Data Domain - NFSv4:n esittely

Useat tekijät voivat vaikuttaa siihen, valitsetko NFSv4:n vai NFSv3:n:
● NFS-asiakastuki
Jotkin NFS-asiakkaat saattavat tukea vain NFSv3:a tai NFSv4:ää tai toimia paremmin yhdellä versiolla.
● Toiminnalliset vaatimukset
Yritys voi olla tiukasti standardoitu käyttämään joko NFSv4: ää tai NFSv3: ta.
● Turvallisuus
Jos tarvitset parempaa suojausta, NFSv4 tarjoaa paremman suojaustason kuin NFSv3, mukaan lukien ACL ja laajennettu omistajan ja
ryhmän kokoonpano.
● Ominaisuusvaatimukset
Jos tarvitset tavualueen lukitusta tai UTF-8-tiedostoja, valitse NFSv4.
● NFSv3-alikiinnikkeet
Jos nykyinen kokoonpanosi käyttää NFSv3-alikiinnikkeitä, NFSv3 saattaa olla sopiva valinta.

NFSv4 verrattuna NFSv3
:eenNFSv4 tarjoaa parannettuja toimintoja ja ominaisuuksia verrattuna NFSv3:een.
Seuraavassa taulukossa verrataan NFSv3:n ominaisuuksia NFSv4:n ominaisuuksiin.

Taulukossa NFSv4 verrattuna NFSv3:een

NFSv4-portit
Voit ottaa NFSv4:n ja NFSv3:n käyttöön tai poistaa ne käytöstä erikseen. Lisäksi voit siirtää NFS-versioita eri portteihin; molemmat
Versioiden ei tarvitse olla samassa portissa.
NFSv4:ssä tiedostojärjestelmää ei tarvitse käynnistää uudelleen, jos vaihdat porttia. Tällaisissa tapauksissa tarvitaan vain NFS-uudelleenkäynnistys.
Kuten NFSv3, NFSv4 toimii oletusarvoisesti portissa 2049, jos se on käytössä.
NFSv4 ei käytä portmapperia (portti 111) eikä asennettua (portti 2052).

Tunnusmääritysten yleiskatsaus
NFSv4 tunnistaa omistajat ja ryhmät yhteisen ulkoisen muodon, kuten joe@example.com, perusteella. Nämä yleiset muodot ovat:
tunnetaan tunnisteina tai tunnuksina.
Tunnisteet tallennetaan NFS-palvelimeen ja käyttävät sisäisiä esityksiä, kuten ID 12345 tai ID S-123-33-667-2. Ja
Muuntamista sisäisten ja ulkoisten tunnisteiden välillä kutsutaan tunnuskartoitukseksi.
Tunnisteet liittyvät seuraaviin:
● Tiedostojen ja hakemistojen
omistajat● Tiedostojen ja hakemistojen
omistajaryhmät●
Pääsynhallintaluetteloiden merkinnät Suojausjärjestelmissä käytetään yhteistä sisäistä muotoa NFS- ja CIFS/SMB-protokollille, mikä mahdollistaa tiedostojen ja hakemistojen
jakamisen NFS:n ja CIFS/SMB:n välillä. Jokainen protokolla muuntaa sisäisen muodon omaan ulkoiseen muotoonsa omalla tunnuksellaan
Kartoitus.
 

Ulkoiset muodot
NFSv4-tunnisteiden ulkoinen muoto noudattaa NFSv4-standardeja (esimerkiksi RFC-7530 NFSv4.0: lle). Lisäksi
yhteentoimivuutta varten tuetaan täydentäviä formaatteja.

Vakiotunnisteiden muodot

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

Vaihtoehtoiset muodot
Yhteentoimivuuden mahdollistamiseksi suojausjärjestelmien NFSv4-palvelimet tukevat joitakin vaihtoehtoisia tulon ja lähdön tunnistemuotoja.
● Numeeriset tunnisteet; esimerkiksi "12345".
● Windows-yhteensopivat suojaustunnukset (SID-tunnukset), jotka ilmaistaan muodossa "S-NNN-NNN-..."
Katso syötteen ja tulosteen yhdistämismäärityksen osioista lisätietoja näiden muotojen rajoituksista.

Sisäisten tunnisteiden muodot
DD-tiedostojärjestelmä tallentaa tunnisteet tiedostojärjestelmän jokaiselle objektille (tiedostolle tai hakemistolle). Kaikilla objekteilla on numeerinen käyttäjä
ID (UID) ja ryhmätunnus (GID). Nämä yhdessä tilabittien kanssa mahdollistavat perinteisen UNIX/Linux-tunnistuksen ja -käytön
Valvonta.
CIFS/SMB-protokollalla tai NFSv4-protokollalla, kun NFSv4-käyttöoikeusluettelot ovat käytössä, luoduilla objekteilla on myös laajennettu
tietoturvakuvaus (SD). Jokainen SD-kortti sisältää seuraavat:
● Omistajan suojaustunnus (SID)
● Omistajaryhmä SID
● Harkinnanvarainen käyttöoikeusluettelo (DACL)
● (valinnainen) Järjestelmän käyttöoikeusluettelo (SACL)
Jokainen SID sisältää suhteellisen tunnuksen (RID) ja erillisen toimialueen samalla tavalla kuin Windowsin SID-tunnukset. Katso osio NFSv4 ja
CIFS-yhteentoimivuus, jolloin saat lisätietoja SID-tunnisteista ja SID-tunnisteiden kartoituksesta.
Kun tunnusmääritys tapahtuu
Suojausjärjestelmän NFSv4-palvelin suorittaa kartoituksen seuraavissa tilanteissa:
● Tulokartoitus
NFS-palvelin vastaanottaa tunnisteen NFSv4-asiakkaalta. 
● Lähtökartoitus:
Tunniste lähetetään NFS-palvelimelta NFSv4-asiakkaalle. 
● Tunnistetietojen kartoitus
RPC-asiakkaan tunnistetiedot yhdistetään sisäiseen käyttäjätietoon kulunvalvontaa ja muita toimintoja varten.

Syötteen määritys
Syötekartoitus tapahtuu, kun NFSv4-asiakas lähettää tunnisteen suojausjärjestelmän NFSv4-palvelimeen– esimerkiksi määrittämällä tiedoston omistajan
tai omistajaryhmän. Syötteen yhdistäminen eroaa tunnistetietojen yhdistämisestä.
Vakiomuotoiset tunnisteet, kuten joe@mycorp.com, muunnetaan sisäiseksi UID-/GID-tunnukseksi määrityksen
perusteellamuuntamista koskevat säännöt. Jos NFSv4:n käyttöoikeusluettelot ovat käytössä, myös SID luodaan määritettyjen muuntosääntöjen perusteella.
Numeeriset tunnisteet (esimerkiksi "12345") muunnetaan suoraan vastaaviksi UID/GID-tunnuksiksi, jos asiakas ei käytä Kerberosta
Todennus. Jos käytetään Kerberosta, näyttöön tulee NFSv4-standardin suosittelema virhe. Jos NFSv4 ACL:t ovat
käytössä, SID luodaan muuntosääntöjen perusteella.
Windowsin SID-tunnukset (esimerkiksi "S-NNN-NNN-...") vahvistetaan ja muunnetaan suoraan vastaaviksi SID-tunnuksiksi. UID/GID
luodaan muuntosääntöjen perusteella.

Lähdön kartoitus

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

Tunnistetietojen yhdistäminen
NFSv4-palvelin tarjoaa tunnistetiedot NFSv4-asiakkaalle.
Nämä tunnistetiedot suorittavat seuraavat toiminnot:
● Määritä toiminnon käyttöoikeuskäytäntö; esimerkiksi kyky lukea tiedostoa.
● Määritä uusien tiedostojen ja hakemistojen oletusomistaja ja omistajaryhmä.
Työasemasta lähetetyt tunnistetiedot voivat olla john_doe@mycorp.com tai järjestelmän tunnistetietoja, kuten UID=1000, GID=2000.
Järjestelmän tunnistetiedoissa määritetään UID/GID sekä apuryhmän tunnukset.
Jos NFSv4:n käyttöoikeusluettelot on poistettu käytöstä, tunnistetietoina käytetään UID/GID-tunnusta ja apuryhmän tunnuksia.

Jos NFSv4:n käyttöoikeusluettelot ovat käytössä, määritettyjen kartoituspalvelujen avulla luodaan laajennettu suojauskuvaus
Tunnistetiedot:
● Omistajan, omistajaryhmän ja apuryhmän SID:t yhdistetty ja lisätty Security Descriptoriin (SD).
● Mahdolliset tunnistetiedot lisätään SD-kortille.
NFSv4:n ja CIFS:n/PK-yritysten yhteentoimivuus
NFSv4:n ja CIFS:n käyttämät suojauskuvaukset ovat samanlaisia ID-kartoituksen näkökulmasta, vaikka eroja onkin.
Varmista optimaalinen yhteentoimivuus huomioimalla seuraavat asiat:
● Active Directory on määritettävä sekä CIFS:lle että NFSv4:lle, ja NFS ID -kartoittaja on määritettävä käyttämään Active
Directorya tunnuskartoitukseen.
● Jos käytät CIFS-käyttöoikeusluetteloita laajasti, voit yleensä parantaa yhteensopivuutta ottamalla käyttöön myös NFSv4-käyttöoikeusluettelot.
○ Kun NFSv4 ACLs otetaan käyttöön, NFSv4-tunnistetiedot voidaan yhdistää asianmukaiseen SID:hen DACL:n käyttöä arvioitaessa.
● CIFS-palvelin vastaanottaa tunnistetiedot CIFS-asiakkaalta, mukaan lukien oletusarvoiset käyttöoikeusluettelot ja käyttöoikeudet.
○ Sitä vastoin NFSv4-palvelin vastaanottaa rajoitetumman joukon tunnistetietoja ja muodostaa tunnistetiedot suorituksen aikanaID-kartoittajansa
avulla. Tämän vuoksi tiedostojärjestelmä saattaa nähdä eri tunnistetiedot.

CIFS/SMB Active Directory -integrointi

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

NFSv4
:n oletus-DACLNFSv4 asettaa eri oletusarvoisen DACL:n (harkinnanvaraisen käytönvalvontaluettelon) kuin CIFS:n toimittama oletusarvoinen DACL.
Vain OWNER@, GROUP@ ja EVERYONE@ määritetään oletusarvoisessa NFSv4 DACL:ssä. ACL-periytymisen avulla voit
lisää automaattisesti CIFS:n kannalta merkittävät ACE:t oletusarvoisesti tarvittaessa.
Järjestelmän oletustunnukset
NFSv3:n ja NFSv4:n, joissa ei ole käyttöoikeusluetteloita, luomat tiedostot ja hakemistot käyttävät järjestelmän oletustoimialuetta, jota kutsutaan joskus nimellä
UNIX-oletustoimialue:
● Järjestelmätoimialueen käyttäjätunnukset ovat muodossa S-1-22-1-N, jossa N on UID.
● Järjestelmän toimialueen ryhmätunnukset ovat muodossa S-1-22-2-N, kun N on GID.
Esimerkiksi käyttäjän, jonka käyttäjätunnus on 1234, omistajan SID on S-1-22-1-1234.
Yleiset tunnisteet NFSv4 ACL- ja SID-luetteloissa
NFSv4-käyttöoikeusluetteloiden EVERYONE@-tunniste ja muut erityiset tunnisteet (kuten esimerkiksi BATCH@) käyttävät vastaavaa
CIFS SIDS ja ovat yhteensopivia.
OWNER@- ja GROUP@-tunnisteilla ei ole suoraa vastaavuutta CIFS:ssä; ne näkyvät nykyisenä omistajana ja nykyisenä
tiedoston tai hakemiston owner-group.
 

NFS-suositukset
Viittausominaisuuden avulla NFSv4-asiakas voi käyttää vientiä (tai tiedostojärjestelmää) yhdessä tai useammassa paikassa. Sijainnit voivat olla
samaan NFS-palvelimeen tai eri NFS-palvelimiin ja käytä joko samaa tai eri polkua viennin saavuttamiseksi.
Koska viittaukset ovat NFSv4-ominaisuus, ne koskevat vain NFSv4-kiinnikkeitä.
Viittauksia voidaan tehdä mille tahansa palvelimelle, joka käyttää NFSv4: ää tai uudempaa, mukaan lukien seuraavat:
● NFS: ää käyttävä suojausjärjestelmä, jossa NFSv4 on käytössä
● Muut palvelimet, jotka tukevat NFSv4: ää, mukaan lukien Linux-palvelimet, NAS-laitteet ja VNX-järjestelmät.
Viittaus voi käyttää NFS-vientipistettä DD-tiedostojärjestelmän nykyisen pohjana olevan polun kanssa tai ilman.
NFS-vienti viittauksineen voidaan asentaa NFSv3:n kautta, mutta NFSv3-asiakkaita ei ohjata uudelleen, koska viittaukset ovat NFSv4
Ominaisuus. Tämä ominaisuus on hyödyllinen skaalausjärjestelmissä, joiden avulla vienti voidaan ohjata uudelleen tiedostonhallintatasolla.

Viittaussijainnit
NFSv4-viittauksilla on aina yksi tai useampi sijainti.
Nämä sijainnit koostuvat seuraavista:
● Polku NFS-etäpalvelimella viitattuun tiedostojärjestelmään.
● Yksi tai useampi palvelimen verkko-osoite, jonka avulla asiakas voi muodostaa yhteyden NFS-etäpalvelimeen.
Yleensä kun samaan sijaintiin liittyy useita palvelinosoitteita, nämä osoitteet löytyvät samasta NFS:
stäPalvelin.
Viittaussijaintien nimet
Voit nimetä kunkin viittaussijainnin NFS-viennissä. Voit käyttää nimeä päästäksesi viittaukseen sekä muokataksesi tai
Poista se.
Viittausnimessä voi olla enintään 80 merkkiä seuraavista merkistöistä:
● a-z
● A-Z
● 0-9
● "."
● ","
● "_"
● "-"
HUOMAUTUS: Voit lisätä välilyöntejä, kunhan ne on upotettu nimeen. Jos käytät upotettuja tiloja,
on kirjoitettava koko nimi lainausmerkkeihin.
Nimet, jotka alkavat "." on varattu suojausjärjestelmän automaattista luomista varten. Voit poistaa nämä nimet, mutta sinä
niitä ei voi luoda tai muokata komentoriviliittymän (CLI) tai järjestelmänhallintapalvelujen (SMS) avulla.
 

Viittaukset ja skaalautuvat järjestelmät
NFSv4-viittaukset ja sijainnit voivat mahdollistaa pääsyn paremmin, jos skaalaat suojausjärjestelmiäsi.
Koska järjestelmässä ei ehkä vielä ole yleistä nimitilaa, seuraavissa kahdessa skenaariossa kuvataan, miten
saattaa käyttää NFSv4-viittauksia:
● Järjestelmässä ei ole yleistä nimiavaruutta.
○ Voit käyttää NFSv4-viittauksia kyseisen yleisen nimiavaruuden luomiseen. Järjestelmänvalvojat voivat luoda näitä yleisiä nimitiloja tai
voit käyttää Smart System Manager (SM) -elementtien rakennusviittauksia tarpeen mukaan.
● Järjestelmässäsi on jo yleinen nimiavaruus.
○ Jos järjestelmässäsi on maailmanlaajuinen nimiavaruus, jossa MTreet on sijoitettu tiettyihin solmuihin, voidaan luoda NFS-viittauksia, jotka ohjaavat
pääsyn kyseisiin MTree-verkkoihin skaalattuun järjestelmään lisättyihin solmuihin. Voit luoda tai saada nämä
viittauksetsuoritetaan automaattisesti NFS:ssä, jos tarvittavat SM- tai tiedostonhallintatiedot (FM) ovat saatavilla.

NFSv4 ja korkea käytettävyys
NFSv4:ssä protokollan vienti (esimerkiksi /data/col1/<mtree>) peilataan High Availability (HA) -asetukseen. Kuitenkin
Kokoonpanon vientiä, kuten /ddvar, ei peilataan.
/ddvar-tiedostojärjestelmä on yksilöllinen HA-parin jokaiselle solmulle. Tämän seurauksena /ddvar-viennit ja niihin liittyvät asiakaskäyttöoikeudet
HA-ympäristön valmiustilan solmuun ei peilata luetteloita.
/ddvar-tiedoston tiedot vanhenevat, kun aktiivinen solmu siirtyy valmiussolmuun. Kaikki myönnetyt
asiakaskäyttöoikeudetAlkuperäisen aktiivisen solmun /ddvar on luotava uudelleen uudessa aktiivisessa solmussa vikasietotilan jälkeen.
Sinun on myös lisättävä kaikki muut /ddvar-viennit ja niiden asiakasohjelmat (esimerkiksi /ddvar/core), jotka on luotu
alkuperäinen aktiivinen solmu juuri aktiiviseen solmuun vikasietotilan jälkeen.
Lopuksi kaikki haluttu /ddvar-vienti on irrotettava työasemasta ja asennettava uudelleen vikasietoisuuden jälkeen.

NFSv4:n yleiset nimitilat
NFSv4-palvelin tarjoaa PseudoFS-nimisen virtuaalihakemistopuun, joka yhdistää NFS-viennit haettavaksi polkujoukoksi.
PseudoFS: n käyttö erottaa NFSv4: n NFSv3: sta, joka käyttää MOUNTD-apuprotokollaa.
Useimmissa kokoonpanoissa muutos NFSv3 MOUNTD:sta NFSv4:n yleiseen nimitilaan on läpinäkyvä ja käsitellään automaattisesti
NFSv4-asiakkaan ja palvelimen toimesta.
 

NFSv4:n yleiset nimitilat ja NFSv3-alikiinnikkeet
Jos käytät NFSv3-vientialikiinnikkeitä, NFSv4:lle ominaiset yleiset nimitilat saattavat estää alikiinnikkeiden näkymisen
NFSv4-kiinnikkeessä.
NFSv3:n päävienti ja alivienti
Jos NFSv3:lla on päävienti ja alivienti, nämä viennit saattavat käyttää samoja NFSv3-asiakkaita, mutta niillä voi olla eri tasot
Access:

Taulukko NFSv3 päävienti ja alivienti 

Edellisessä taulukossa seuraava koskee NFSv3: ta:
● Jos client1.example.com asentaa /data/col1/mt1, asiakas saa vain lukuoikeuden.
● Jos client1.example.com liittää /data/col1/mt1/subdir, asiakas saa luku- ja kirjoitusoikeudet.
NFSv4 toimii samalla tavalla korkeimman tason vientiväylien suhteen. NFSv4:ssä client1.example.com siirtyy
NFSv4 PseudoFS, kunnes se saavuttaa korkeimman tason vientipolun /data/col1/mt1, jossa se saa vain luku -käyttöoikeudet.
Koska vienti on kuitenkin valittu, aliasennusvienti (Mt1-sub) ei ole osa asiakkaan
jaluku- ja kirjoitusoikeuksia ei anneta.

Parhaat käytännöt
Jos järjestelmä käyttää NFSv3-vientialikiinnikkeitä antamaan asiakkaalle luku- ja kirjoitusoikeudet asennuspolun perusteella, tämä on otettava huomioon
,ennen kuin käytät NFSv4:ää näiden aliasennusten vientien kanssa.
NFSv4:ssä jokaisella asiakkaalla on oma PseudoFS.

Taulukko NFSv3-aliasennusten viennistä 
 

NFSv4-kokoonpano

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

Olemassa olevan viennin päivittäminen

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos ja NFSv4
Sekä NFSv4 että NFSv3 käyttävät Kerberos-todennusmekanismia käyttäjän tunnistetietojen suojaamiseen.
Kerberos estää käyttäjän tunnistetietojen väärentämisen NFS-paketeissa ja suojaa niitä peukaloinnilta matkalla
suojajärjestelmä.
NFS:ssä on erillisiä kerberostyyppejä:
● Kerberos 5 (sec=krb5)
Käytä Kerberosta käyttäjän tunnistetietoihin.
● Kerberos 5 eheydellä (sec = krb5i)
Käytä Kerberosta ja tarkista NFS-hyötykuorman eheys salatulla tarkistussummalla.
● Kerberos 5 suojauksella (sec = krb5p)
Käytä Kerberos 5: tä eheydellä ja salaa koko NFS-hyötykuorma.
HUOMAUTUS: krb5i ja krb5p voivat molemmat heikentää suorituskykyä sekä
NFS-asiakas ja suojausjärjestelmä.
 

Kerberoksen määrittäminen Linux-pohjaisella KDC:llä
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

Kerberoksen määrittäminen Linux-pohjaisella KDC:llä
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

Kerberoksen määrittäminen Linux-pohjaisella KDC:llä
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Active Directoryn ottaminen käyttöön
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Active Directoryn määrittäminen
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.