Data Domain - Introduzione a NFSv4

摘要: Poiché i client NFS utilizzano sempre più NFSv4.x come livello di protocollo NFS predefinito, i sistemi di protezione possono ora utilizzare NFSv4 invece di richiedere al client di funzionare in modalità di compatibilità con i sistemi di generazione precedente. I client possono funzionare in ambienti misti in cui NFSv4 e NFSv3 devono essere in grado di accedere alle stesse esportazioni NFS. Il server NFS DDOS può essere configurato per supportare NFSv4 e NFSv3, a seconda dei requisiti del sito. È possibile fare in modo che ogni Esportazione NFS disponibile solo per client NFSv4, solo client NFSv3 o entrambi. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Diversi fattori potrebbero influire sulla scelta di NFSv4 o NFSv3:
● Supporto
client NFSAlcuni client NFS potrebbero supportare solo NFSv3 o NFSv4 o potrebbero funzionare meglio con una versione.
● Requisiti
operativi: un'azienda potrebbe essere standardizzata in modo rigoroso per l'utilizzo di NFSv4 o NFSv3.
● Sicurezza
Se si necessita di una maggiore sicurezza, NFSv4 fornisce un livello di sicurezza superiore rispetto a NFSv3, tra cui ACL e configurazione estesa del proprietario e
del gruppo.
● Requisiti
delle funzionalità Se è necessario il blocco dell'intervallo di byte o i file UTF-8, è necessario scegliere NFSv4.
● Submount
NFSv3 Se la configurazione esistente utilizza submount NFSv3, NFSv3 potrebbe essere la scelta appropriata.

NFSv4 rispetto a NFSv3
NFSv4 offre funzionalità e caratteristiche avanzate rispetto a NFSv3.
La tabella seguente mette a confronto le funzioni di NFSv3 con quelle di NFSv4.

Tavolo NFSv4 rispetto a NFSv3

Funzione NFSv3 NFSv4
File system di rete basato su standard
Supporto Kerberos
Kerberos con LDAP 
Reporting sulle quote
Esportazioni multiple con elenchi di accesso basati su client
Mappatura ID
Supporto dei caratteri UTF-8  No
ACL (Access Control List) basato su file/directory  No
Gruppo/proprietario esteso (OWNER@)  No
Blocco della share di file No
Blocco dell'intervallo di byte  No
Integrazione DD-CIFS (blocco, ACL, AD)  No
Apertura e ripristino del file stateful  No
Namespace globale e PseudoFS No
Namespace multi-sistema che utilizza i referral  No 


Porte
NFSv4È possibile abilitare o disabilitare NFSv4 e NFSv3 in modo indipendente. Inoltre, è possibile spostare le versioni NFS in porte diverse;
Non è necessario che le versioni occupino la stessa porta.
Con NFSv4, non è necessario riavviare il file system se si modificano le porte. In tali istanze è richiesto soltanto un riavvio NFS.
Come NFSv3, se NFSv4 è abilitato, viene eseguito sulla porta 2049 come impostazione predefinita.
NFSv4 non utilizza portmapper (porta 111) o mountd (porta 2052).

Panoramica
del mapping degli IDNFSv4 identifica i proprietari e i gruppi in base a un formato esterno comune, ad esempio joe@example.com. Questi formati comuni sono
noti come identificatori o ID.
Gli ID vengono archiviati all'interno di un server NFS e utilizzano rappresentazioni interne come ID 12345 o ID S-123-33-667-2. Le
la conversione tra identificatori interni ed esterni è nota come mappatura degli ID.
Gli ID sono associati ai seguenti elementi:
Proprietari di file e directory
Gruppi proprietari di file e directory
Voci nelle ACL (Access Control List)
I sistemi di protezione utilizzano un formato interno comune per i protocolli NFS e CIFS/SMB, che consente la condivisione di
file e directorytra NFS e CIFS/SMB. Ogni protocollo converte il formato interno nel proprio formato esterno con il proprio ID
Mapping.
 

Formati
esterniIl formato esterno per gli ID NFSv4 segue gli standard NFSv4 (ad esempio, RFC-7530 per NFSv4.0). Inoltre,
sono supportati formati supplementari per l'interoperabilità.

Formati standard degli identificatori

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.



Formati
alternativiPer consentire l'interoperabilità, i server NFSv4 sui sistemi di protezione supportano alcuni formati ID alternativi per input e output.
Identificatori numerici; ad esempio, "12345".
Identificatori di sicurezza (SID) compatibili con Windows espressi come "S-NNN-NNN-..."
Per ulteriori informazioni sulle limitazioni di questi formati, consultare le sezioni relative al mapping di input e output.

Formati di identificatore
internoIl file system DD archivia gli ID di ciascun oggetto (file o directory) nel file system. Tutti gli oggetti hanno un utente
numericoID (UID) e ID gruppo (GID). Questi, insieme a una serie di bit modalità, consentono l'identificazione e l'accesso
a UNIX/Linux tradizionaliControlli.
Anche gli object creati dal protocollo CIFS/SMB o NFSv4 quando sono abilitati gli ACL NFSv4 hanno un estensione
descrittore di sicurezza (SD). Ogni SD contiene:
Un SID (ID di sicurezza)
del proprietario Un SID
del gruppo di proprietari Un ACL discrezionale (DACL
) (Opzionale) Un ACL di sistema (SACL)
Ogni SID contiene un ID relativo (RID) e un dominio distinto in modo simile ai SID di Windows. Vedere la sezione su NFSv4 e
Interoperabilità CIFS per ulteriori informazioni sui SID e sul mapping dei SID.
Quando si verifica il mapping degli
IDIl server NFSv4 del sistema di protezione esegue il mapping nelle seguenti circostanze:
Mappatura degli ingressi
: il server NFS riceve un identificatore da un client NFSv4. 
Mappatura dell'uscita:
un identificatore viene inviato dal server NFS al client NFSv4. 
Mappatura
dellecredenziali: le credenziali del client RPC vengono mappate a un'identità interna per il controllo degli accessi e altre operazioni.

Mapping
degli inputIl mapping degli input si verifica quando un client NFSv4 invia un ID al server NFSv4 del sistema di protezione, ad esempio configurando il proprietario
o il gruppo proprietario di un file. Il mapping degli input è diverso dal mapping delle credenziali.
Gli identificatori del formato standard, ad esempio joe@mycorp.com, vengono convertiti in un UID/GID interno in base alle
regole di conversione. Se sono abilitati gli ACL NFSv4, verrà generato anche un SID in base alle regole di conversione configurate.
Gli ID numerici (ad esempio, "12345") vengono convertiti direttamente in UID/GID corrispondenti se il client non utilizza Kerberos
Autenticazione. Se si utilizza Kerberos, verrà generato un errore come consigliato dallo standard NFSv4. Se gli ACL NFSv4 sono
enabled, verrà generato un SID in base alle regole di conversione.
I SID di Windows (ad esempio, "S-NNN-NNN-...") vengono convalidati e convertiti direttamente nei SID corrispondenti. Verrà
generato un UID/GIDin base alle regole di conversione.

Mapping degli output

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always


Mapping
delle credenzialiIl server NFSv4 fornisce le credenziali per il client NFSv4.
Queste credenziali svolgono le seguenti funzioni:
Determinare la politica di accesso per l'operazione; ad esempio, la possibilità di leggere un file.
Determinare il proprietario e il gruppo proprietario predefiniti per i nuovi file e directory.
Le credenziali inviate dal client possono essere john_doe@mycorp.com o di sistema, ad esempio UID=1000, GID=2000.
Le credenziali di sistema specificano un UID/GID insieme agli ID del gruppo ausiliario.
Se gli ACL NFSv4 sono disabilitati, gli UID/GID e gli ID dei gruppi ausiliari vengono utilizzati per le credenziali.

Se sono abilitati gli ACL NFSv4, i servizi di mapping configurati vengono utilizzati per creare un descrittore di sicurezza esteso per
Credenziali:
SID per il proprietario, il gruppo proprietario e il gruppo ausiliario mappati e aggiunti al descrittore di sicurezza (SD).
I privilegi di credenziale, se presenti, vengono aggiunti all'SD.
Interoperabilità
NFSv4 e CIFS/SMBI descrittori di sicurezza utilizzati da NFSv4 e CIFS sono simili dal punto di vista del mapping degli ID, anche se ci sono delle differenze.
Per garantire un interoperabilità ottimale, è necessario tenere presente quanto segue:
Active Directory deve essere configurato sia per CIFS che per NFSv4 e il mapper ID NFS deve essere configurato per utilizzare Active
Directory per il mapping degli ID.
Se si utilizzano ampiamente gli ACL CIFS, in genere è possibile migliorare la compatibilità abilitando anche gli ACL NFSv4.
L'abilitazione degli ACL NFSv4 consente di eseguire il mapping delle credenziali NFSv4 al SID appropriato durante la valutazione dell'accesso DACL.
Il server CIFS riceve le credenziali dal client CIFS, inclusi l'ACL predefinito e i privilegi utente.
Al contrario, il server NFSv4 riceve un set più limitato di credenziali e costruisce le credenziali in fase di esecuzione utilizzando il mapper
ID. Per questo motivo, il file system potrebbe visualizzare credenziali diverse.

Integrazione di Active Directory CIFS/SMB

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

 

DACL predefinito per NFSv4
NFSv4 imposta un elenco DACL (Discretionary Access Control List) predefinito diverso da quello predefinito fornito da CIFS.
Solo OWNER@, GROUP@ e EVERYONE@ sono definiti nel DACL NFSv4 predefinito. È possibile utilizzare l'ereditarietà ACL per
Aggiungere automaticamente ACE significative per CIFS per impostazione predefinita, se opportuno.
SID predefiniti di
sistemaI file e le directory creati da NFSv3 e NFSv4 senza ACL utilizzano il dominio di sistema predefinito, a volte indicato come
Dominio UNIX predefinito:
I SID utente nel dominio di sistema hanno il formato S-1-22-1-N, dove N è l'UID.
I SID di gruppo nel dominio di sistema hanno il formato S-1-22-2-N, dove N è il GID.
Ad esempio, un utente con UID 1234 avrà un SID proprietario S-1-22-1-1234.
ID comuni in SID
e ACL NFSv4L'ID EVERYONE@ e altri ID speciali (ad esempio BATCH@) negli ACL NFSv4 utilizzano l'equivalente
SIDS CIFS e sono compatibili.
Gli identificatori OWNER@ e GROUP@ non hanno una corrispondenza diretta in CIFS: vengono visualizzati come proprietario corrente e
comeGruppo proprietario del file o della directory.
 

Referral NFS
La funzione referral consente a un client NFSv4 di accedere a un esportazione (o file system) in una o più posizioni. Le posizioni possono essere attive
sullo stesso server NFS o su server NFS diversi e utilizzare lo stesso percorso o un percorso diverso per raggiungere l'esportazione.
Poiché i referral sono una funzionalità NFSv4, si applicano solo ai mount NFSv4.
I referral possono essere effettuati a qualsiasi server che utilizza NFSv4 o versioni successive, includendo
: Un sistema di protezione che esegue NFS con NFSv4 abilitato
Altri server che supportano NFSv4, inclusi server Linux, appliance NAS e sistemi VNX.
Un referral può utilizzare un punto di esportazione NFS con o senza un percorso sottostante corrente nel file system DD.
Il mounting delle esportazioni NFS con referral può essere effettuato tramite NFSv3, ma i client NFSv3 non verranno reindirizzati poiché i referral sono NFSv4
Funzionalità. Questa caratteristica è utile nei sistemi scale-out per consentire il reindirizzamento delle esportazioni a livello di gestione dei file.

Posizioni
di referralI referral NFSv4 hanno sempre una o più posizioni.
Queste posizioni sono costituite da quanto segue:
Un percorso su un server NFS remoto al file system di riferimento.
Uno o più indirizzi di rete del server che consentono al client di raggiungere il server NFS remoto.
In genere, quando più indirizzi server sono associati alla stessa posizione, tali indirizzi si trovano sullo stesso NFS
Server.
Nomi
delle sedi di referralÈ possibile assegnare un nome a ogni posizione di referral all'interno di un'esportazione NFS. È possibile utilizzare il nome per accedere al referral e per modificare o
eliminarlo.
Il nome di un referral può contenere un massimo di 80 caratteri provenienti dai seguenti set:
a-z
A-Z
0-9
"."
","
"_"
"-"
NOTA: È possibile includere spazi purché siano incorporati all'interno del nome. Se si utilizzano spazi incorporati, è possibile
Deve racchiudere l'intero nome tra virgolette doppie.
I nomi che iniziano con "." sono riservati alla creazione automatica da parte del sistema di protezione. È possibile eliminare questi nomi, ma è possibile
non è possibile crearli o modificarli utilizzando l'interfaccia della riga di comando (CLI) o i servizi di gestione dei sistemi (SMS).
 

Referral e sistemi
scale-outI referral e le posizioni NFSv4 possono abilitare meglio l'accesso se si esegue lo scale-out dei sistemi di protezione.
Poiché il sistema potrebbe contenere già un namespace globale, i due scenari seguenti descrivono il modo in cui
potrebbe utilizzare i referral NFSv4:
Il sistema non contiene un namespace globale.
È possibile utilizzare i referral NFSv4 per creare tale namespace globale. I System Administrator possono creare questi namespace globali oppure
è possibile utilizzare referral per la costruzione di elementi SM (System Manager) intelligenti in base alle necessità.
Il sistema dispone già di un namespace globale.
Se il sistema dispone di un namespace globale con MTrees posizionati in nodi specifici, è possibile creare referral NFS per reindirizzare
l'accesso a tali MTrees ai nodi aggiunti al sistema scale-out. Puoi creare questi referral o averli
eseguita automaticamente all'interno di NFS se sono disponibili le informazioni necessarie sull'SM o sul file manager (FM).

NFSv4 e High Availability
Con NFSv4, viene eseguito il mirroring delle esportazioni di protocollo (ad esempio, /data/col1/<mtree> ) in una configurazione high availability (HA). Tuttavia
Non viene eseguito il mirroring delle esportazioni di configurazione, ad esempio /ddvar.
Il file system /ddvar è univoco per ogni nodo di una coppia HA. Di conseguenza, /ddvar esporta e l'accesso
client associatonon viene eseguito il mirroring degli elenchi sul nodo di standby in un'ambiente HA.
Le informazioni presenti in /ddvar diventano obsolete quando il nodo attivo esegue il failover sul nodo di standby. Tutte le autorizzazioni client concesse
To /ddvar sul nodo attivo originale deve essere ricreato sul nuovo nodo attivo dopo un failover.
È inoltre necessario aggiungere eventuali esportazioni /ddvar e i relativi client (ad esempio, /ddvar/core) creati su
Dal nodo attivo originale al nuovo nodo attivo dopo un failover.
Infine, tutte le esportazioni /ddvar desiderate devono essere disinstallate dal client e quindi reinstallate dopo un failover.

Namespace
globali NFSv4Il server NFSv4 fornisce un albero di directory virtuale noto come PseudoFS per connettere le esportazioni NFS a un set di percorsi ricercabile.
L'utilizzo di uno PseudoFS distingue NFSv4 da NFSv3, che utilizza il protocollo ausiliario MOUNTD.
Nella maggior parte delle configurazioni, il passaggio del namespace globale da NFSv3 MOUNTD a NFSv4 è trasparente e gestito automaticamente
dal client e dal server NFSv4.
 

Namespace globali NFSv4 e submount
NFSv3Se si utilizzano i submount di esportazione NFSv3, i namespace globali caratteristici di NFSv4 potrebbero impedire la visualizzazione
dei submount sulmount NFSv4.
Esportazioni submount
e principali NFSv3Se NFSv3 dispone di un'esportazione principale e di un'esportazione submount, queste esportazioni potrebbero utilizzare gli stessi client NFSv3, ma avere livelli diversi di
Accesso:

Esportazioni submount e principali della tabella NFSv3 

Esporta Percorso Client Options
Mt1 /data/col1/mt1 client1.example.com Ro
Mt1-sub /data/col1/mt1/subdir client1.example.com Rw

Nella tabella precedente, per NFSv3 vale quanto segue:
Se client1.example.com esegue il mounting di /data/col1/mt1, il client ottiene l'accesso read-only.
Se client1.example.com monta /data/col1/mt1/subdir, il client ottiene l'accesso in lettura/scrittura.
NFSv4 funziona allo stesso modo per quanto riguarda i percorsi di esportazione di livello più alto. Per NFSv4, client1.example.com naviga nel
NFSv4 PseudoFS fino a quando non raggiunge il percorso di esportazione di livello più alto, /data/col1/mt1, dove ottiene l'accesso read-only.
Tuttavia, poiché è stata selezionata l'esportazione, l'esportazione di submount (Mt1-sub) non fa parte di PseudoFS per il client e
Non viene fornito l'accesso in lettura e scrittura.

Best practice
Se il sistema utilizza i submount delle esportazioni NFSv3 per fornire al client l'accesso in lettura/scrittura in base al percorso di mounting, è necessario considerare
questo aspetto prima di utilizzare NFSv4 con queste esportazioni di submount.
Con NFSv4, ogni client dispone di un singolo PseudoFS.

Esportazioni di submount NFSv3 della tabella 
 

Esporta  Percorso Client Options
Mt1 /data/col1/mt1 client1.example.com Ro
Mt1-sub /data/col1/mt1/subdir client2.example.com Rw

 

Configurazione NFSv4

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

 

Aggiornamento di esportazioni esistenti

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.


 

其他信息

Kerberos e NFSv4
Sia NFSv4 che NFSv3 utilizzano il meccanismo di autenticazione Kerberos per proteggere le credenziali utente.
Kerberos impedisce lo spoofing delle credenziali utente nei pacchetti NFS e le protegge da manomissioni durante il percorso verso il
sistema di protezione dei dati.
Esistono diversi tipi di Kerberos su NFS:
Kerberos 5 (sec=krb5)
Utilizzare Kerberos per le credenziali utente.
Kerberos 5 con integrità (sec=krb5i)
Utilizzare Kerberos e controllare l'integrità del payload NFS utilizzando un checksum crittografato.
Kerberos 5 con sicurezza (sec=krb5p)
Utilizzare Kerberos 5 con integrità e crittografare l'intero payload NFS.
NOTA: krb5i e krb5p possono entrambi causare una riduzione delle prestazioni a causa di un overhead computazionale aggiuntivo su entrambi i
Client NFS e sistema di protezione.
 

ADandNFSv4.png

Configurazione di Kerberos con un KDC basato su Linux
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.


Configurazione di Kerberos con un KDC basato su Linux
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5


Configurazione di Kerberos con un KDC basato su Linux
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4


Abilitazione di Active Directory
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Configurazione di Active Directory
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.

 

 
 

受影响的产品

Data Domain
文章属性
文章编号: 000208505
文章类型: How To
上次修改时间: 02 4月 2024
版本:  2
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。