Data Domain - NFSv4の概要

NFSv4とNFSv3のどちらを選択するかは、いくつかの要因によって変わる可能性があります。
● NFS クライアントのサポート
NFSクライアントの中には、NFSv3またはNFSv4のみをサポートするものや、1つのバージョンで適切に動作するものもあります。
● 運用要件
:企業は、NFSv4 または NFSv3 のいずれかを使用するように厳密に標準化されている場合があります。
● セキュリティ
:NFSv4 は、ACL や拡張された所有者および
グループの設定など、NFSv3 よりも高いセキュリティ レベルを提供します。
● 機能要件
バイト範囲ロックまたは UTF-8 ファイルが必要な場合は、NFSv4 を選択する必要があります。
● NFSv3 サブマウント
既存の構成で NFSv3 サブマウントを使用している場合は、NFSv3 が適切な選択肢となる可能性があります。

NFSv4とNFSv3
の比較NFSv4は、NFSv3と比較して強化された機能を提供します。
次の表は、NFSv3の機能とNFSv4の機能を比較したものです。

テーブル NFSv4とNFSv3の比較

NFSv4ポート
NFSv4とNFSv3は個別に有効または無効にすることができます。さらに、NFSバージョンを別のポートに移動することもできます。
バージョンが同じポートを占有する必要はありません。
NFSv4では、ポートを変更してもファイル システムを再起動する必要はありません。このような場合、必要なのはNFSの再起動のみです。
NFSv3と同様に、NFSv4はデフォルトとしてポート2049で実行されます(有効になっている場合)。
NFSv4はportmapper(ポート111)またはmountd(ポート2052)を使用しません。

IDマッピングの概要
NFSv4は、joe@example.com などの共通の外部形式で所有者とグループを識別します。これらの一般的な形式は次のとおりです。
識別子またはIDと呼ばれます。
識別子はNFSサーバー内に格納され、ID 12345やID S-123-33-667-2などの内部表現を使用します。この
内部識別子と外部識別子の間の変換は、IDマッピングと呼ばれます。
識別子は以下に関連付けられます。
● ファイルおよびディレクトリの所有者● ファイルおよびディレクトリ
の所有者グループ●
アクセス制御リスト (ACL) のエントリ保護
システムでは、NFS プロトコルと CIFS/SMB プロトコルに共通の内部形式が使用されるため、NFSと CIFS/SMB の間でファイルとディレクトリを共有できます
。各プロトコルは、内部形式を独自のIDを持つ独自の外部形式に変換します
マッピング。
 

外部フォーマット
NFSv4識別子の外部形式は、NFSv4標準に従います(たとえば、NFSv4.0の場合はRFC-7530)。さらに、
相互運用性のために補足形式がサポートされています。

標準識別子形式

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

代替形式
相互運用性を確保するために、保護システム上のNFSv4サーバーでは、入力と出力にいくつかの代替識別子形式がサポートされています。
● 数値識別子 ( 例: "12345")。
●「S-NNN-NNN-...」で表される Windows 互換のセキュリティ識別子(SID)これらの
形式に対する制限の詳細については、入力マッピングと出力マッピングのセクションを参照してください。

内部識別子形式
DDファイル システムは、ファイル システム内の各オブジェクト(ファイルまたはディレクトリー)の識別子を格納します。すべてのオブジェクトに数値のユーザーが
いますID(UID)とグループID(GID)。これらと一連のモード ビットにより、従来のUNIX/Linuxの識別とアクセス
が可能になりますコントロール。
CIFS/SMBプロトコルによって作成されたオブジェクト、またはNFSv4 ACLが有効になっている場合はNFSv4プロトコルによって作成されたオブジェクトにも、拡張
セキュリティ記述子 (SD)。各SDには、次のものが含まれます。
● 所有者セキュリティ識別子 (SID)
● 所有者グループ SID
● 随意 ACL (DACL)
● (オプション) システム ACL (SACL)
各 SID には、Windows SID と同様の方法で、相対 ID (RID) と個別のドメインが含まれています。NFSv4と
CIFS相互運用性」を参照してください。
IDマッピングが発生する
タイミング保護システムNFSv4サーバーは、次の状況でマッピングを実行します。
● 入力マッピング
NFS サーバは、NFSv4 クライアントから識別子を受け取ります。
● 出力マッピング:
ID は NFS サーバから NFSv4 クライアントに送信されます。
● クレデンシャル マッピング
:RPC クライアントのクレデンシャルは、アクセス制御やその他の操作のために内部 ID にマッピングされます。

入力マッピング
入力マッピングは、NFSv4クライアントが保護システムのNFSv4サーバーに識別子を送信するときに発生します(たとえば、ファイルの所有者
または所有者グループを設定する場合など)。入力マッピングは、認証情報マッピングとは異なります。
joe@mycorp.com などの標準形式の識別子は、構成された
変換ルール。NFSv4 ACLが有効になっている場合は、構成された変換ルールに基づいてSIDも生成されます。
クライアントがKerberosを使用していない場合、数値識別子(「12345」など)は、対応するUID/GIDに直接変換されます
認証。Kerberosを使用している場合は、NFSv4標準で推奨されているとおりにエラーが生成されます。NFSv4 ACLが
enabledに設定されている場合、SIDは変換ルールに基づいて生成されます。
Windows SID(「S-NNN-NNN-...」など)が検証され、対応するSIDに直接変換されます。変換ルールに基づいてUID/GIDが生成されます
。

出力マッピング

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

認定資格のマッピング
NFSv4サーバーは、NFSv4クライアントの認証情報を提供します。
これらの認証情報は、次の機能を実行します。
● 操作のアクセスポリシー (ファイルの読込機能など) を決定します。
● 新しいファイルおよびディレクトリのデフォルト所有者および所有者グループを決定します。
クライアントから送信される認証情報は、john_doe@mycorp.com、またはUID=1000、GID=2000などのシステム認証情報です。
システム認証情報では、補助グループIDとともにUID/GIDを指定します。
NFSv4 ACLが無効になっている場合は、UID/GIDと補助グループIDが認証情報に使用されます。

NFSv4 ACLが有効になっている場合は、構成されたマッピング サービスを使用して、の拡張セキュリティ ディスクリプターが作成されます。
資格 情報：
● セキュリティ ディスクリプタ(SD)にマッピングおよび追加された所有者、所有者グループ、および補助グループの SID。
クレデンシャル権限がある場合は、SD に追加されます。
NFSv4とCIFS/SMBの相互運用性
NFSv4とCIFSで使用されるセキュリティ記述子は、違いはあるものの、IDマッピングの観点からは似ています。
最適な相互運用性を確保するために、次の点に注意する必要があります。
● Active Directory は CIFS と NFSv4 の両方に対して設定する必要があり、NFS ID マッパーは IDマッピングに Active
Directory を使用するように設定する必要があります。
CIFS ACL を広範に使用している場合は、通常、NFSv4 ACL も有効にすることで互換性を向上できます。
○ NFSv4 ACL を有効にすると、DACL アクセスを評価するときに、NFSv4 資格情報を適切な SID にマッピングできます。
CIFS サーバは、デフォルトの ACL やユーザ権限などのクレデンシャルを CIFS クライアントから受け取ります。
○ 対照的に、NFSv4 サーバはより限定されたクレデンシャルセットを受け取り、実行時にID マッパーを使用して
クレデンシャルを構築します。このため、ファイルシステムに表示される認証情報が異なる場合があります。

CIFS/SMB Active Directoryの統合

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

NFSv4
のデフォルトDACLNFSv4は、CIFSによって提供されるデフォルトDACLとは異なるデフォルトDACL(随意アクセス制御リスト)を設定します。
デフォルトのNFSv4 DACLでは、OWNER@、GROUP@、EVERYONE@のみが定義されています。ACL 継承を使用して、次のことができます。
必要に応じて、CIFSで重要なACEをデフォルトで自動的に追加します。
システム デフォルトSID
NFSv3、およびACLなしのNFSv4によって作成されたファイルとディレクトリーは、デフォルトのシステム ドメインを使用します。このドメインは、
デフォルトのUNIXドメイン:
● システム ドメイン内のユーザ SID の形式は S-1-22-1-N で、N は UID です。
● システム ドメイン内のグループ SID は、N が GID の場合、S-1-22-2-N の形式になります。
たとえば、UID 1234のユーザーのオーナーSIDはS-1-22-1-1234になります。
NFSv4 ACLおよびSID
の共通識別子NFSv4 ACLのEVERYONE@識別子およびその他の特殊な識別子(BATCH@など)では、同等の
ものを使用しますCIFS SIDと互換性があります。
CIFSでは、OWNER@識別子とGROUP@識別子は直接対応していません。現在の所有者および現在の
所有者として表示されますファイルまたはディレクトリの所有者グループ。
 

NFS照会
参照機能を使用すると、NFSv4クライアントは1つまたは複数の場所にあるエクスポート(またはファイル システム)にアクセスできます。場所はオンに
することができます同じNFSサーバーまたは異なるNFSサーバー上で、同じパスまたは異なるパスを使用してエクスポートにアクセスします。
紹介はNFSv4の機能であるため、NFSv4マウントにのみ適用されます。
紹介は、NFSv4以降を使用する、次のような任意のサーバーに行うことができます。
● NFSv4 が有効な
NFS を実行している保護システム● NFSv4 をサポートするその他のサーバ(Linux サーバ、NAS アプライアンス、VNX システムなど)。
参照は、DDファイル システム内の現在の基盤となるパスの有無にかかわらず、NFSエクスポート ポイントを使用できます。
紹介付きのNFSエクスポートはNFSv3を介してマウントできますが、参照はNFSv4であるため、NFSv3クライアントはリダイレクトされません。
機能。この特性は、スケールアウト システムでファイル管理レベルでエクスポートをリダイレクトできるようにする場合に便利です。

照会場所
NFSv4参照には、常に1つ以上の場所があります。
これらの場所は、次のもので構成されています。
● 参照先のファイルシステムへのリモート NFS サーバ上のパス。
クライアントがリモート NFS サーバに到達できるようにする 1 つ以上のサーバ ネットワーク アドレス。
通常、複数のサーバー アドレスが同じ場所に関連づけられている場合、それらのアドレスは同じNFS
上にありますサーバー。
照会場所名
NFSエクスポート内の各参照場所に名前を付けることができます。この名前を使用して、紹介
にアクセスしたり、削除します。
紹介名には、次の文字セットの最大80文字を含めることができます。
● a-z
● A-Z
● 0-9
● "."
●","
●"_"
●"-"
メモ: 名前にスペースが埋め込まれている限り、スペースを含めることができます。埋め込みスペースを使用する場合は、
名前全体を二重引用符で囲む必要があります。
「.」で始まる名前は、保護システムによる自動作成用に予約されています。これらの名前は削除できますが、
コマンド ライン インターフェイス(CLI)またはシステム管理サービス(SMS)を使用して作成または変更することはできません。
 

紹介およびスケールアウト システム
NFSv4の照会と場所は、保護システムをスケール アウトする場合に、アクセスをより有効にすることができます。
システムにグローバル名前空間がすでに含まれている場合と含まれていない場合があるため、次の 2 つのシナリオでは、その
方法について説明します。NFSv4 参照を使用する場合があります。
● システムにグローバル名称領域が含まれていません。
○ NFSv4 参照を使用して、そのグローバル名前空間を構築することができます。システム管理者は、これらのグローバル名前空間を構築できます。
必要に応じて、Smart System Manager (SM)要素構築参照を使用できます。
● システムにはすでにグローバル名前空間があります。
○ システムにグローバルネームスペースがあり、特定のノードに MTree が配置されている場合、NFS 参照を作成して、それらの MTree へのアクセスをスケールアウトされたシステムに追加されたノードにリダイレクト
できます。これらの紹介は、作成することも、入手することもできます
必要なSMまたはファイル マネージャー(FM)情報が使用可能な場合は、NFS内で自動的に実行されます。

NFSv4と高可用性
NFSv4では、プロトコル エクスポート(たとえば、/data/col1/<mtree> )は高可用性(HA)セットアップでミラーリングされます。しかし
/ddvarなどの構成エクスポートはミラーリングされません。
/ddvarファイルシステムは、HAペアの各ノードに固有です。その結果、/ddvar エクスポートとそれに関連するクライアント
アクセスがHA環境のスタンバイ ノードには、リストがミラーリングされません。
アクティブ ノードがスタンバイ ノードにフェールオーバーすると、/ddvarの情報は古くなります。クライアントに付与された
権限フェールオーバーが発生した後、元のアクティブ ノード上の/ddvarを新しいアクティブ ノードで再作成する必要があります。
また、で作成された追加の/ddvarエクスポートとそのクライアント(/ddvar/coreなど)も追加する必要があります。
フェールオーバーが発生した後、元のアクティブ ノードから新しいアクティブ ノードへ。
最後に、必要な/ddvarエクスポートをクライアントからアンマウントし、フェールオーバーの発生後に再マウントする必要があります。

NFSv4グローバル ネームスペース
NFSv4サーバーは、NFSエクスポートを検索可能なパス セットに接続するためのPseudoFSと呼ばれる仮想ディレクトリー ツリーを提供します。
PseudoFSの使用により、NFSv4は、MOUNTD補助プロトコルを使用するNFSv3と区別されます。
ほとんどの構成では、NFSv3 MOUNTDからNFSv4グローバル ネームスペースへの変更は透過的であり、自動的に
処理されますNFSv4クライアントとサーバーによって提供されます。
 

NFSv4グローバル ネームスペースとNFSv3サブマウント
NFSv3エクスポート サブマウントを使用する場合、NFSv4のグローバル ネームスペース特性により、NFSv4マウントでサブマウントが認識
されない場合があります。
NFSv3のメイン エクスポートとサブマウント エクスポート
NFSv3にメイン エクスポートとサブマウント エクスポートがある場合、これらのエクスポートは同じNFSv3クライアントを使用しても、異なるレベルの
アクセス：

表NFSv3のメイン エクスポートとサブマウント エクスポート 

前の表では、次がNFSv3に適用されます。
● client1.example.com が /data/col1/mt1 をマウントすると、クライアントは読み取り専用アクセスを取得します。
● client1.example.com が /data/col1/mt1/subdir をマウントすると、クライアントは読み書きアクセスを取得します。
NFSv4は、最上位レベルのエクスポート パスに関して同様に動作します。NFSv4の場合、client1.example.com は
NFSv4 PseudoFSは、最上位レベルのエクスポート パス/data/col1/mt1に到達するまで、読み取り専用アクセスを取得します。
ただし、エクスポートが選択されているため、サブマウント エクスポート(Mt1-sub)はクライアント
のPseudoFSの一部ではなく、読み取り/書き込みアクセスは付与されません。

ベスト プラクティス
システムでNFSv3エクスポート サブマウントを使用して、マウント パスに基づいてクライアントに読み取り/書き込みアクセスを付与する場合は、これらのサブマウント エクスポートでNFSv4を使用する前に、この点を考慮する
必要があります。
NFSv4では、各クライアントに個別のPseudoFSがあります。

表NFSv3サブマウント エクスポート 
 

NFSv4構成

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

既存のエクスポートの更新

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

KerberosおよびNFSv4
NFSv4とNFSv3はどちらもKerberos認証メカニズムを使用してユーザー資格情報を保護します。
Kerberosは、NFSパケット内でユーザー資格情報がスプーフィング
されるのを防ぎ、保護システム。
NFS経由のKerberosには、次のような異なるタイプがあります。
● Kerberos 5 (sec=krb5)
ユーザ資格情報に Kerberos を使用します。
● Kerberos 5 with integrity(sec=krb5i)
Kerberos を使用し、暗号化されたチェックサムを使用して NFS ペイロードの整合性をチェックします。
● Kerberos 5 with security(sec=krb5p)Kerberos
5 を整合性を持って使用し、NFS ペイロード全体を暗号化します。
注: krb5i と krb5p はどちらも、両方の計算オーバーヘッドによりパフォーマンスが低下する可能性があります。
NFSクライアントと保護システム。
 

LinuxベースのKDCを使用したKerberosの構成
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

LinuxベースのKDCを使用したKerberosの構成
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

LinuxベースのKDCを使用したKerberosの構成
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Active Directory の有効化
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Active Directoryの構成
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.