Data Domain – Einführung in NFSv4

Mehrere Faktoren können beeinflussen, ob Sie NFSv4 oder NFSv3 auswählen:
● NFS-Client-Unterstützung
Einige NFS-Clients unterstützen möglicherweise nur NFSv3 oder NFSv4 oder funktionieren besser mit einer Version.
● Betriebliche Anforderungen
Ein Unternehmen kann streng standardisiert sein, um entweder NFSv4 oder NFSv3 zu verwenden.
● Sicherheit
Wenn Sie mehr Sicherheit benötigen, bietet NFSv4 eine höhere Sicherheitsstufe als NFSv3, einschließlich ACL und erweiterter Eigentümer- und
Gruppenkonfiguration.
● Funktionsanforderungen
Wenn Sie eine Bytebereichssperre oder UTF-8-Dateien benötigen, sollten Sie NFSv4 wählen.
● NFSv3-Submounts Wenn Ihre vorhandene Konfiguration NFSv3-Submounts
verwendet, ist NFSv3 möglicherweise die richtige Wahl.

NFSv4 im Vergleich zu NFSv3
NFSv4 bietet im Vergleich zu NFSv3 erweiterte Funktionen.
In der folgenden Tabelle werden die NFSv3-Funktionen mit denen für NFSv4 verglichen.

Tabelle NFSv4 im Vergleich zu NFSv3

NFSv4-Anschlüsse
Sie können NFSv4 und NFSv3 unabhängig voneinander aktivieren oder deaktivieren. Darüber hinaus können Sie NFS-Versionen auf andere Ports verschieben. beides
Versionen müssen nicht denselben Port belegen.
Mit NFSv4 müssen Sie das Dateisystem nicht neu starten, wenn Sie Ports ändern. In solchen Fällen ist nur ein NFS-Neustart erforderlich.
Wie NFSv3 wird NFSv4 standardmäßig auf Port 2049 ausgeführt, wenn dieser aktiviert ist.
NFSv4 verwendet weder portmapper (Port 111) noch mountd (Port 2052).

Übersicht über
die ID-ZuordnungNFSv4 identifiziert Eigentümer und Gruppen anhand eines gemeinsamen externen Formats, z. B. joe@example.com. Diese gängigen Formate sind:
Identifikatoren oder IDs genannt.
Kennungen werden in einem NFS-Server gespeichert und verwenden interne Darstellungen wie ID 12345 oder ID S-123-33-667-2. Das
Die Konvertierung zwischen internen und externen Kennungen wird als ID-Mapping bezeichnet.
Kennungen sind mit Folgendem verknüpft:
● Eigentümer von Dateien und Verzeichnissen
● Eigentümergruppen von Dateien und Verzeichnissen
● Einträge in Zugriffskontrolllisten (ACLs)
Schutzsysteme verwenden ein gemeinsames internes Format für NFS- und CIFS/SMB-Protokolle, mit dem Dateien und Verzeichnissezwischen NFS und CIFS/SMB gemeinsam genutzt werden können
. Jedes Protokoll konvertiert das interne Format in ein eigenes externes Format mit einer eigenen ID.
Zuordnung.
 

Externe Formate
Das externe Format für NFSv4-Kennungen entspricht NFSv4-Standards (z. B. RFC-7530 für NFSv4.0). Darüber hinaus
werden ergänzende Formate für die Interoperabilität unterstützt.

Standard-Kennungsformate

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

Alternative Formate
Um Interoperabilität zu ermöglichen, unterstützen NFSv4-Server auf Schutzsystemen einige alternative Kennungsformate für Eingabe und Ausgabe.
● Numerische Kennungen, z. B. "12345".
● Windows-kompatible Sicherheitskennungen (SIDs), ausgedrückt als "S-NNN-NNN-..."
Weitere Informationen zu Einschränkungen dieser Formate finden Sie in den Abschnitten zur Eingabezuordnung und Ausgabezuordnung.

Formate
für interne KennungenDas DD-Dateisystem speichert Kennungen für jedes Objekt (Datei oder Verzeichnis) im Dateisystem. Alle Objekte haben einen numerischen Nutzer
ID (UID) und Gruppen-ID (GID). Zusammen mit einer Reihe von Modusbits ermöglichen diese die herkömmliche UNIX/Linux-Identifizierung und den herkömmlichen UNIX/Linux-Zugriff
Steuerelemente.
Objekte, die vom CIFS/SMB-Protokoll oder vom NFSv4-Protokoll erstellt werden, wenn NFSv4-ACLs aktiviert sind, verfügen auch über eine erweiterte
Sicherheitsdeskriptor (SD). Jede SD enthält Folgendes:
● Eine Eigentümer-Sicherheitskennung (SID)
● Eine Eigentümergruppen-SID
● Eine diskretionäre ACL (DACL)
● (Optional) Eine System-ACL (SACL)
Jede SID enthält eine relative ID (RID) und eine eindeutige Domäne, ähnlich wie bei Windows-SIDs. Weitere Informationen finden Sie im Abschnitt zu NFSv4 und
CIFS-Interoperabilität für weitere Informationen zu SIDs und zur Zuordnung von SIDs.
Wenn die ID-Zuordnung auftritt
Der NFSv4-Server des Schutzsystems führt unter den folgenden Umständen eine Zuordnung durch:
● Input-Mapping
Der NFS-Server erhält eine Kennung von einem NFSv4-Client. 
● Output-Mapping:
Eine Kennung wird vom NFS-Server an den NFSv4-Client gesendet. 
● Zuordnung
von Anmeldeinformationen: Die Anmeldedaten des RPC-Clients werden für die Zugriffskontrolle und andere Vorgänge einer internen Identität zugeordnet.

Eingabezuordnung
Die Eingabezuordnung erfolgt, wenn ein NFSv4-Client eine Kennung an den NFSv4-Server des Schutzsystems sendet und dadurch beispielsweise den Eigentümer
oder die Eigentümergruppe einer Datei einrichtet. Die Eingabezuordnung unterscheidet sich von der Zuordnung von Anmeldeinformationen.
Standardformatkennungen wie joe@mycorp.com werden basierend auf der konfigurierten
Konvertierungsregeln. Wenn NFSv4-ACLs aktiviert sind, wird auch eine SID basierend auf den konfigurierten Konvertierungsregeln erzeugt.
Numerische Kennungen (z. B. "12345") werden direkt in entsprechende UID/GIDs konvertiert, wenn der Client nicht Kerberos
verwendetAuthentifizierung. Wenn Kerberos verwendet wird, wird ein Fehler erzeugt, wie vom NFSv4-Standard empfohlen. Wenn NFSv4-ACLs
aktiviert ist, wird basierend auf den Konvertierungsregeln eine SID generiert.
Windows-SIDs (z. B. "S-NNN-NNN-...") werden validiert und direkt in die entsprechenden SIDs konvertiert. Basierendauf den Konvertierungsregeln wird
eine UID/GIDgeneriert.

Ausgabezuordnung

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

Zuordnung
von AnmeldeinformationenDer NFSv4-Server stellt die Zugangsdaten für den NFSv4-Client bereit.
Diese Zugangsdaten führen die folgenden Funktionen aus:
● Bestimmen Sie die Zugriffsrichtlinie für den Vorgang, z. B. die Möglichkeit, eine Datei zu lesen.
● Bestimmen Sie den Standard-Owner und die Owner-Gruppe für neue Dateien und Verzeichnisse.
Die vom Client gesendeten Anmeldeinformationen können john_doe@mycorp.com sein oder Systemanmeldeinformationen wie UID=1000, GID=2000.
Systemanmeldeinformationen geben eine UID/GID zusammen mit Hilfsgruppen-IDs an.
Wenn NFSv4-ACLs deaktiviert sind, werden die UID/GID und die Hilfsgruppen-IDs für die Anmeldeinformationen verwendet.

Wenn NFSv4-ACLs aktiviert sind, werden die konfigurierten Zuordnungsservices verwendet, um eine erweiterte Sicherheitsbeschreibung für die
Anmeldeinformationen:
● SIDs für den Eigentümer, die Eigentümergruppe und die Hilfsgruppe wurden zugeordnet und dem Sicherheitsdeskriptor (SD) hinzugefügt.
● Berechtigungen für Anmeldeinformationen, falls vorhanden, werden dem SD hinzugefügt.
NFSv4- und CIFS/SMB-Interoperabilität
Die von NFSv4 und CIFS verwendeten Sicherheitsdeskriptoren ähneln sich aus Sicht der ID-Zuordnung, obwohl es Unterschiede gibt.
Sie sollten Folgendes beachten, um eine optimale Interoperabilität zu gewährleisten:
● Active Directory sollte sowohl für CIFS als auch für NFSv4 konfiguriert werden und der NFS-ID-Mapper sollte so konfiguriert werden, dass Active
Directory für die ID-Zuordnung verwendet wird.
● Wenn Sie CIFS-ACLs ausgiebig verwenden, können Sie die Kompatibilität in der Regel verbessern, indem Sie auch NFSv4-ACLs aktivieren.
○ Durch das Aktivieren von NFSv4-ACLs können NFSv4-Anmeldedaten bei der Auswertung des DACL-Zugriffs der entsprechenden SID zugeordnet werden.
● Der CIFS-Server erhält vom CIFS-Client Anmeldedaten, einschließlich Standard-ACL und Nutzerberechtigungen.
○ Im Gegensatz dazu empfängt der NFSv4-Server einen begrenzteren Satz von Anmeldedaten und erstellt Anmeldedaten zur Laufzeit mithilfe seines
ID-Mappers. Aus diesem Grund erkennt das Dateisystem möglicherweise unterschiedliche Anmeldeinformationen.

CIFS/SMB Active Directory-Integration

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

Standard-DACL für NFSv4
NFSv4 legt eine andere Standard-DACL (Discretionary Access Control List) als die von CIFS bereitgestellte Standard-DACL fest.
Nur OWNER@, GROUP@ und EVERYONE@ werden in der NFSv4-Standard-DACL definiert. Sie können ACL-Vererbung für Folgendes verwenden:
Fügen Sie bei Bedarf standardmäßig automatisch CIFS-signifikante ACEs hinzu.
Systemstandard-SIDs
Dateien und Verzeichnisse, die von NFSv3 und NFSv4 ohne ACLs erstellt werden, verwenden die Standardsystemdomain, die
manchmal auch alsStandard-UNIX-Domain:
● Benutzer-SIDs in der Systemdomäne haben das Format S-1-22-1-N, wobei N die UID ist.
● Gruppen-SIDs in der Systemdomäne haben das Format S-1-22-2-N, wenn N die GID ist.
Beispielsweise hätte ein Nutzer mit UID 1234 die Eigentümer-SID S-1-22-1-1234.
Gemeinsame Kennungen in NFSv4-ACLs und -SIDs
Die EVERYONE@-Kennung und andere spezielle Kennungen (z. B. BATCH@) in NFSv4-ACLs verwenden das Äquivalent
CIFS-SIDS und kompatibel sind.
Die OWNER@- und GROUP@-Kennungen haben keine direkte Entsprechung in CIFS. Sie werden als aktueller Eigentümer und aktueller
Eigentümergruppe der Datei oder des Verzeichnisses.
 

NFS-Referrals
Die Verweisfunktion ermöglicht einem NFSv4-Client den Zugriff auf einen Export (oder ein Dateisystem) an einem oder mehreren Speicherorten. Standorte können sich auf
auf demselben NFS-Server oder auf verschiedenen NFS-Servern und verwenden Sie denselben oder einen anderen Pfad, um den Export zu erreichen.
Da es sich bei Verweisen um eine NFSv4-Funktion handelt, gelten sie nur für NFSv4-Mounts.
Verweise können an jeden Server erfolgen, der NFSv4 oder höher verwendet, einschließlich der folgenden:
● Ein Schutzsystem, auf dem NFS mit aktiviertem
NFSv4 ausgeführt wird● Andere Server, die NFSv4 unterstützen, einschließlich Linux-Server, NAS-Appliances und VNX-Systeme.
Ein Verweis kann einen NFS-Exportpunkt mit oder ohne aktuellen zugrunde liegenden Pfad im DD-Dateisystem verwenden.
NFS-Exporte mit Verweisen können über NFSv3 gemountet werden, aber NFSv3-Clients werden nicht umgeleitet, da Verweise ein NFSv4
sindFeature. Diese Eigenschaft ist in Scale-out-Systemen nützlich, damit Exporte auf Dateimanagementebene umgeleitet werden können.

Referral-Speicherorte
NFSv4-Verweise haben immer einen oder mehrere Standorte.
Diese Speicherorte bestehen aus Folgendem:
● Ein Pfad auf einem entfernten NFS-Server zum angegebenen Dateisystem.
● Eine oder mehrere Servernetzwerkadressen, die es dem Client ermöglichen, den Remote-NFS-Server zu erreichen.
Wenn mehrere Serveradressen demselben Speicherort zugeordnet sind, befinden sich diese Adressen in der Regel auf demselben NFS
Server.
Referral-Speicherortnamen
Sie können jeden Verweisspeicherort innerhalb eines NFS-Exports benennen. Sie können den Namen verwenden, um auf den Verweis zuzugreifen sowie
umLöschen Sie ihn.
Ein Verweisname darf maximal 80 Zeichen aus den folgenden Zeichensätzen enthalten:
● a-z
● A-Z
● 0-9
● "."
● ","
● "_"
● "-"
HINWEIS: Sie können Leerzeichen einfügen, solange diese Leerzeichen in den Namen eingebettet sind. Wenn Sie eingebettete Leerzeichen verwenden, können Sie
muss den gesamten Namen in doppelte Anführungszeichen setzen.
Namen, die mit "." beginnen, sind für die automatische Erstellung durch das Schutzsystem reserviert. Sie können diese Namen löschen, aber Sie müssen
Sie können nicht über die Befehlszeilenschnittstelle (CLI) oder die Systemmanagementservices (SMS) erstellt oder geändert werden.
 

Referrals und Scale-out-Systeme
NFSv4-Verweise und -Speicherorte ermöglichen den Zugriff besser, wenn Sie Ihre Schutzsysteme horizontal skalieren.
Da Ihr System möglicherweise bereits einen globalen Namespace enthält oder auch nicht, beschreiben die folgenden beiden Szenarien eine Vorgehensweise
verwendet möglicherweise NFSv4-Verweise:
● Ihr System enthält keinen globalen Namensraum.
○ Sie können NFSv4-Verweise verwenden, um diesen globalen Namespace zu erstellen. Systemadministratoren können diese globalen Namespaces erstellen oder
Sie können Smart System Manager (SM)-Elementerstellungsverweise nach Bedarf verwenden.
● Ihr System verfügt bereits über einen globalen Namensraum.
○ Wenn Ihr System über einen globalen Namespace mit MTrees in bestimmten Nodes verfügt, können NFS-Verweise erstellt werden, umden Zugriff auf diese MTrees auf die Nodes umzuleiten
, die dem Scale-out-System hinzugefügt wurden. Sie können diese Verweise erstellen oder über sie
verfügenwird automatisch innerhalb von NFS durchgeführt, wenn die erforderlichen SM- oder Dateimanagerinformationen (FM) verfügbar sind.

NFSv4 und hohe Verfügbarkeit
Mit NFSv4 werden Protokollexporte (z. B. /data/col1/<mtree>) in einem HA-Setup (High Availability) gespiegelt. Jedoch
Konfigurationsexporte wie /ddvar werden nicht gespiegelt.
Das /ddvar-Dateisystem ist für jeden Node eines HA-Paars eindeutig. Infolgedessen werden /ddvar-Exporte und der damit verbundene Clientzugriff
Listen werden in einer HA-Umgebung nicht auf den Stand-by-Node gespiegelt.
Die Informationen in /ddvar werden veraltet, wenn der aktive Node ein Failover zum Stand-by-Node durchführt. Gewährte
ClientberechtigungenDie Datei /ddvar auf dem ursprünglichen aktiven Node muss nach einem Failover auf dem neu aktiven Node neu erstellt werden.
Sie müssen auch alle zusätzlichen /ddvar-Exporte und ihre Clients (z. B. /ddvar/core) hinzufügen, die auf der
Wechseln Sie nach einem Failover vom ursprünglichen aktiven Node zum neu aktiven Node.
Schließlich müssen alle gewünschten /ddvar-Exporte vom Client unmountet und nach einem Failover erneut gemountet werden.

Globale NFSv4-Namespaces
Der NFSv4-Server bietet eine virtuelle Verzeichnisstruktur, die als PseudoFS bezeichnet wird, um NFS-Exporte mit einem durchsuchbaren Satz von Pfaden zu verbinden.
Die Verwendung eines PseudoFS unterscheidet NFSv4 von NFSv3, das das MOUNTD-Hilfsprotokoll verwendet.
In den meisten Konfigurationen ist der Wechsel vom NFSv3 MOUNTD zum globalen NFSv4-Namespace transparent und wird automatisch
verarbeitetdurch den NFSv4-Client und -Server.
 

Globale NFSv4-Namespaces und NFSv3-Submounts
Wenn Sie NFSv3-Export-Submounts verwenden, verhindert die Eigenschaft für globale Namespaces von NFSv4 möglicherweise, dass Submountsauf dem NFSv4-Mount angezeigt
werden.
NFSv3-Hauptexporte und Submount-Exporte
Wenn NFSv3 über einen Hauptexport und einen Submount-Export verfügt, verwenden diese Exporte möglicherweise dieselben NFSv3-Clients, haben jedoch unterschiedliche Ebenen von
Zugriff:

Tabelle NFSv3-Hauptexporte und Submount-Exporte 

In der obigen Tabelle gilt Folgendes für NFSv3:
● Wenn client1.example.com /data/col1/mt1 mountet, erhält der Client schreibgeschützten Zugriff.
● Wenn client1.example.com /data/col1/mt1/subdir mountet, erhält der Client Lese-/Schreibzugriff.
NFSv4 verhält sich in Bezug auf Exportpfade der höchsten Ebene gleich. Bei NFSv4 navigiert client1.example.com durch die
NFSv4 PseudoFS, bis der Exportpfad der obersten Ebene, /data/col1/mt1, erreicht ist und schreibgeschützten Zugriff erhält.
Da der Export jedoch ausgewählt wurde, ist der Submount-Export (Mt1-sub) nicht Teil des PseudoFS für den Client und
Lese-/Schreibzugriff ist nicht vergeben.

Best Practices
Wenn Ihr System NFSv3-Export-Submounts verwendet, um dem Client Lese-/Schreibzugriff basierend auf dem Mount-Pfad zu gewähren, müssen Sie dies berücksichtigen
,bevor Sie NFSv4 mit diesen Submount-Exporten verwenden.
Bei NFSv4 verfügt jeder Client über ein eigenes PseudoFS.

Tabelle NFSv3-Submount-Exporte 
 

NFSv4-Konfiguration

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

Aktualisieren vorhandener Exporte

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos und NFSv4
Sowohl NFSv4 als auch NFSv3 verwenden den Kerberos-Authentifizierungsmechanismus zum Sichern von Nutzeranmeldedaten.
Kerberos verhindert, dass Nutzerzugangsdaten in NFS-Paketen gefälscht werden, und schützt sie vor Manipulationen auf dem
Weg zumSchutzsystem.
Es gibt verschiedene Arten von Kerberos über NFS:
● Kerberos 5 (sec = krb5)
Verwenden Sie Kerberos für Nutzeranmeldedaten.
● Kerberos 5 mit Integrität (SEK = krb5i)
Verwenden Sie Kerberos und überprüfen Sie die Integrität der NFS-Payload mithilfe einer verschlüsselten Prüfsumme.
● Kerberos 5 mit Sicherheit (sec = krb5p)
Verwenden Sie Kerberos 5 mit Integrität und verschlüsseln Sie die gesamte NFS-Payload.
HINWEIS: krb5i und krb5p können beide zu einer Performanceverschlechterung aufgrund von zusätzlichem Rechenaufwand auf beiden
NFS-Client und Schutzsystem.
 

Konfigurieren von Kerberos mit einem Linux-basierten KDC
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

Konfigurieren von Kerberos mit einem Linux-basierten KDC
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

Konfigurieren von Kerberos mit einem Linux-basierten KDC
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Active Directory aktivieren
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Konfigurieren von Active Directory
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.