Data Domain - NFSv4 소개
摘要: NFS 클라이언트는 점차 NFSv4.x를 기본 NFS 프로토콜 레벨로 사용하기 때문에 이제 보호 시스템에서 클라이언트가 이전 버전과의 호환성 모드에서 작동할 필요가 없습니다. 클라이언트는 혼합 환경에서 작동할 수 있습니다. 즉, NFSv4와 NFSv3가 동일한 NFS 내보내기에 액세스할 수 있어야 합니다. 사이트 요구 사항에 따라 NFSv4 및 NFSv3을 지원하도록 DDOS NFS 서버를 구성할 수 있습니다. 각각을 만들 수 있습니다. NFS 내보내기는 NFSv4 클라이언트만, NFSv3 클라이언트만 또는 둘 다에서 사용할 수 있습니다. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
NFSv4를 선택할지, NFSv3를 선택할지는 몇 가지 요인에 따라 달라질 수 있습니다.
● NFS 클라이언트 지원
일부 NFS 클라이언트는 NFSv3 또는 NFSv4만 지원하거나 한 버전에서 더 잘 작동할 수 있습니다.
● 운영 요구 사항
기업은 NFSv4 또는 NFSv3을 사용하도록 엄격하게 표준화될 수 있습니다.
● 보안
더 강력한 보안이 필요한 경우 NFSv4는 ACL, 확장된 소유자 및
그룹 구성을 포함하여 NFSv3보다 더 높은 보안 수준을 제공합니다.
● 기능 요구 사항
바이트 범위 잠금 또는 UTF-8 파일이 필요한 경우 NFSv4를 선택해야 합니다.
• NFSv3 서브 마운트:
기존 구성에서 NFSv3 서브 마운트를 사용하는 경우 NFSv3를 선택하는 것이 적합할 수 있습니다.
NFSv4와 NFSv3
의 비교NFSv4는 NFSv3에 비해 향상된 기능을 제공합니다.
다음 표에서는 NFSv3의 기능과 NFSv4의 기능을 비교합니다.
테이블 NFSv4와 NFSv3의 비교
| 기능 | NFSv3 | NFSv4 |
| 표준 기반 네트워크 파일 시스템 | 예 | 예 |
| Kerberos 지원 | 예 | 예 |
| LDAP를 사용하는 Kerberos | 예 | 예 |
| 할당량 보고 | 예 | 예 |
| 클라이언트 기반 액세스 목록을 사용하는 다중 내보내기 | 예 | 예 |
| ID 매핑 | 예 | 예 |
| UTF-8 문자 지원 | 아니요 | 예 |
| 파일/디렉토리 기반 ACL(Access Control List) | 아니요 | 예 |
| 확장 소유자/그룹(OWNER@) | 아니요 | 예 |
| 파일 공유 잠금 | 아니요 | 예 |
| 바이트 범위 잠금 | 아니요 | 예 |
| DD-CIFS 통합(잠금, ACL, AD) | 아니요 | 예 |
| 상태 저장 파일 열기 및 복구 | 아니요 | 예 |
| 글로벌 네임스페이스 및 pseudoFS | 아니요 | 예 |
| 조회를 사용하는 다중 시스템 네임스페이스 | 아니요 | 예 |
NFSv4 포트
NFSv4 및 NFSv3를 독립적으로 활성화하거나 비활성화할 수 있습니다. 또한 NFS 버전을 서로 다른 포트로 이동할 수 있습니다.
버전은 동일한 포트를 차지할 필요가 없습니다.
NFSv4를 사용하면 포트를 변경할 때 파일 시스템을 재시작할 필요가 없습니다. 이러한 경우 NFS를 재시작하기만 하면 됩니다.
NFSv3와 마찬가지로 NFSv4는 포트 2049가 활성화된 경우 기본값으로 실행됩니다.
NFSv4는 portmapper(포트 111) 또는 mountd(포트 2052)를 사용하지 않습니다.
ID 매핑 개요
NFSv4는 joe@example.com 와 같은 일반적인 외부 형식으로 소유자와 그룹을 식별합니다. 이러한 일반적인 형식은 다음과 같습니다.
식별자 또는 ID라고 합니다.
식별자는 NFS 서버 내에 저장되며 ID 12345 또는 ID S-123-33-667-2와 같은 내부 표현을 사용합니다. Tthe
내부 식별자와 외부 식별자 간의 변환을 ID 매핑이라고 합니다.
식별자는 다음과
관련이 있습니다.● 파일 및 디렉토리
의 소유자● 파일 및 디렉토리
의 소유자 그룹● ACL(Access Control List)
의 항목보호 시스템은 NFS 및 CIFS/SMB 프로토콜에 공통 내부 형식을 사용하므로 NFS와 CIFS/SMB 간에 파일 및 디렉토리를 공유할 수
있습니다. 각 프로토콜은 내부 형식을 자체 ID가 있는 자체 외부 형식으로 변환합니다
매핑.
외부 형식
NFSv4 식별자의 외부 형식은 NFSv4 표준(예: NFSv4.0의 경우 RFC-7530)을 따릅니다. 또한
상호 운용성을 위해 보조 형식이 지원됩니다.
표준 식별자 형식
Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.
대체 형식
상호 운용성을 위해 보호 시스템의 NFSv4 서버는 입력 및 출력에 대한 몇 가지 대체 식별자 형식을 지원합니다.
● 숫자 식별자; 예: "12345".
● Windows 호환 "S-NNN-NNN-..."
로 표현되는 보안 식별자(SID) 이러한 형식에 대한 제한 사항에 대한 자세한 내용은 입력 매핑 및 출력 매핑에 대한 섹션을 참조하십시오.
내부 식별자 형식
DD 파일 시스템은 파일 시스템의 각 오브젝트(파일 또는 디렉토리)와 함께 식별자를 저장합니다. 모든 개체에는 숫자 사용자가
있습니다.ID(UID) 및 그룹 ID(GID). 모드 비트 세트와 함께 이를 통해 기존 UNIX/Linux 식별 및 액세스를 수행할 수 있습니다
컨트롤.
NFSv4 ACL이 활성화된 경우 CIFS/SMB 프로토콜 또는 NFSv4 프로토콜에 의해 생성된 객체에도 확장된
SD(Security Descriptor)입니다. 각 SD에는 다음이 포함됩니다.
● 소유자 SID(Security Identifier)
● 소유자 그룹 SID
● DACL(Discretionary ACL)
● (선택 사항) 시스템 ACL(SACL)
각 SID에는 Windows SID와 유사한 방식으로 RID(Relative ID)와 고유한 도메인이 포함되어 있습니다. NFSv4 및
CIFS 상호 운용성에서 SID 및 SID 매핑에 대한 자세한 내용을 참조하십시오.
ID 매핑이 발생하는
경우보호 시스템 NFSv4 서버는 다음과 같은 상황에서 매핑을 수행합니다.
• 입력 매핑
NFS 서버는 NFSv4 클라이언트로부터 식별자를 받습니다.
● 출력 매핑:
식별자가 NFS 서버에서 NFSv4 클라이언트로 전송됩니다.
● 자격 증명 매핑
:RPC 클라이언트 자격 증명은 액세스 제어 및 기타 작업을 위해 내부 ID에 매핑됩니다.
입력 매핑
입력 매핑은 NFSv4 클라이언트가 보호 시스템 NFSv4 서버에 식별자를 보낼 때 발생합니다. 즉, 파일의 소유자
또는 소유자 그룹을 설정하는 등의 작업이 수행됩니다. 입력 매핑은 자격 증명 매핑과 다릅니다.
joe@mycorp.com 와 같은 표준 형식 식별자는 구성된 UID/GID에 따라 내부 UID/GID로 변환됩니다.
변환 규칙. NFSv4 ACL이 활성화된 경우 구성된 변환 규칙에 따라 SID도 생성됩니다.
클라이언트가 Kerberos를 사용하지 않는 경우 숫자 식별자(예: "12345")가 해당 UID/GID로 직접 변환됩니다
인증. Kerberos를 사용하는 경우 NFSv4 표준에서 권장하는 대로 오류가 생성됩니다. NFSv4 ACL이
활성화하면 변환 규칙에 따라 SID가 생성됩니다.
Windows SID(예: "S-NNN-NNN-...")의 유효성을 검사하고 해당 SID로 직접 변환합니다. UID/GID
는 변환 규칙에 따라 생성됩니다.
출력 매핑
Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always
자격 증명 매핑
NFSv4 서버는 NFSv4 클라이언트에 대한 자격 증명을 제공합니다.
이러한 자격 증명은 다음 기능을 수행합니다.
● 작업에 대한 액세스 정책(예: 파일 읽기 기능 결정)
● 새 파일 및 디렉토리에 대한 기본 소유자 및 소유자 그룹을 결정합니다.
클라이언트에서 보낸 자격 증명은 john_doe@mycorp.com 이거나 UID=1000, GID=2000과 같은 시스템 자격 증명일 수 있습니다.
시스템 자격 증명은 보조 그룹 ID와 함께 UID/GID를 지정합니다.
NFSv4 ACL이 비활성화된 경우 UID/GID 및 보조 그룹 ID가 자격 증명에 사용됩니다.
NFSv4 ACL이 활성화된 경우 구성된 매핑 서비스를 사용하여 확장 보안 설명자를 빌드합니다.
자격 증명:
• 소유자, 소유자 그룹 및 보조 그룹에 대한 SID가 매핑되어 SD(Security Descriptor)에 추가되었습니다.
● 자격 증명 권한(있는 경우)이 SD에 추가됩니다.
NFSv4 및 CIFS/SMB 상호 운용성
NFSv4 및 CIFS에서 사용하는 보안 설명자는 ID 매핑 관점에서 유사하지만 차이점이 있습니다.
최적의 상호 운용성을 위해 다음 사항을 알고 있어야 합니다.
● Active Directory는 CIFS 및 NFSv4 모두에 대해 구성해야 하며 NFS ID 매퍼는ID 매핑에 Active
Directory를 사용하도록 구성해야 합니다.
● CIFS ACL을 광범위하게 사용하는 경우 일반적으로 NFSv4 ACL도 활성화하여 호환성을 향상시킬 수 있습니다.
○ NFSv4 ACL을 사용하도록 설정하면 DACL 액세스를 평가할 때 NFSv4 자격 증명을 적절한 SID에 매핑할 수 있습니다.
● CIFS 서버는 CIFS 클라이언트로부터 기본 ACL 및 사용자 권한을 포함한 자격 증명을 받습니다.
○ 반면, NFSv4 서버는 보다 제한된 자격 증명 집합을 수신하고 런타임에ID 매퍼를 사용하여
자격 증명을 구성합니다. 이로 인해 파일 시스템에 다른 자격 증명이 표시될 수 있습니다.
CIFS/SMB Active Directory 통합
The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled
NFSv4
용 기본 DACLNFSv4는 CIFS에서 제공하는 기본 DACL과 다른 기본 DACL(임의 액세스 제어 목록)을 설정합니다.
기본 NFSv4 DACL에는 OWNER@, GROUP@ 및 EVERYONE@만 정의되어 있습니다. ACL 상속을 사용하여 다음을 수행할 수 있습니다.
필요한 경우 기본적으로 CIFS 중요 ACE를 자동으로 추가합니다.
시스템 기본 SID
NFSv3 및 ACL이 없는 NFSv4에 의해 생성된 파일 및 디렉토리는 기본 시스템 도메인을 사용하며,
이를기본 UNIX 도메인:
● 시스템 도메인의 사용자 SID는 S-1-22-1-N 형식을 가지며, 여기서 N은 UID입니다.
• 시스템 도메인의 그룹 SID는 N이 GID일 때 S-1-22-2-N 형식을 갖습니다.
예를 들어 UID가 1234인 사용자의 소유자 SID는 S-1-22-1-1234입니다.
NFSv4 ACL 및 SID
의 일반 식별자NFSv4 ACL의 EVERYONE@ 식별자 및 기타 특수 식별자(예: BATCH@)는 동일한
CIFS SIDS 및 호환이 가능합니다.
OWNER@ 및 GROUP@ 식별자는 CIFS에서 직접 대응하지 않습니다. 현재 소유자 및 현재
소유자로 표시됩니다.파일 또는 디렉토리의 소유자 그룹입니다.
NFS 참조
참조 기능을 사용하면 NFSv4 클라이언트가 하나 이상의 위치에서 내보내기(또는 파일 시스템)에 액세스할 수 있습니다. 위치는 켜져 있을 수 있습니다.
동일하거나 다른 NFS 서버에 있는 동일하거나 다른 경로를 사용하여 내보내기에 도달합니다.
조회는 NFSv4 기능이므로 NFSv4 마운트에만 적용됩니다.
다음을
포함하여 NFSv4 이상을 사용하는 모든 서버에 대한 참조를 수행할 수 있습니다.● NFSv4가 활성화된
상태로 NFS를 실행하는 보호 시스템● Linux 서버, NAS 어플라이언스 및 VNX 시스템을 포함하여 NFSv4를 지원하는 기타 서버.
참조는 DD 파일 시스템의 현재 기본 경로를 포함하거나 포함하지 않고 NFS 내보내기 지점을 사용할 수 있습니다.
참조가 있는 NFS 내보내기는 NFSv3를 통해 마운트할 수 있지만 NFSv3 클라이언트는 NFSv4
이므로 리디렉션되지 않습니다.기능. 이 특성은 파일 관리 수준에서 내보내기를 리디렉션할 수 있는 스케일 아웃 시스템에서 유용합니다.
추천 위치
NFSv4 조회에는 항상 하나 이상의 위치가 있습니다.
이러한 위치는 다음으로 구성됩니다.
● 참조된 파일 시스템에 대한 원격 NFS 서버의 경로.
● 클라이언트가 원격 NFS 서버에 연결할 수 있는 하나 이상의 서버 네트워크 주소
일반적으로 여러 서버 주소가 동일한 위치에 연결된 경우 해당 주소는 동일한 NFS에서 발견됩니다
서버.
참조 위치 이름
NFS 내보내기 내에서 각 참조 위치의 이름을 지정할 수 있습니다. 이 이름을 사용하여 추천에 액세스할 수 있을 뿐만 아니라 수정 또는
삭제하십시오.
조회 이름은 다음 문자 집합에서 최대 80자를 포함할 수 있습니다.
● a-z
● A-Z
● 0-9
● "."
● ","
● "_"
● "-"
참고: 이름에 공백이 포함되어 있는 한 공백을 포함할 수 있습니다. 삽입된 공백
을 사용하는 경우전체 이름을 큰따옴표로 묶어야 합니다.
"." 로 시작하는 이름은 보호 시스템에서 자동으로 생성되도록 예약되어 있습니다. 이러한 이름은 삭제할 수 있지만
CLI(Command Line Interface) 또는 SMS(System Management Services)를 사용하여 생성하거나 수정할 수 없습니다.
참조 및 스케일 아웃 시스템
보호 시스템을 스케일 아웃하는 경우 NFSv4 참조 및 위치를 통해 액세스를 더 효과적으로 활성화할 수 있습니다.
시스템에 전역 네임스페이스가 포함되어 있을 수도 있고 없을 수도 있기 때문에 다음 두 시나리오
에서NFSv4 조회를 사용할 수 있습니다.
● 시스템에 글로벌 네임스페이스가 포함되어 있지 않습니다.
○ NFSv4 조회를 사용하여 해당 글로벌 네임스페이스를 구축할 수 있습니다. 시스템 관리자는 이러한 글로벌 네임스페이스를 구축하거나
필요에 따라 스마트 시스템 관리자(SM) 요소 빌드 참조를 사용할 수 있습니다.
● 시스템에 이미 글로벌 네임스페이스가 있습니다.
○ 시스템에 MTree가 특정 노드에 배치된 글로벌 네임스페이스가 있는 경우, NFS 조회를 생성하여해당 MTree에 대한 액세스를 스케일 아웃 시스템에 추가된 노드로 리디렉션
할 수 있습니다. 이러한 추천을 만들거나 가질 수 있습니다.
필요한 SM 또는 FM(File Manager) 정보를 사용할 수 있는 경우 NFS 내에서 자동으로 수행됩니다.
NFSv4 및 고가용성
NFSv4를 사용하면 프로토콜 내보내기(예: /data/col1/<mtree> )가 HA(High Availability) 설정에 미러링됩니다. 그러나
/ddvar과 같은 구성 내보내기는 미러링되지 않습니다.
/ddvar 파일 시스템은 HA 쌍의 각 노드마다 고유합니다. 결과적으로 /ddvar 내보내기 및 관련 클라이언트 액세스
가목록은 HA 환경에서 대기 노드에 미러링되지 않습니다.
활성 노드가 대기 노드로 페일오버되면 /ddvar의 정보가 유효하지 않게 됩니다. 부여된
모든 클라이언트 사용 권한페일오버가 발생한 후 원래 활성 노드의 /ddvar을 새 활성 노드에서 다시 생성해야 합니다.
또한 에 생성된 /ddvar 내보내기 및 해당 클라이언트(예: /ddvar/core)를 추가해야 합니다.
페일오버가 발생한 후 원래 활성 노드에서 새 활성 노드로.
마지막으로, 원하는 /ddvar 내보내기를 클라이언트에서 마운트 해제한 다음 페일오버가 발생한 후 다시 마운트해야 합니다.
NFSv4 글로벌 네임스페이스
NFSv4 서버는 PseudoFS라는 가상 디렉토리 트리를 제공하여 NFS 내보내기를 검색 가능한 경로 세트로 연결합니다.
PseudoFS를 사용하면 NFSv4와 MOUNTD 보조 프로토콜을 사용하는 NFSv3가 구분됩니다.
대부분의 구성에서 NFSv3 MOUNTD에서 NFSv4 글로벌 네임스페이스로의 변경은 투명하며 자동으로
처리됩니다NFSv4 클라이언트 및 서버에 의해 수행됩니다.
NFSv4 글로벌 네임스페이스 및 NFSv3 하위 마운트
NFSv3 내보내기 하위 마운트를 사용하는 경우 NFSv4의 글로벌 네임스페이스 특성으로 인해 NFSv4 마운트에 하위 마운트가 표시되지
않을 수있습니다.
NFSv3 기본 내보내기 및 하위 마운트 내보내기
NFSv3에 기본 내보내기와 하위 마운트 내보내기가 있는 경우 이러한 내보내기는 동일한 NFSv3 클라이언트를 사용하지만
액세스:
표 NFSv3 기본 내보내기 및 하위 마운트 내보내기
| 내보내기 | 경로 | 클라이언트 | 옵션 |
| 산1 | /데이터/열1/mt1 | client1.example.com | Ro |
| MT1-서브 | /데이터/col1/mt1/subdir | client1.example.com | Rw |
이전 표에서 NFSv3에는 다음 사항이 적용됩니다.
● client1.example.com /data/col1/mt1을 마운트하면 클라이언트는 읽기 전용 액세스 권한을 얻습니다.
● client1.example.com 가 /data/col1/mt1/subdir을 마운트하면 클라이언트는 읽기-쓰기 액세스 권한을 얻습니다.
NFSv4는 최상위 내보내기 경로와 관련하여 동일한 방식으로 작동합니다. NFSv4의 경우 client1.example.com
읽기 전용 액세스 권한을 얻는 최상위 내보내기 경로인 /data/col1/mt1에 도달할 때까지 NFSv4 PseudoFS를 사용합니다.
그러나 내보내기가 선택되었기 때문에 하위 마운트 내보내기(Mt1-sub)는 클라이언트에 대한 PseudoFS의 일부가 아니며
읽기-쓰기 액세스 권한이 부여되지 않습니다.
Best Practice
시스템에서 NFSv3 내보내기 하위 마운트를 사용하여 마운트 경로에 따라 클라이언트에 읽기-쓰기 액세스 권한을 부여하는 경우이러한 하위 마운트 내보내기와 함께 NFSv4를 사용하기 전에 이 점을 고려해야
합니다.
NFSv4에서는 각 클라이언트에 개별 PseudoFS가 있습니다.
표 NFSv3 하위 마운트 내보내기
| 내보내기 | 경로 | 클라이언트 | 옵션 |
| 산1 | /데이터/열1/mt1 | client1.example.com | Ro |
| MT1-서브 | /데이터/col1/mt1/subdir | client2.example.com | Rw |
NFSv4 구성
The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.
기존 내보내기 업데이트
You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.
其他信息
Kerberos 및 NFSv4
NFSv4와 NFSv3 모두 Kerberos 인증 메커니즘을 사용하여 사용자 자격 증명을 보호합니다.
Kerberos는 사용자 자격 증명이 NFS 패킷에서 스푸핑되지 않도록 방지하고
보호 시스템.
NFS 기반 Kerberos에는 다음과 같은 여러 가지 유형이 있습니다.
● Kerberos 5 (sec=krb5)
사용자 자격 증명에 Kerberos를 사용합니다.
● Kerberos 5 with integrity (sec=krb5i)Kerberos
를 사용하고 암호화된 체크섬을 사용하여 NFS 페이로드의 무결성을 확인합니다.
● Kerberos 5 with security (sec=krb5p)
Kerberos 5 with integrity 를 사용하고 전체 NFS 페이로드를 암호화합니다.
참고: krb5i 및 krb5p 모두 추가 계산 오버헤드로 인해 성능 저하를 일으킬 수 있습니다.
NFS 클라이언트 및 보호 시스템.
Linux 기반 KDC를 사용한 Kerberos 구성
Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.
Linux 기반 KDC를 사용한 Kerberos 구성
Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5
Linux 기반 KDC를 사용한 Kerberos 구성
Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4
Active Directory 활성화
About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled
Active Directory 구성
Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.
受影响的产品
Data Domain文章属性
文章编号: 000208505
文章类型: How To
上次修改时间: 02 4月 2024
版本: 2
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。