Механизм проверки подлинности, используемый протоколом Network File System (NFS), основан на доверительных отношениях между главными компьютерами. Это значит, что NFS-сервер принимает идентификаторы пользователей (UID) и групп (GID) от заданного клиентского компьютера, так как сервер настроен на восприятие этого клиентского компьютера как заслуживающего доверия.
Служба сопоставления имен пользователя служит посредником между NFS-серверами и NFS-клиентами в сетях, содержащих узлы UNIX и компьютеры с операционными системами семейства Windows. Чтобы поддерживать неявные доверительные отношения между NFS-клиентом и главными компьютерами, необходимо определить, какие компьютеры могут получить доступ к службе сопоставления имен пользователей и исполнять роль доверенного узла сети NFS.
Указать, какие компьютеры могут получить доступ к службе сопоставления имен пользователя, можно в файле .maphosts, находящемся в каталоге %windir%\msnfs на компьютере, где запущена служба сопоставления имен пользователей. Изменение записей в этом файле позволяет с легкостью разрешить или запретить доступ с любого компьютера к службе сопоставления имен пользователей. Если файл .maphosts существует, но не является пустым, то доступ к службе сопоставления имен пользователей разрешен только тем компьютерам, которые прописаны в записях этого файла. Если файл .maphosts существует, но является пустым (по умолчанию), то ни один компьютер, за исключением компьютера, на котором запущена служба сопоставления имен пользователей, не сможет получить доступ к службе сопоставления имен пользователей. Если файла .maphosts не существует, то ни один компьютер (включая тот, на котором запущена служба) не сможет получить доступ к службе сопоставления имен пользователей.
Файл .maphosts состоит из списка одного или нескольких элементов, описанных в следующей таблице, каждый из которых располагается в отдельной строчке. При сопоставлении компьютера, обращающегося к элементам списка, служба сопоставления имен пользователей ищет с начала списка до тех пор, пока не найдет соответствие. Следовательно, порядок является существенным фактором.
| Элемент | Описание |
|---|---|
|
компьютер |
Указывает один или несколько компьютеров, которые могут получить доступ к службе сопоставления имен пользователей. Компьютер может быть указан в виде IP-адреса (IP версии 4) или в виде имени узла, разрешаемого в один или несколько IP-адресов. |
|
компьютер – |
Указывает один или несколько компьютеров, которым запрещен доступ к службе сопоставления имен пользователей. Компьютер может быть указан в виде IP-адреса (IP версии 4) или в виде имени узла, разрешаемого в один или несколько IP-адресов. Стоит заметить, что необходим хотя бы один пробел между компьютером и знаком дефиса (–). |
|
+ |
Указывает, что все компьютеры могут получить доступ к службе сопоставления имен пользователей, если только доступ не был запрещен более ранней записью в списке. Все записи в списке, следующие за этим элементом, будут игнорироваться. |
|
- |
Указывает, что все компьютеры не смогут получить доступ к службе сопоставления имен пользователей, если только доступ не был разрешен более ранней записью в списке. Все записи в списке, следующие за этим элементом, будут игнорироваться. |
Знак # может использоваться для добавления комментариев; все, что находится в строке после знака #, будет игнорироваться.
Доступ с компьютера, на котором запущена служба сопоставления имен пользователей (локальный узел), всегда разрешен, если только не был специально запрещен в файле .maphosts, или самого файла не существует. Если сервер сопоставления имен пользователей имеет доступ к нескольким сетям, то доступ к службам, запущенным на других узлах, позволен с любого узла за исключением явных запрещений.
Примеры
Следующий приводимый в пример файл разрешает доступ только компьютерам, которые называются mktg_nfs и sales_nfs:
mktg_nfs
sales_nfs
-
Следующий приводимый в пример файл разрешает доступ всем компьютерам, кроме тех, которые называются rogue_host и malicious_host:
rogue_host -
malicious_host -
+
В следующем примере компьютеру rogue_host доступ запрещен, несмотря на то, что он фигурирует в списке без минуса (–), потому что этот компьютер следует за минусом в своей строке:
mktg_nfs
sales_nfs
-
rogue_host