Data Domain: введение в NFSv4

На выбор NFSv4 или NFSv3 может повлиять несколько факторов:
● Поддержка
клиентов NFSНекоторые клиенты NFS могут поддерживать только NFSv3 или NFSv4 либо могут лучше работать с одной версией.
● Эксплуатационные требования
Предприятие может быть строго стандартизировано для использования NFSv4 или NFSv3.
● Безопасность
Если требуется более высокий уровень безопасности, NFSv4 обеспечивает более высокий уровень безопасности, чем NFSv3, включая ACL и расширенную конфигурацию владельца и
группы.
● Требования к
функциям Если вам нужна блокировка по диапазону байтов или файлы UTF-8, вам следует выбрать NFSv4.
● Подмонты NFSv3 Если
в существующей конфигурации используются подмонтированные модули NFSv3, NFSv3 может быть подходящим выбором.

Сравнение NFSv4 и NFSv3
NFSv4 предоставляет расширенные функциональные возможности по сравнению с NFSv3.
В следующей таблице сравниваются функции NFSv3 и NFSv4.

Таблице Сравнение NFSv4 и NFSv3

Порты
NFSv4NFSv4 и NFSv3 можно включать и отключать независимо друг от друга. Кроме того, можно перемещать версии NFS на другие порты.
Версии не обязательно должны занимать один и тот же порт.
При использовании NFSv4 не требуется перезапускать файловую систему при смене портов. В таких случаях требуется только перезапуск NFS.
Как и NFSv3, NFSv4 работает через порт 2049 по умолчанию, если он включен.
NFSv4 не использует portmapper (порт 111) и mountd (порт 2052).

Общие сведения о
сопоставлении идентификаторовNFSv4 идентифицирует владельцев и группы по общему внешнему формату, например joe@example.com. К этим распространенным форматам относятся следующие:
называемых идентификаторами или идентификаторами.
Идентификаторы хранятся на сервере NFS с использованием внутренних представлений, таких как ID 12345 или ID S-123-33-667-2. Teh
Преобразование между внутренними и внешними идентификаторами называется сопоставлением идентификаторов.
Идентификаторы связаны со следующими элементами:
● Владельцы файлов и каталогов
● Группы владельцев файлов и каталогов
● Записи в списках контроля доступа (ACL)
Системы защиты используют общий внутренний формат протоколов NFS и CIFS/SMB, который позволяет совместно использовать файлы и каталоги
между NFS и CIFS/SMB. Каждый протокол преобразует внутренний формат в собственный внешний формат с собственным идентификатором
Сопоставление.
 

Внешние форматы
Внешний формат идентификаторов NFSv4 соответствует стандартам NFSv4 (например, RFC-7530 для NFSv4.0). Кроме того,
поддерживаются дополнительные форматы для обеспечения совместимости.

Стандартные форматы идентификаторов

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

Альтернативные форматы
Для обеспечения функциональной совместимости серверы NFSv4 в системах защиты поддерживают некоторые альтернативные форматы идентификаторов для ввода и вывода.
● Числовые идентификаторы, например, «12345».
● Совместимые с Windows идентификаторы безопасности (SID), выраженные как "S-NNN-NNN-..."
Дополнительные сведения об ограничениях этих форматов см. в разделах о сопоставлении входов и выходов.

Форматы внутренних идентификаторов
Файловая система DD хранит идентификаторы каждого объекта (файла или каталога) в файловой системе. У всех объектов есть числовой пользователь
Идентификатор (UID) и идентификатор группы (GID). Они, наряду с набором битов режимов, обеспечивают традиционную идентификацию и доступ
к UNIX/LinuxЭлементы управления.
Объекты, созданные протоколом CIFS/SMB или протоколом NFSv4, когда включены списки контроля доступа NFSv4, также имеют расширенный
Дескриптор безопасности (SD). Каждая SD содержит:
● Идентификатор безопасности владельца (SID)
● SID
группы владельцев● Дискреционный ACL (DACL)
● (Необязательно) Системный ACL (SACL)Каждый
SID содержит относительный идентификатор (RID) и отдельный домен, аналогично SID Windows. См. раздел NFSv4 и
Функциональная совместимость с CIFS для получения дополнительной информации о SID и сопоставлении SID.
Когда происходит сопоставление идентификаторов
Сервер NFSv4 системы защиты выполняет сопоставление в следующих случаях:
● Сопоставление
входов Сервер NFS получает идентификатор от клиента NFSv4. 
● Отображение выходных данных:
идентификатор отправляется с сервера NFS клиенту NFSv4. 
● Сопоставление
учетных данныхУчетные данные клиента RPC сопоставляются с внутренним удостоверением для управления доступом и других операций.

Сопоставление
входных данныхСопоставление входных данных происходит, когда клиент NFSv4 отправляет идентификатор на сервер NFSv4 системы защиты, например, при настройке владельца
или группы владельцев. Сопоставление входных данных отличается от сопоставления учетных данных.
Идентификаторы стандартного формата, такие как joe@mycorp.com, преобразуются во внутренний идентификатор UID/GID на основе настроенного
Правила конвертации. Если включены списки контроля доступа NFSv4, также будет создан SID на основе настроенных правил преобразования.
Числовые идентификаторы (например, «12345») напрямую преобразуются в соответствующие идентификаторы UID/GID, если клиент не использует Kerberos
Проверки подлинности. Если используется Kerberos, будет создана ошибка в соответствии со стандартом NFSv4. Если списки ACL
NFSv4включается, SID будет создан на основе правил преобразования.
Идентификаторы SID Windows (например, «S-NNN-NNN-...») проверяются и напрямую преобразуются в соответствующие идентификаторы SID. UID/GID будет
создан на основе правил преобразования.

Сопоставление выходных данных

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

Сопоставление
учетных данныхСервер NFSv4 предоставляет учетные данные для клиента NFSv4.
Эти учетные данные выполняют следующие функции:
● Определите политику доступа к операции, например, возможность чтения файла.
● Определите владельца по умолчанию и группу владельцев для новых файлов и каталогов.
Клиентом могут быть отправлены учетные данные john_doe@mycorp.com или системные учетные данные, например UID=1000, GID=2000.
В системных учетных данных указывается идентификатор UID/GID, а также идентификаторы вспомогательных групп.
Если списки контроля доступа NFSv4 отключены, в качестве учетных данных используются идентификаторы UID/GID и дополнительные группы.

Если списки контроля доступа NFSv4 включены, настроенные службы сопоставления используются для создания расширенного дескриптора безопасности для
Учетные данные:
● SID для владельца, группы владельцев и вспомогательной группы, сопоставленные и добавленные в дескриптор безопасности (SD).
● Привилегии учетных данных, если таковые имеются, добавляются к SD.
Функциональная совместимость NFSv4 и CIFS/SMB
Дескрипторы безопасности, используемые протоколами NFSv4 и CIFS, схожи с точки зрения сопоставления идентификаторов, хотя между ними есть различия.
Для обеспечения оптимальной функциональной совместимости необходимо знать следующее:
● Active Directory должна быть настроена как для CIFS, так и для NFSv4, а средство сопоставления идентификаторов NFS должно быть настроено на использование Active
Directory для сопоставления идентификаторов.
● При интенсивном использовании списков контроля доступа CIFS обычно можно повысить совместимость, включив списки ACL NFSv4.
○ Включение списков контроля доступа NFSv4 позволяет сопоставлять учетные данные NFSv4 с соответствующим SID при оценке доступа DACL.
● Сервер CIFS получает учетные данные от клиента CIFS, включая ACL по умолчанию и привилегии пользователя.
○ В отличие от этого, сервер NFSv4 получает более ограниченный набор учетных данных и создает учетные данные во время выполнения с помощью
средства сопоставления идентификаторов. Вследствие этого в файловой системе могут отображаться другие учетные данные.

Интеграция CIFS/SMB Active Directory

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

DACL по умолчанию для NFSv4
NFSv4 задает DACL (список управления произвольным доступом) по умолчанию отличающийся от DACL по умолчанию, предоставляемого CIFS.
В DACL NFSv4 по умолчанию определены только OWNER@, GROUP@ и EVERYONE@. Наследование списков контроля доступа можно использовать в следующих целях:
автоматически добавлять значимые для CIFS ACE по умолчанию, если это необходимо.
Идентификаторы SID
системы по умолчаниюФайлы и каталоги, созданные с помощью NFSv3 и NFSv4 без списков контроля доступа, используют системный домен по умолчанию, иногда называемый
Домен UNIX по умолчанию:
● SID пользователей в домене системы имеют формат S-1-22-1-N, где N — UID.
● Идентификаторы SID группы в домене системы имеют формат S-1-22-2-N, где N — GID.
Например, пользователь с UID 1234 будет иметь SID владельца S-1-22-1-1234.
Общие идентификаторы в списках контроля доступа NFSv4 и SID
Идентификатор EVERYONE@ и другие специальные идентификаторы (например, BATCH@) в списках контроля доступа NFSv4 используют эквивалентный
CIFS SIDS и являются совместимыми.
Идентификаторы OWNER@ и GROUP@ не имеют прямой связи в CIFS; они отображаются как текущий владелец и текущий
owner-group файла или каталога.
 

Рекомендации NFS
Функция рекомендации позволяет клиенту NFSv4 получать доступ к экспортируемому каталогу (или файловой системе) в одном или нескольких расположениях. Местоположения могут быть на
на одном и том же сервере NFS или на разных серверах NFS, используя один и тот же или другой путь для доступа к экспорту.
Поскольку ссылки являются функцией NFSv4, они применяются только к монтировкам NFSv4.
Рефералы могут быть сделаны на любой сервер, использующий NFSv4 или более позднюю версию, включая следующие:
● Система защиты под управлением NFS с включенным
протоколом NFSv4● Другие серверы, поддерживающие NFSv4, включая серверы Linux, устройства NAS и системы VNX.
Реферал может использовать точку экспорта NFS с текущим базовым путем в файловой системе DD или без него.
Экспортируемые каталоги NFS с рефералами могут быть смонтированы через NFSv3, но клиенты NFSv3 не будут перенаправляться, так как рефералы являются NFSv4
Функция. Эта характеристика полезна в горизонтально масштабируемых системах, позволяя перенаправлять экспортируемые каталоги на уровне управления файлами.

Реферальные офисы
Реферальные ссылки NFSv4 всегда имеют одно или несколько расположений.
Эти места включают в себя следующее:
● Путь на удаленном сервере NFS к указанной файловой системе.
● Один или несколько сетевых адресов сервера, которые позволяют клиенту подключаться к удаленному серверу NFS.
Как правило, когда с одним местоположением связано несколько адресов серверов, все они находятся в одном и том же NFS
Сервера.
Названия
реферальных местоположенийВы можете присвоить имя каждому расположению ссылки в экспорте NFS. Вы можете использовать имя для доступа к рефералу, а также для изменения или
Удалите его.
Имя реферала может содержать не более 80 символов из следующих наборов символов:
● A-Z
● A-Z
● 0-9
● "."
● ","
● "_"
● "-"
ПРИМЕЧАНИЕ: Пробелы можно включать, если они встроены в имя. Если вы используете внедренные пространства, вы
Необходимо заключить полное имя в двойные кавычки.
Имена, начинающиеся с символа «.», зарезервированы для автоматического создания системой защиты. Вы можете удалить эти имена, но вы
невозможно создать или изменить их с помощью интерфейса командной строки (CLI) или служб управления системой (SMS).
 

Реферальные модели и системы
горизонтального масштабированияСсылки и расположения NFSv4 обеспечивают доступ при горизонтальном масштабировании систем защиты.
Поскольку система может содержать или не содержать глобальное пространство имен, следующие два сценария описывают, как
могут использовать ссылки NFSv4:
● Ваша система не содержит глобального пространства имен.
○ Вы можете использовать ссылки NFSv4 для создания этого глобального пространства имен. Системные администраторы могут создавать эти глобальные пространства имен или
При необходимости можно использовать ссылки для создания элементов Smart System Manager (SM).
● В вашей системе уже есть глобальное пространство имен.
○ Если в системе есть глобальное пространство имен с MTree, размещенными в определенных узлах, можно создавать ссылки NFS, чтобы перенаправить
доступ к этим MTree на узлы, добавленные в масштабируемую систему. Вы можете создать этих рефералов или создать их
автоматически выполняется в NFS при наличии необходимой информации SM или файлового менеджера (FM).

NFSv4 и высокая доступность
При использовании NFSv4 экспортируемые каталоги протоколов (например, /data/col1/<mtree> ) зеркалируются в конфигурации высокой доступности (HA). Однако
Экспортируемые каталоги конфигурации, такие как /ddvar, не зеркалируются.
Файловая система /ddvar уникальна для каждого узла пары HA. В результате экспорты /ddvar и связанный с ними клиентский доступ
Списки не зеркалируются на резервный узел в среде высокой доступности.
Информация в /ddvar становится устаревшей, когда активный узел переключается на резервный. Все предоставленные
разрешения клиентаЧтобы /ddvar на первоначальном активном узле был заново создан на новом активном узле после переключения при отказе.
Кроме того, необходимо добавить все дополнительные экспорты /ddvar и их клиенты (например, /ddvar/core), которые были созданы на
Первоначального активного узла на новый активный узел после переключения при отказе.
Наконец, все необходимые экспорты /ddvar должны быть размонтированы на клиенте, а затем повторно смонтированы после переключения на резервный ресурс.

Глобальные пространства
имен NFSv4Сервер NFSv4 предоставляет дерево виртуальных каталогов, известное как PseudoFS, для подключения экспортируемых каталогов NFS к набору путей с возможностью поиска.
Использование PseudoFS отличает NFSv4 от NFSv3, использующего вспомогательный протокол MOUNTD.
В большинстве конфигураций переход с глобального пространства имен NFSv3 MOUNTD на глобальное пространство имен NFSv4 прозрачен и обрабатывается автоматически
клиентом и сервером NFSv4.
 

Глобальные пространства имен NFSv4 и подмонтирование
NFSv3При использовании экспортируемых подмонтирований NFSv3 глобальные пространства имен, характерные для NFSv4, могут препятствовать отображению подмонтированийв монтировании NFSv4.

Экспортируемый основной экспортируемый каталог NFSv3 и экспортируемый каталог подразделного монтирования
Если в NFSv3 есть основной экспорт и субмонтированный экспорт, эти экспортируемые каталоги могут использовать одни и те же клиенты NFSv3, но иметь разные уровни
Доступа:

Таблица экспортируемых каталогов основной файловой системы NFSv3 и экспортируемых каталогов подмонтирования 

В предыдущей таблице к NFSv3 относится следующее:
● Если client1.example.com монтирует /data/col1/mt1, клиент получает доступ только для чтения.
● Если client1.example.com монтирует /data/col1/mt1/subdir, клиент получает доступ для чтения и записи.
NFSv4 работает аналогичным образом в отношении путей экспорта самого высокого уровня. Для NFSv4 client1.example.com выполняет переход по
NFSv4 PseudoFS до тех пор, пока не достигнет пути экспорта самого высокого уровня, /data/col1/mt1, где он получает доступ только для чтения.
Однако, поскольку был выбран экспорт, экспорт submount (Mt1-sub) не является частью PseudoFS для клиента и
Доступ для чтения и записи не предоставляется.

Передовой опыт
Если в системе используются подмонтированные модули экспортируемого каталога NFSv3, предоставляющие клиенту доступ для чтения и записи в зависимости от пути монтирования, необходимо учесть
это перед использованием NFSv4 с этими экспортируемыми модулями подмонтирования.
При использовании NFSv4 каждый клиент имеет отдельную PseudoFS.

Таблица экспортируемых каталогов подмонтирования NFSv3 
 

Конфигурация NFSv4

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

Обновление существующих экспортируемых каталогов

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos и NFSv4
И NFSv4, и NFSv3 используют механизм аутентификации Kerberos для защиты учетных данных пользователей.
Протокол Kerberos предотвращает подделку учетных данных пользователя в пакетах NFS и защищает их от несанкционированного доступа к
Система защиты.
Существуют различные типы Kerberos over NFS:
● Kerberos 5 (sec=krb5)
Использование Kerberos для учетных данных пользователя.
● Kerberos 5 с целостностью (sec=krb5i)
Используйте Kerberos и проверьте целостность полезной нагрузки NFS с помощью зашифрованной контрольной суммы.
● Kerberos 5 с безопасностью (sec=krb5p)
Используйте Kerberos 5 с целостностью и шифрованием всей полезной нагрузки NFS.
ПРИМЕЧАНИЕ: krb5i и krb5p могут приводить к снижению производительности из-за дополнительных вычислительных накладных расходов как на
NFS-клиент и система защиты.
 

Настройка Kerberos с KDC на базе Linux
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

Настройка Kerberos с KDC на базе Linux
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

Настройка Kerberos с KDC на базе Linux
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Включение Active Directory
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Настройка Active Directory
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.