Data Domain - Introdução ao NFSv4

Vários fatores podem afetar a escolha NFSv4 ou NFSv3:
● Suporte ao
cliente NFSAlguns clients NFS podem dar suporte apenas a NFSv3 ou NFSv4 ou podem funcionar melhor com uma versão.
● Requisitos
operacionais Uma empresa pode ser estritamente padronizada para usar NFSv4 ou NFSv3.
● Segurança
Se você precisar de maior segurança, o NFSv4 oferece um nível de segurança maior do que o NFSv3, incluindo ACL e configuração estendida de proprietário e
grupo.
● Requisitos
de recursos Se você precisar de bloqueio de intervalo de bytes ou arquivos UTF-8, você deve escolher NFSv4.
● Submontagens NFSv3
Se a configuração existente usar submontagens NFSv3, o NFSv3 pode ser a opção apropriada.

NFSv4 em comparação com NFSv3
O NFSv4 oferece funcionalidade e recursos aprimorados em comparação com o NFSv3.
A tabela a seguir compara os recursos do NFSv3 com os do NFSv4.

Tabela NFSv4 em comparação com NFSv3

Portas
NFSv4Você pode ativar ou desativar NFSv4 e NFSv3 independentemente. Além disso, você pode mover versões do NFS para portas diferentes;
As versões não precisam ocupar a mesma porta.
Com o NFSv4, você não precisa reiniciar o file system se alterar as portas. Nesses casos, apenas uma reinicialização do NFS é necessária.
Assim como o NFSv3, o NFSv4 é executado na porta 2049 como padrão, se estiver habilitado.
O NFSv4 não usa portmapper (porta 111) nem mountd (porta 2052).

Visão geral do mapeamento de IDs
O NFSv4 identifica proprietários e grupos por um formato externo comum, como joe@example.com. Esses formatos comuns são
:conhecidos como identificadores ou IDs.
Os identificadores são armazenados em um servidor NFS e usam representações internas, como ID 12345 ou ID S-123-33-667-2. O
A conversão entre identificadores internos e externos é conhecida como mapeamento de IDs.
Os identificadores estão associados ao seguinte:
● Proprietários de arquivos e diretórios
● Grupos proprietários de arquivos e diretórios
● Entradas em listas de controle de acesso (ACLs)
Os sistemas de proteção usam um formato interno comum para protocolos NFS e CIFS/SMB, que permite que arquivos e diretórios sejam
compartilhados entre NFS e CIFS/SMB. Cada protocolo converte o formato interno em seu próprio formato externo com seu próprio ID
Mapeamento.
 

Formatos
externosO formato externo para identificadores NFSv4 segue os padrões NFSv4 (por exemplo, RFC-7530 para NFSv4.0). Além disso,
os formatos suplementares são suportados para interoperabilidade.

Formatos de identificador padrão

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

Formatos alternativos
Para permitir interoperabilidade, os servidores NFSv4 em sistemas de proteção dão suporte a alguns formatos alternativos de identificador para entrada e saída.
● Identificadores numéricos; por exemplo, "12345".
● Identificadores de segurança (SIDs) compatíveis com Windows expressos como "S-NNN-NNN-..."
Consulte as seções sobre mapeamento de entrada e mapeamento de saída para obter mais informações sobre restrições a esses formatos.

Formatos
de identificador internoO file system do DD armazena identificadores com cada objeto (arquivo ou diretório) no file system. Todos os objetos têm um usuário
numéricoID (UID) e ID de grupo (GID). Estes, juntamente com um conjunto de bits de modo, permitem a identificação e o acesso
tradicionais do UNIX/LinuxControles.
Os objetos criados pelo protocolo CIFS/SMB ou pelo protocolo NFSv4 quando as ACLs do NFSv4 estão ativadas também têm um
descritor de segurança (SD). Cada SD contém o seguinte:
● Um identificador de segurança do proprietário (SID)
● Um SID
do grupo proprietário● Uma ACL discricionária (DACL)
● (Opcional) Uma ACL do sistema (SACL)
Cada SID contém um ID relativo (RID) e um domínio distinto de maneira semelhante aos SIDs do Windows. Consulte a seção sobre NFSv4 e
Interoperabilidade de CIFS para obter mais informações sobre SIDs e o mapeamento de SIDs.
Quando ocorre o mapeamento de IDs
O servidor NFSv4 do sistema de proteção executa o mapeamento nas seguintes circunstâncias:
● Mapeamento
de entrada O servidor NFS recebe um identificador de um cliente NFSv4. 
● Mapeamento de saída:
um identificador é enviado do servidor NFS para o cliente NFSv4. 
● Mapeamento de
credenciaisAs credenciais do client RPC são mapeadas para uma identidade interna para controle de acesso e outras operações.

Mapeamento
de entradaO mapeamento de entrada ocorre quando um NFSv4 client envia um identificador ao sistema de proteção do servidor NFSv4 — configurando o proprietário
ou grupo proprietário de um arquivo, por exemplo. O mapeamento de entrada é diferente do mapeamento de credenciais.
Identificadores de formato padrão, como joe@mycorp.com são convertidos em um UID/GID interno com base na configuração
regras de conversão. Se as ACLs do NFSv4 estiverem ativadas, um SID também será gerado com base nas regras de conversão configuradas.
Os identificadores numéricos (por exemplo, "12345") são convertidos diretamente em UID/GIDs correspondentes se o client não estiver usando Kerberos
Autenticação. Se o Kerberos estiver sendo usado, um erro será gerado conforme recomendado pelo padrão NFSv4. Se as ACLs do NFSv4 forem
habilitado, um SID será gerado com base nas regras de conversão.
Os SIDs do Windows (por exemplo, "S-NNN-NNN-...") são validados e convertidos diretamente nos SIDs correspondentes. Um UID/GID será
gerado com base nas regras de conversão.

Mapeamento de saída

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

Mapeamento
de credenciaisO servidor NFSv4 fornece credenciais para o client NFSv4.
Essas credenciais executam as seguintes funções:
● Determine a política de acesso para a operação, por exemplo, a capacidade de ler um arquivo.
● Determine o proprietário padrão e o grupo proprietário para novos arquivos e diretórios.
As credenciais enviadas do client podem ser john_doe@mycorp.com ou credenciais do sistema, como UID=1000, GID=2000.
As credenciais do sistema especificam um UID/GID juntamente com IDs de grupo auxiliares.
Se as ACLs do NFSv4 estiverem desativadas, o UID/GID e os IDs de grupo auxiliares serão usados para as credenciais.

Se as ACLs do NFSv4 estiverem habilitadas, os serviços de mapeamento configurados serão usados para criar um descritor de segurança estendido para o
Credenciais:
● SIDs para o proprietário, grupo proprietário e grupo auxiliar mapeados e adicionados ao descritor de segurança (SD).
● Privilégios de credencial, se houver, são adicionados ao SD.
Interoperabilidade
entre NFSv4 e CIFS/SMBOs descritores de segurança usados pelo NFSv4 e pelo CIFS são semelhantes do ponto de vista do mapeamento de IDs, embora haja diferenças.
Você deve estar ciente do seguinte para garantir a interoperabilidade ideal:
● O Active Directory deve ser configurado para CIFS e NFSv4, e o mapeador de ID NFS deve ser configurado para usar o Active
Directory para mapeamento de ID.
● Se você estiver usando ACLs CIFS extensivamente, geralmente poderá melhorar a compatibilidade também habilitando as ACLs NFSv4.
○ Habilitar ACLs do NFSv4 permite que as credenciais do NFSv4 sejam associadas ao SID apropriado ao avaliar o acesso à DACL.
● O servidor CIFS recebe credenciais do client CIFS, inclusive ACL padrão e privilégios de usuário.
○ Por outro lado, o servidor NFSv4 recebe um conjunto mais limitado de credenciais e constrói credenciais em tempo de execução usando seu
mapeador de ID. Por isso, o file system pode ver credenciais diferentes.

Integração do Active Directory CIFS/SMB

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

DACL padrão para NFSv4
O NFSv4 define uma DACL (lista de controle de acesso discricionário) diferente da DACL padrão fornecida pelo CIFS.
Somente OWNER@, GROUP@ e EVERYONE@ são definidos na DACL NFSv4 padrão. Você pode usar a herança de ACL para
Adicione automaticamente ACEs significativas para CIFS por padrão, se apropriado.
SIDs padrão do
sistemaOs arquivos e diretórios criados por NFSv3 e NFSv4 sem ACLs usam o domínio padrão do sistema, às vezes chamado de
Domínio padrão do UNIX:
● Os SIDs de usuário no domínio do sistema têm o formato S-1-22-1-N, em que N é o UID.
● Os SIDs de grupo no domínio do sistema têm o formato S-1-22-2-N, quando N é o GID.
Por exemplo, um usuário com UID 1234 teria um SID proprietário de S-1-22-1-1234.
Identificadores comuns em ACLs e SIDs
do NFSv4O identificador EVERYONE@ e outros identificadores especiais (como BATCH@, por exemplo) nas ACLs do NFSv4 usam o equivalente
CIFS SIDS e são compatíveis.
Os identificadores OWNER@ e GROUP@ não têm correspondência direta no CIFS; eles aparecem como o proprietário atual e atual
Owner-Group do arquivo ou diretório.
 

Indicações de NFS
O recurso de indicação permite que um NFSv4 client acesse uma exportação (ou file system) em um ou vários locais. Os locais podem estar em
no mesmo servidor NFS ou em servidores NFS diferentes e use o mesmo caminho ou caminho diferente para acessar a exportação.
Como as referências são um recurso do NFSv4, elas se aplicam somente às montagens do NFSv4.
As referências podem ser feitas a qualquer servidor que use NFSv4 ou posterior, incluindo o seguinte:
● Um sistema de proteção executando NFS com NFSv4 habilitado
● Outros servidores compatíveis com NFSv4, inclusive servidores Linux, equipamentos NAS e sistemas VNX.
Uma referência pode usar um ponto de exportação NFS com ou sem um caminho subjacente atual no file system do DD.
As exportações NFS com referências podem ser montadas por meio do NFSv3, mas os clientes NFSv3 não serão redirecionados, pois as referências são um NFSv4
Recurso. Essa característica é útil em sistemas de scale-out para permitir que as exportações sejam redirecionadas em um nível de gerenciamento de arquivos.

Locais
de indicaçãoAs referências NFSv4 sempre têm um ou mais locais.
Esses locais consistem no seguinte:
● Um caminho em um servidor NFS remoto para o sistema de arquivos referido.
● Um ou mais endereços de rede do servidor que permitem que o cliente acesse o servidor NFS remoto.
Normalmente, quando vários endereços de servidor estão associados ao mesmo local, esses endereços são encontrados no mesmo NFS
Servidor.
Nomes
dos locais de indicaçãoVocê pode nomear cada local de referência em uma exportação NFS. Você pode usar o nome para acessar a referência, bem como para modificar ou
excluí-lo.
Um nome de referência pode conter no máximo 80 caracteres dos seguintes conjuntos de caracteres:
● a-z
● A-Z
● 0-9
● "."
● ","
● "_"
● "-"
NOTA: Você pode incluir espaços, desde que esses espaços estejam incorporados ao nome. Se você usar espaços incorporados, você
deve colocar o nome inteiro entre aspas duplas.
Os nomes que começam com "." são reservados para criação automática pelo sistema de proteção. Você pode excluir esses nomes, mas
não é possível criá-los ou modificá-los usando a interface de linha de comando (CLI) ou os serviços de gerenciamento de sistema (SMS).
 

Indicações e sistemas
de scale-outAs referências e os locais do NFSv4 podem habilitar melhor o acesso se você estiver dimensionando horizontalmente seus sistemas de proteção.
Como seu sistema pode ou não já conter um namespace global, os dois cenários a seguir descrevem como você
podem usar referências NFSv4:
● Seu sistema não contém um namespace global.
○ Você pode usar referências NFSv4 para criar esse namespace global. Os administradores de sistema podem criar esses namespaces globais ou
você pode usar referências de construção de elementos do Smart System Manager (SM), conforme necessário.
● Seu sistema já tem um namespace global.
○ Se seu sistema tiver um namespace global com MTrees colocados em nós específicos, as referências NFS poderão ser criadas para redirecionar
o acesso a esses MTrees aos nós adicionados ao sistema expandido. Você pode criar essas referências ou tê-las
executada automaticamente no NFS se as informações necessárias do SM ou do gerenciador de arquivos (FM) estiverem disponíveis.

NFSv4 e alta disponibilidade
Com o NFSv4, as exportações de protocolo (por exemplo, /data/col1/<mtree> são espelhadas em uma configuração de alta disponibilidade (HA). No entanto
As exportações de configuração, como /ddvar, não são espelhadas.
O file system /ddvar é exclusivo para cada nó de um par de HA. Como resultado, as exportações /ddvar e o acesso
do client associadolistas não são espelhadas para o nó em espera em um ambiente de HA.
As informações em /ddvar se tornam obsoletas quando o nó ativo sofre failover no nó em espera. Qualquer permissão de client concedida
para /ddvar no nó ativo original deve ser recriado no nó recém-ativo após ocorrer um failover.
Você também deve adicionar quaisquer exportações /ddvar adicionais e seus clients (por exemplo, /ddvar/core) que foram criados no
Nó ativo original para o nó recém-ativo após ocorrer um failover.
Por fim, todas as exportações /ddvar desejadas devem ser desmontadas do client e, em seguida, remontadas após a ocorrência de um failover.

Namespaces globais do
NFSv4O servidor NFSv4 fornece uma árvore de diretórios virtual conhecida como PseudoFS para conectar exportações NFS a um conjunto pesquisável de caminhos.
O uso de um PseudoFS distingue o NFSv4 do NFSv3, que usa o protocolo auxiliar MOUNTD.
Na maioria das configurações, a alteração do namespace global NFSv3 MOUNTD para NFSv4 é transparente e tratada automaticamente
pelo client e servidor NFSv4.
 

Namespaces globais do NFSv4 e submontagens do
NFSv3Se você usar submontagens de exportação NFSv3, as características de namespaces globais do NFSv4 podem impedir que submontagens sejam vistas
na montagem NFSv4.
Exportações principais e exportações de submontagem do NFSv3
Se o NFSv3 tiver uma exportação principal e uma exportação submontada, essas exportações poderão usar os mesmos clients NFSv3 e ainda ter níveis diferentes de
Acesso:

Tabela NFSv3 exportações principais e exportações de submontagem 

Na tabela anterior, o seguinte se aplica ao NFSv3:
● Se client1.example.com montar /data/col1/mt1, o client obterá acesso somente leitura.
● Se client1.example.com montar /data/col1/mt1/subdir, o client obterá acesso de leitura/gravação.
O NFSv4 opera da mesma maneira em relação aos caminhos de exportação de nível mais alto. Para NFSv4, client1.example.com navega pelo
NFSv4 PseudoFS até atingir o caminho de exportação de nível mais alto, /data/col1/mt1, em que obtém acesso somente leitura.
No entanto, como a exportação foi selecionada, a exportação de submontagem (Mt1-sub) não faz parte do PseudoFS para o client e
O acesso de leitura/gravação não é fornecido.

Prática
recomendadaSe o sistema usar submontagens de exportações NFSv3 para dar ao client acesso de leitura/gravação com base no caminho de montagem, você deverá considerar
isso antes de usar o NFSv4 com essas exportações de submontagem.
Com o NFSv4, cada client tem um PseudoFS individual.

Tabela de exportações de submontagem NFSv3 
 

Configuração do NFSv4

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

Atualizando exportações existentes

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos e NFSv4
O NFSv4 e o NFSv3 usam o mecanismo de autenticação Kerberos para proteger as credenciais do usuário.
O Kerberos impede que as credenciais do usuário sejam falsificadas em pacotes NFS e as protege contra adulteração no caminho para o
sistema de proteção.
Existem tipos distintos de Kerberos sobre NFS:
● Kerberos 5 (sec=krb5)
Use o Kerberos para credenciais do usuário.
● Kerberos 5 com integridade (sec=krb5i)
Use Kerberos e verifique a integridade do payload do NFS usando uma soma de verificação criptografada.
● Kerberos 5 com segurança (sec=krb5p)
Use o Kerberos 5 com integridade e criptografe todo o payload do NFS.
NOTA: krb5i e krb5p podem causar degradação de desempenho devido à sobrecarga computacional adicional em ambos os
Client NFS e o sistema de proteção.
 

Configurando o Kerberos com um KDC baseado em Linux
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

Configurando o Kerberos com um KDC baseado em Linux
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

Configurando o Kerberos com um KDC baseado em Linux
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Ativando o Active Directory
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Configurando o Active Directory
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.