflicto con mappings existentes, se rechazan y se devuelve un error.

Acción

Para exportar entradas de mapping de secmap, utilice la siguiente sintaxis de comandos: $ server_cifssupport <movername> -secmap -export [ -file <filename> ]

donde: <movername> = nombre del Data Mover<filename> = nombre del archivo donde se deben guardar los mappings

Ejemplo:

Para exportar las entradas de mapping de secmap en server_2, escriba: $ server_secmap server_2 -secmap -export -file exportfile.txt

Salida Nota

server_2 : done Si no se especifica un nombre de archivo, la base de datos de secmap se mostrará en la pantalla.

Acción

Para importar entradas de mapping de secmap, utilice la siguiente sintaxis de comandos: $ server_cifssupport <movername> -secmap -import -file <filename>

donde: <movername> = nombre del Data Mover<filename> = nombre del archivo que contiene los mappings que se importarán

Ejemplo:

Para importar las entradas de mapping de secmap en server_2, escriba: $ server_cifssupport server_2 -secmap -import -file importfile.txt

Salida

server_2 :


Reporting del estado de secmap

Acción

Para visualizar el estado actual de secmap, incluso el estado de la base de datos, los dominios administrados por secmap y el uso de recursos (cantidad de inodos y bloques usados), utilice la siguiente sintaxis de comandos: $ server_cifssupport <movername> -secmap -report


Ejemplo:

Para visualizar el estado actual de secmap en server_2, escriba: $ server_cifssupport server_2 -secmap -report

Salida

server_2 : done

SECMAP GENERAL INFORMATIONS

Name :server_2State :EnabledFs : /Used nodes : 27Used blocks : 0

SECMAP MAPPED DOMAIN

Name SIDINTGW2K3 S-1-5-15-56db7d78-9b661160-9e19279b-ffffffff


Resolución de problemas de mapping de usuariosComo parte de su esfuerzo continuo por mejorar y optimizar el performance y las capacidades de sus líneas de productos, EMC lanza periódicamente nuevas versiones de las herramientas de hardware y software Celerra. En consecuencia, es posible que algunas de las funciones que se describen en este documento no se soporten en todas las versiones de las herramientas de hardware y software que se encuentran en uso actualmente. Para obtener la información más reciente acerca de las funciones de cada producto, consulte las notas de la versión del producto correspondiente.

Si un producto no funciona correctamente o de la manera que se describe en este documento, póngase en contacto con su representante de Servicio al Cliente de EMC.

Dónde obtener ayudaPara obtener información sobre licencias, productos y servicio de EMC, consulte:

Información de productos: para ver documentación, notas de la versión, actualizaciones de software o para obtener información sobre productos, licencias y servicios de EMC, visite el sitio Web de EMC Powerlink (registro obligatorio) en la dirección:

http://Powerlink.EMC.com

Servicio técnico: para obtener servicio técnico, visite Servicio al Cliente de EMC en Powerlink. Inicie sesión en el sitio Web de EMC Powerlink, vaya a Soporte > Solicitar Soporte. Para abrir una solicitud de servicio por medio de Powerlink, debe contar con un acuerdo de servicio válido. Comuníquese con un representante del Servicio al Cliente de EMC para obtener detalles sobre cómo obtener un acuerdo de servicio válido o para formular preguntas sobre su cuenta.

Nota: No solicite un representante de servicio específico a menos que ya le haya asignado uno para su problema específico del sistema.

EMC Problem Resolution Roadmap for Celerra contiene información adicional sobre el uso de Powerlink y la resolución de problemas.

Limitaciones y problemas conocidos relacionados con el uso de UsermapperLa tabla 3 en la página 50 describe los problemas conocidos que pudieran ocurrir al usar Usermapper y presenta soluciones alternativas.

Tabla 3 Problemas conocidos de Usermapper y soluciones alternativas (página 1 de 2)

Problema conocido Efecto Solución alternativa

Se debe activar el servicio de Usermapper primario antes de configurar servicios secundarios.

Al ejecutar el comando server_usermapper <movername> -enable primary=, recibe el siguiente error:

Error 4020: <movername>:failed to complete command

Compruebe el estado operacional del servidor primario y actívelo mediante el comando server_usermapper <movername> -enable.

http://Powerlink.EMC.com


../ProblemResolutionRoadmap/index.htm



Eventos y notificaciones de UsermapperLa tabla 4 en la página 51 enumera los eventos de Usermapper. Configuración de eventos y notificaciones de EMC Celerra brinda una descripción de cómo configurar Celerra Network Server para registrar y mostrar estos eventos.

Usermapper detiene el mapping de nuevos UIDs y GIDs después de que el file system root del Data Mover (donde se almacena la base de datos de Usermapper) se llena. Los usuarios nuevos no podrán acceder a los objetos de sistema.

Los siguientes errores se registran de manera reiterada en el log del servidor para las solicitudes de mapping adicionales después de que el file system root alcanza la capacidad:

error: -20 for user uid requesterror: -20 for group gid request

Determine el tamaño requerido del file system root en función de la cantidad de usuarios del entorno de Windows. Póngase en contacto con un representante del Servicio al Cliente de EMC para obtener ayuda para determinar los requisitos de tamaño.

Tabla 4 Eventos de USRMAP

Nombre de instalación

ID de instalación

Descripción de instalación

ID de evento

Descripción de evento

USRMAP 93 Monitorea los eventos de Usermapper

0 Usermapper funciona correctamente

1 Se creó la base de datos de Usermapper

2 El servicio de Usermapper está activado

3 Se detuvo el servicio de Usermapper

4 Se destruyó la base de datos de Usermapper

5 Usermapper está disponible

6 No se puede acceder a Usermapper

7 Se superó la cuota del file system de Usermapper

Tabla 3 Problemas conocidos de Usermapper y soluciones alternativas (página 2 de 2)


../EventsandNotifications/index.htm



Limitaciones y problemas conocidos relacionados con el uso de secmapLa tabla 5 en la página 52 describe los problemas conocidos que pudieran ocurrir al usar secmap y presenta soluciones alternativas.

Tabla 5 Problemas conocidos de secmap y soluciones alternativas


No se crean mappings nuevos

Si el file system de secmap está prácticamente lleno, es posible que la base de datos de secmap alcance un punto en el que no pueda almacenar nuevos mappings, aunque pueda continuar devolviendo mappings existentes.

Secmap funcionará en modo degradado hasta que se limpie o amplíe el file system donde reside.

Se requiere la sincronización con servicios de mapping

De manera predeterminada, secmap es una memoria caché de una sola escritura, muchas lecturas para evitar que los mappings se modifiquen de manera accidental. No obstante, cuando los mappings se modifican intencionalmente, el nuevo mapping no se realiza automáticamente en secmap. El nuevo mapping se debe imponer de manera manual en secmap antes de restablecer la ACL. Por lo tanto, secmap puede estar fuera de sincronización si se modifican los mappings en los servicios de mapping.

Utilice los comandos de secmap para comprobar la consistencia de la base de datos y posiblemente reparar las inconsistencias de mapping.

PRECAUCIÓN!Después de modificar mappings, debe actualizar las ACLs para asegurarse de que usan los nuevos mappings. De lo contrario, es posible que surjan problemas con los derechos de acceso, debido a las inconsistencias entre los mappings de secmap y aquellos almacenados en las ACLs.


Mensajes de error de mapping de usuarios A partir de la versión 5.6, todos los mensajes de estado, las alertas y los nuevos eventos proporcionan información detallada y acciones recomendadas para ayudarlo a resolver problemas.

Para ver los detalles de un mensaje, utilice cualquiera de los siguientes métodos:

u Celerra Manager:

• Haga clic con el botón secundario sobre un mensaje de estado, alerta o evento, y seleccione ver Event Details, Alert Details o Status Details.

u Celerra CLI:

• Escriba nas_message -info <MessageID>, donde MessageID corresponde al número de identificación del mensaje.

u EMC Celerra Network Server Error Messages Guide:

• Utilice esta guía para hallar información sobre mensajes que se encuentren en formato de mensaje de una versión anterior.

u Powerlink:

• Utilice el texto de la descripción breve del mensaje de error o el ID del mensaje para realizar búsquedas en Knowledgebase, en Powerlink. Inicie sesión en Powerlink y haga clic en Soporte > Búsqueda en Knowledgebase > Búsqueda de Soluciones de Soporte.

../ErrorMsgs/index.htm




Información relacionadaPara obtener información específica relacionada con las características y funcionalidades que se describen en este documento, consulte:

u Manual de referencia de comandos de EMC Celerra Network Server

u EMC Celerra Network Server Error Messages Guide

u EMC Celerra Network Server Parameters Guide

u Configuración de eventos y notificaciones de EMC Celerra

u Configuring EMC Celerra Naming Services

u Configuración de CIFS en EMC Celerra

u Installing EMC Celerra Management Applications

u Administración de EMC Celerra para un entorno de múltiples protocolos

u Administración de EMC Celerra para el entorno Windows

u Páginas de los manuales de Celerra en línea

u Using NTMigrate with EMC Celerra

u Uso de herramientas administrativas de Windows con EMC Celerra

El EMC Celerra Network Server Documentation CD, que se incluye con Celerra Network Server y que también se encuentra disponible en Powerlink, brinda información general sobre otras publicaciones de EMC Celerra.

Programas de capacitación para clientesLos programas de capacitación para clientes de EMC están diseñados para ayudarlo a aprender la manera en que interoperan los productos de almacenamiento de EMC y se integran en el entorno para maximizar toda la inversión en infraestructura. Los programas de capacitación para clientes de EMC incluyen capacitación en línea y práctica en los laboratorios de última generación, que se encuentran distribuidos en todo el mundo para brindar gran comodidad. Los programas de capacitación para clientes de EMC son desarrollados e impartidos por expertos de EMC. Para obtener más información sobre los programas y registrarse, inicie sesión en Powerlink, nuestro sitio Web para clientes y partners, y seleccione el menú Capacitación.

../CommandReference/index.htm






../ConfWindows/index.htm


../ConfWinMulti/index.htm

../ManCIFS/index.htm

../NTMigrate/index.htm

../WindowsAdminTools/index.htm




Índice

AActive Directory 29archivos de grupo y contraseña 23, 28archivos locales 23

Bbase de datos, modificación 39

CCelerra Manager, uso 13configuración

configuraciones, modificación 41múltiples gabinetes 19predeterminada 18secundaria 19

Eentornos de múltiples protocolos 8eventos, lista de USRMAP 51exportación de la información de base de datos 39extensión de la página de propiedades de grupos y usuarios

de UNIX 30

GGIDs

en archivos copiados 34uso de GIDs de UNIX 33

grupos primarios 32

Hherramientas

extensión de la página de propiedades de grupos y usuarios de UNIX 30

UNIX Attribute Migration 31UNIX User Management 30

historial de SID 17

IIdentity Management for UNIX (IdMU) 8IdMU 8IDs de usuarios, orden de búsqueda 10importación de la información de base de datos 38Información, relacionada 54instalación 18

Mmapping

grupos primarios 32IDs de usuarios, orden de resolución 10

Microsoft Windows Services for UNIX (SFU) 8

NNIS 28

Pparámetro cifs acl.takegroupship 34parámetro cifs acl.useUnixGid 33parámetros 41

cifs acl.takegroupship 34cifs acl.useUnixGid 33

Rresolución de ID de usuario

archivos locales 23extensión de la página de propiedades de grupos y

usuarios de UNIX 30NIS 28snap-in de UNIX User Manager 30UNIX Attributes Migration Tool 31

SSFU (Microsoft Windows Services for UNIX) 8snap-in de UNIX User Manager 30snap-ins, UNIX User Management 30

UUNIX Attributes Migration Tool 31Usermapper

configuración con múltiples gabinetes 19configuración predeterminada 18configuración secundaria 19exportación de la información de base de datos 39externo 7importación de la información de base de datos 38interno 7modificación

base de datos 39configuraciones predeterminadas 41

restricciones 16uso del servicio secundario 19

Usermapper interno 15

Acerca de este documentoComo parte de su esfuerzo continuo por mejorar y optimizar el performance y las capacidades de la línea de productos Celerra Network Server, EMC lanza periódicamente nuevas versiones de las herramientas de hardware y software Celerra. En consecuencia, es posible que algunas de las funciones que se describen en este documento no se soporten en todas las versiones de las herramientas de hardware y software Celerra que se encuentran en uso actualmente. Para obtener la información más reciente acerca de las funciones de cada producto, consulte las notas de la versión del producto correspondiente. Si su sistema Celerra no cuenta con alguna de las funciones que se describen en este documento, póngase en contacto con su representante de Servicio al Cliente de EMC para obtener una actualización de hardware o software.

Comentarios y sugerencias acerca de la documentaciónSus sugerencias nos ayudarán mejorar la exactitud, organización y calidad general de la documentación para usuarios. Envíe un mensaje de correo electrónico a [email protected] para darnos su opinión acerca de este documento.

Copyright © 1998-2008 EMC Corporation. Todos los derechos reservados.

EMC considera que la información de esta publicación es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso.

LA INFORMACIÓN DE ESTA PUBLICACIÓN SE PROPORCIONA "TAL CUAL". EMC CORPORATION NO SE HACE RESPONSABLE NI OFRECE GARANTÍA DE NINGÚN TIPO CON RESPECTO A LA INFORMACIÓN DE ESTA PUBLICACIÓN Y, ESPECÍFICAMENTE, RENUNCIA A TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD O CAPACIDAD PARA UN PROPÓSITO DETERMINADO.

El uso, la copia y la distribución de cualquier software de EMC descrito en esta publicación requieren una licencia de software correspondiente.

Para obtener una lista actualizada de nombres de productos de EMC, consulte las marcas comerciales de EMC Corporation en argentina.emc.com.

Todas las otras marcas comerciales incluidas en este documento pertenecen a sus respectivos propietarios.

56 de 56

configuración de mapping de usuarios de emc celerra...configuración de mapping de usuarios de emc...

Documents