Data Domain — wprowadzenie do NFSv4

Na wybór NFSv4 czy NFSv3 może mieć wpływ kilka czynników:
● Obsługa
klienta NFSNiektóre klienty NFS mogą obsługiwać tylko protokół NFSv3 lub NFSv4 albo mogą działać lepiej z jedną wersją.
● Wymagania
operacyjne Przedsiębiorstwo może być ściśle ustandaryzowane do korzystania z NFSv4 lub NFSv3.
● Bezpieczeństwo
Jeśli potrzebujesz większego bezpieczeństwa, NFSv4 zapewnia wyższy poziom bezpieczeństwa niż NFSv3, w tym ACL oraz rozszerzoną konfigurację właściciela i
grupy.
● Wymagania dotyczące
funkcji Jeśli potrzebujesz blokowania zakresu bajtów lub plików UTF-8, powinieneś wybrać NFSv4.
● Montaż
części NFSv3 Jeśli istniejąca konfiguracja używa podmontowania NFSv3, NFSv3 może być odpowiednim wyborem.

NFSv4 w porównaniu z NFSv3
Szyfr NFSv4 zapewnia większą funkcjonalność i funkcje w porównaniu z NFSv3.
W poniższej tabeli porównano funkcje NFSv3 z funkcjami NFSv4.

Tabeli NFSv4 w porównaniu z NFSv3

Porty
NFSv4Protokoły NFSv4 i NFSv3 można włączać i wyłączać niezależnie. Ponadto można przenosić wersje NFS na różne porty; oba
Wersje nie muszą zajmować tego samego portu.
W przypadku NFSv4 nie trzeba ponownie uruchamiać systemu plików w przypadku zmiany portów. W takich przypadkach wymagane jest tylko ponowne uruchomienie NFS.
Podobnie jak NFSv3, NFSv4 działa domyślnie na porcie 2049, jeśli jest włączony.
NFSv4 nie używa portmapper (port 111) ani mountd (port 2052).

Omówienie
mapowania identyfikatorówNFSv4 identyfikuje właścicieli i grupy za pomocą wspólnego formatu zewnętrznego, takiego jak joe@example.com. Te popularne formaty to
znane jako identyfikatory lub identyfikatory.
Identyfikatory są przechowywane na serwerze NFS i używają wewnętrznych reprezentacji, takich jak ID 12345 lub ID S-123-33-667-2. Tthe
konwersja między identyfikatorami wewnętrznymi i zewnętrznymi jest znana jako mapowanie identyfikatorów.
Identyfikatory są powiązane z następującymi elementami:
● Właściciele plików i katalogów
● Grupy właścicieli plików i katalogów
● Wpisy na listach kontroli dostępu (ACL)Systemy
ochrony używają wspólnego formatu wewnętrznego dla protokołów NFS i CIFS/SMB, który umożliwia współdzielenie plików i katalogów
między NFS i CIFS/SMB. Każdy protokół konwertuje format wewnętrzny na własny format zewnętrzny z własnym identyfikatorem
Mapowania.
 

Formaty
zewnętrzneZewnętrzny format identyfikatorów NFSv4 jest zgodny ze standardami NFSv4 (na przykład RFC-7530 dla NFSv4.0). Ponadto
obsługiwane są formaty uzupełniające w celu zapewnienia interoperacyjności.

Standardowe formaty identyfikatorów

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

Alternatywne formaty
Aby zapewnić współdziałanie, serwery NFSv4 w systemach ochrony obsługują alternatywne formaty identyfikatorów wejściowych i wyjściowych.
● Identyfikatory numeryczne, np. "12345".
● Identyfikatory zabezpieczeń (SID) zgodne z systemem Windows wyrażone jako "S-NNN-NNN-..."
Więcej informacji na temat ograniczeń dotyczących tych formatów można znaleźć w sekcjach dotyczących mapowania danych wejściowych i odwzorowania danych wyjściowych.

Formaty identyfikatorów
wewnętrznychSystem plików DD przechowuje identyfikatory każdego obiektu (pliku lub katalogu) w systemie plików. Wszystkie obiekty mają użytkownika
numerycznegoIdentyfikator (UID) i identyfikator grupy (GID). Wraz z zestawem bitów trybu umożliwiają one tradycyjną identyfikację i dostęp
do systemu UNIX/LinuxFormantów.
Obiekty utworzone przy użyciu protokołu CIFS/SMB lub protokołu NFSv4 przy włączonych listach ACL NFSv4 mają również rozszerzony
deskryptor zabezpieczeń (SD). Każda karta SD zawiera następujące elementy:
● Identyfikator zabezpieczeń właściciela (SID)
● Identyfikator SID
grupy właścicieli● Uznaniowa lista ACL (DACL)
● (Opcjonalnie) Lista ACL systemu (SACL)
Każdy identyfikator SID zawiera identyfikator względny (RID) i odrębną domenę w podobny sposób jak identyfikatory SID systemu Windows. Zapoznaj się z sekcją dotyczącą NFSv4 i
Interoperacyjność CIFS, aby uzyskać więcej informacji na temat identyfikatorów SID i mapowania identyfikatorów SID.
Kiedy występuje
mapowanie identyfikatorówSerwer NFSv4 systemu ochrony wykonuje mapowanie w następujących okolicznościach:
● Mapowanie
danychwejściowych Serwer NFS otrzymuje identyfikator od klienta NFSv4. 
● Mapowanie danych wyjściowych:
identyfikator jest wysyłany z serwera NFS do klienta NFSv4. 
● Mapowanie
poświadczeńPoświadczenia klienta RPC są mapowane na tożsamość wewnętrzną w celu kontroli dostępu i innych operacji.

Mapowanie danych wejściowych
Mapowanie danych wejściowych ma miejsce, gdy klient NFSv4 wysyła identyfikator do serwera NFSv4 systemu ochrony, na przykład konfigurując właściciela
lub grupę właścicieli pliku. Mapowanie danych wejściowych różni się od mapowania poświadczeń.
Identyfikatory standardowego formatu, takie jak joe@mycorp.com, są konwertowane na wewnętrzny UID/GID na podstawie skonfigurowanego
zasady konwersji. Jeśli listy ACL NFSv4 są włączone, zostanie również wygenerowany identyfikator SID na podstawie skonfigurowanych reguł konwersji.
Identyfikatory numeryczne (na przykład "12345") są bezpośrednio konwertowane na odpowiadające im identyfikatory UID/GID, jeśli klient nie używa protokołu Kerberos
Uwierzytelniania. Jeśli używany jest protokół Kerberos, zostanie wygenerowany błąd zalecany przez standard NFSv4. Jeśli listy ACL NFSv4 to
włączony, identyfikator SID zostanie wygenerowany na podstawie reguł konwersji.
Identyfikatory SID systemu Windows (na przykład "S-NNN-NNN-...") są weryfikowane i bezpośrednio konwertowane na odpowiednie identyfikatory SID. Identyfikator UID/GID zostanie
wygenerowany na podstawie reguł konwersji.

Mapowanie danych wyjściowych

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

Mapowanie
poświadczeńSerwer NFSv4 zapewnia poświadczenia dla klienta NFSv4.
Poświadczenia te pełnią następujące funkcje:
● Określ zasady dostępu do operacji, na przykład możliwość odczytu pliku.
● Określ domyślnego właściciela i grupę właścicieli dla nowych plików i katalogów.
Poświadczenia wysyłane z klienta mogą być john_doe@mycorp.com lub poświadczenia systemowe, takie jak UID=1000, GID=2000.
Poświadczenia systemu określają UID/GID wraz z identyfikatorami grup pomocniczych.
Jeśli listy ACL NFSv4 są wyłączone, identyfikatory UID/GID i grupy pomocniczej są używane do obsługi poświadczeń.

Jeśli listy ACL NFSv4 są włączone, skonfigurowane usługi mapowania są używane do tworzenia rozszerzonego deskryptora zabezpieczeń dla
Poświadczenia:
● Identyfikatory SID dla właściciela, grupy właścicieli i grupy pomocniczej zmapowane i dodane do deskryptora zabezpieczeń (SD).
● Uprawnienia uwierzytelniające, jeśli istnieją, są dodawane do karty SD.
Zgodność
NFSv4 i CIFS/SMBDeskryptory zabezpieczeń używane przez NFSv4 i CIFS są podobne z punktu widzenia mapowania identyfikatorów, chociaż istnieją pewne różnice.
Aby zapewnić optymalną interoperacyjność, należy pamiętać o następujących kwestiach:
● Usługa Active Directory powinna być skonfigurowana zarówno dla CIFS, jak i NFSv4, a program mapowania identyfikatorów NFS powinien być skonfigurowany do używania usługi Active
Directory do mapowania identyfikatorów.
● Jeśli często korzystasz z list ACL CIFS, zwykle możesz poprawić zgodność, włączając również listy ACL NFSv4.
○ Włączenie list ACL NFSv4 umożliwia mapowanie poświadczeń NFSv4 na odpowiedni identyfikator SID podczas oceny dostępu DACL.
● Serwer CIFS otrzymuje poświadczenia od klienta CIFS, w tym domyślną listę ACL i uprawnienia użytkownika.
○ Z kolei serwer NFSv4 otrzymuje bardziej ograniczony zestaw poświadczeń i konstruuje poświadczenia w czasie wykonywania przy użyciu mapowania
identyfikatorów. Z tego powodu system plików może widzieć różne poświadczenia.

Integracja CIFS/SMB z usługą Active Directory

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

Domyślny DACL dla NFSv4
Protokół NFSv4 ustawia inną domyślną listę DACL (Discretionary Access Control List) niż domyślna lista DACL dostarczona przez CIFS.
Tylko OWNER@, GROUP@ i EVERYONE@ są zdefiniowane w domyślnej liście DACL NFSv4. Dziedziczenia list ACL można użyć do:
automatycznie dodawaj domyślne wpisy ACE istotne dla CIFS, jeśli to konieczne.
Domyślne identyfikatory
SID systemuPliki i katalogi utworzone przez NFSv3 i NFSv4 bez list ACL używają domyślnej domeny systemowej, czasami nazywanej
domyślna domena UNIX:
● Identyfikatory SID użytkowników w domenie systemu mają format S-1-22-1-N, gdzie N to UID.
● Identyfikatory SID grup w domenie systemowej mają format S-1-22-2-N, gdzie N jest identyfikatorem GID.
Na przykład użytkownik z identyfikatorem UID 1234 będzie miał identyfikator SID właściciela S-1-22-1-1234.
Wspólne identyfikatory w ACL i SID
NFSv4Identyfikator EVERYONE@ i inne identyfikatory specjalne (takie jak na przykład BATCH@) w listach ACL NFSv4 używają odpowiednika
CIFS SIDS, i są zgodne.
Identyfikatory OWNER@ i GROUP@ nie mają bezpośredniego odpowiednika w CIFS; są wyświetlane jako bieżący właściciel i bieżący
owner-group pliku lub katalogu.
 

Polecenia
NFSFunkcja odwołań umożliwia klientowi NFSv4 dostęp do eksportu (lub systemu plików) w jednej lub wielu lokalizacjach. Lokalizacje mogą być włączone
tego samego serwera NFS lub na różnych serwerach NFS i użyj tej samej lub innej ścieżki, aby uzyskać eksport.
Ponieważ odwołania są funkcją NFSv4, mają zastosowanie tylko do montowania NFSv4.
Odwołania można wysyłać na dowolny serwer korzystający z protokołu NFSv4 lub nowszego, w tym:
● System ochrony z włączonym
NFSv4● Inne serwery obsługujące NFSv4, w tym serwery Linux, urządzenia NAS i systemy VNX.
Odwołanie może wykorzystywać punkt eksportu NFS z bieżącą ścieżką bazową w systemie plików DD lub bez niej.
Eksporty NFS z odwołaniami można zamontować za pośrednictwem NFSv3, ale klienci NFSv3 nie będą przekierowywani, ponieważ odwołania są NFSv4
Funkcji. Ta cecha jest przydatna w systemach skalowania, aby umożliwić przekierowywanie eksportów na poziomie zarządzania plikami.

Lokalizacje
odwołańOdwołania NFSv4 zawsze mają co najmniej jedną lokalizację.
Lokalizacje te składają się z następujących elementów:
● Ścieżka na zdalnym serwerze NFS do określonego systemu plików.
● Jeden lub więcej adresów sieciowych serwera, które umożliwiają klientowi połączenie się ze zdalnym serwerem NFS.
Zazwyczaj, gdy z tą samą lokalizacją powiązanych jest wiele adresów serwerów, adresy te znajdują się w tym samym NFS
Serwera.
Nazwy
lokalizacji odwołańKażdej lokalizacji odwołania można nadać nazwę w eksporcie NFS. Możesz użyć nazwy, aby uzyskać dostęp do polecenia, a także zmodyfikować lub
Usuń go.
Nazwa odwołania może zawierać maksymalnie 80 znaków z następujących zestawów znaków:
● a-z
● A-Z
● 0-9
● "."
● ","
● "_"
● "-"
UWAGA: Spacje można dołączać, o ile są one osadzone w nazwie. Jeśli korzystasz z osadzonych przestrzeni,
Cała nazwa musi być ujęta w cudzysłów.
Nazwy rozpoczynające się od "." są zarezerwowane do automatycznego tworzenia przez system ochrony. Możesz usunąć te nazwy, ale ty
nie można ich tworzyć ani modyfikować za pomocą interfejsu wiersza poleceń (CLI) lub usług zarządzania systemem (SMS).
 

Odwołania i skalowalne systemy
Odwołania i lokalizacje NFSv4 mogą ułatwić dostęp w przypadku skalowania systemów ochrony.
Ponieważ system może, ale nie musi, zawierać już globalną przestrzeń nazw, następujące dwa scenariusze opisują, w jaki sposób
może korzystać z odwołań NFSv4:
● Twój system nie zawiera globalnej przestrzeni nazw.
○ Do utworzenia globalnej przestrzeni nazw można użyć odwołań NFSv4. Administratorzy systemu mogą tworzyć te globalne przestrzenie nazw lub
w razie potrzeby można użyć poleceń do tworzenia elementów inteligentnego menedżera systemu (SM).
● Twój system ma już globalną przestrzeń nazw.
○ Jeśli system ma globalną przestrzeń nazw z MTree umieszczonymi w określonych węzłach, można utworzyć odwołania NFS w celu przekierowania
dostępu do tych drzew MTree do węzłów dodanych do systemu skalowanego. Możesz tworzyć takie polecenia lub je mieć
wykonywane automatycznie w NFS, jeśli dostępne

są niezbędne informacje SM lub menedżera plików (FM).NFSv4 i wysoka dostępność
W przypadku NFSv4 eksporty protokołów (na przykład /data/col1/<mtree>) są dublowane w konfiguracji High Availability (HA). Jednak
Eksporty konfiguracji, takie jak /ddvar, nie są dublowane.
System plików /ddvar jest unikatowy dla każdego węzła pary HA. W związku z tym /ddvar eksportuje i skojarzony z nimi dostęp
klientalisty nie są dublowane w węźle rezerwowym w środowisku HA.
Informacje w parametrze /ddvar stają się nieaktualne, gdy aktywny węzeł przejdzie w tryb failover do węzła rezerwowego. Przyznano
wszelkie uprawnienia klientado /ddvar w oryginalnym aktywnym węźle musi zostać odtworzony w nowo aktywnym węźle po wystąpieniu przejścia w tryb failover.
Należy również dodać wszystkie dodatkowe eksporty /ddvar i ich klientów (na przykład /ddvar/core), które zostały utworzone w
Oryginalny aktywny węzeł do nowo aktywnego węzła po wystąpieniu trybu failover.
Na koniec wszystkie żądane eksporty /ddvar muszą zostać odmontowane z klienta, a następnie ponownie zainstalowane po wystąpieniu przełączania awaryjnego.

Globalne przestrzenie
nazw NFSv4Serwer NFSv4 udostępnia wirtualne drzewo katalogów znane jako PseudoFS, które łączy eksporty NFS z zestawem ścieżek z możliwością wyszukiwania.
Użycie systemu PseudoFS odróżnia protokół NFSv4 od protokołu NFSv3, który korzysta z protokołu pomocniczego MOUNTD.
W większości konfiguracji zmiana globalnej przestrzeni nazw z NFSv3 MOUNTD na NFSv4 jest transparentna i obsługiwana automatycznie
przez klienta i serwer NFSv4.
 

Globalne przestrzenie nazw NFSv4 i części NFSv3
W przypadku korzystania z funkcji eksportu NFSv3 częściowe instalowania mogą uniemożliwiać wyświetlanie części w montowaniu NFSv4 przez globalne przestrzenie nazw charakterystycznedlaNFSv4.

Eksporty główne NFSv3 i eksporty
częściJeśli NFSv3 ma eksport główny i eksport częściowy, eksporty te mogą korzystać z tych samych klientów NFSv3, ale mieć różne poziomy
Dostęp:

Główne eksporty tabeli NFSv3 i eksporty części NFSv3 

W poprzedniej tabeli przedstawiono następujące informacje dotyczące protokołu NFSv3:
● Jeśli client1.example.com montuje /data/col1/mt1, klient otrzymuje dostęp tylko do odczytu.
● Jeśli client1.example.com montuje /data/col1/mt1/subdir, klient uzyskuje dostęp do odczytu i zapisu.
NFSv4 działa w ten sam sposób w odniesieniu do ścieżek eksportu najwyższego poziomu. W przypadku NFSv4 client1.example.com nawiguje po
NFSv4 PseudoFS, dopóki nie osiągnie ścieżki eksportu najwyższego poziomu, /data/col1/mt1, gdzie uzyska dostęp tylko do odczytu.
Jednak ze względu na to, że eksport został wybrany, eksport submount (Mt1-sub) nie jest częścią PseudoFS dla klienta i
Dostęp do odczytu i zapisu nie jest przyznawany.

Dobra praktyka
Jeśli system korzysta z montowania podrzędnego eksportów NFSv3 w celu zapewnienia klientowi dostępu do odczytu i zapisu na podstawie ścieżki montowania, należy wziąć to pod uwagę
przed użyciem protokołu NFSv4 z tymi eksportami podmontowania.
W przypadku NFSv4 każdy klient ma indywidualny system PseudoFS.

Tabela Eksporty części NFSv3 
 

Konfiguracja NFSv4

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

Aktualizacja istniejących eksportów

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos i NFSv4
Zarówno NFSv4, jak i NFSv3 używają mechanizmu uwierzytelniania Kerberos do zabezpieczania poświadczeń użytkowników.
Protokół Kerberos zapobiega fałszowaniu poświadczeń użytkownika w pakietach NFS i chroni je przed manipulacją w drodze do
system ochrony.
Istnieją różne typy protokołu Kerberos w NFS:
● Kerberos 5 (sec=krb5)
Użyj protokołu Kerberos dla danych uwierzytelniających użytkownika.
● Kerberos 5 z integralnością (sec=krb5i)
Użyj protokołu Kerberos i sprawdź integralność ładunku NFS za pomocą zaszyfrowanej sumy kontrolnej.
● Kerberos 5 z zabezpieczeniami (sec=krb5p)
Użyj Kerberos 5 z integralnością i zaszyfruj cały ładunek NFS.
UWAGA: zarówno krb5i, jak i krb5p mogą powodować spadek wydajności ze względu na dodatkowe obciążenie obliczeniowe na obu
Klient NFS i system ochrony.
 

Konfigurowanie protokołu Kerberos przy użyciu centrum dystrybucji kluczy opartego na systemie Linux
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

Konfigurowanie protokołu Kerberos przy użyciu centrum dystrybucji kluczy opartego na systemie Linux
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

Konfigurowanie protokołu Kerberos przy użyciu centrum dystrybucji kluczy opartego na systemie Linux
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Włączanie usługi Active Directory
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Konfigurowanie usługi Active Directory
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.