Data Domain - Inleiding tot NFSv4

Verschillende factoren kunnen van invloed zijn op de vraag of u NFSv4 of NFSv3 kiest:
● NFS-clientondersteuning
Sommige NFS-clients ondersteunen mogelijk alleen NFSv3 of NFSv4 of werken beter met één versie.
● Operationele vereisten
Een onderneming kan strikt gestandaardiseerd zijn om NFSv4 of NFSv3 te gebruiken.
● Beveiliging
Als u meer beveiliging nodig hebt, biedt NFSv4 een hoger beveiligingsniveau dan NFSv3, inclusief ACL en uitgebreide eigenaars- en
groepsconfiguratie.
● Functievereisten
Als u byte-range-vergrendeling of UTF-8-bestanden nodig hebt, moet u NFSv4 kiezen.
● NFSv3-submounts
Als uw bestaande configuratie NFSv3-submounts gebruikt, is NFSv3 mogelijk de juiste keuze.

NFSv4 vergeleken met NFSv3
NFSv4 biedt verbeterde functionaliteit en functies in vergelijking met NFSv3.
In de volgende tabel worden NFSv3-functies vergeleken met die voor NFSv4.

Tabel NFSv4 vergeleken met NFSv3

NFSv4-poorten
U kunt NFSv4 en NFSv3 onafhankelijk in- of uitschakelen. Daarnaast kunt u NFS-versies naar verschillende poorten verplaatsen; beide
Versies hoeven niet dezelfde poort in te nemen.
Met NFSv4 hoeft u het bestandssysteem niet opnieuw op te starten als u van poort wisselt. In dergelijke gevallen is alleen een NFS-herstart vereist.
Net als NFSv3 wordt NFSv4 standaard uitgevoerd op poort 2049 als deze is ingeschakeld.
NFSv4 maakt geen gebruik van portmapper (poort 111) of gemount (poort 2052).

Overzicht ID-toewijzing
NFSv4 identificeert eigenaren en groepen aan de hand van een algemene externe indeling, zoals joe@example.com. Deze veelgebruikte indelingen zijn:
ook wel ID's of ID's genoemd.
ID's worden opgeslagen op een NFS-server en maken gebruik van interne representaties zoals ID 12345 of ID S-123-33-667-2. De
conversie tussen interne en externe ID's staat bekend als ID-mapping.
ID's zijn gekoppeld aan het volgende:
● Eigenaren van bestanden en directory's
● Eigenaarsgroepen van bestanden en directory's
● Vermeldingen in toegangscontrolelijsten (ACL's)
Beveiligingssystemen gebruiken een gemeenschappelijk intern formaat voor NFS- en CIFS/SMB-protocollen, waardoor bestanden en mappen kunnen worden
gedeeld tussen NFS en CIFS/SMB. Elk protocol converteert de interne indeling naar een eigen externe indeling met een eigen ID
Toewijzing.
 

Externe indelingen
De externe indeling voor NFSv4-identifiers volgt NFSv4-standaarden (bijvoorbeeld RFC-7530 voor NFSv4.0). Bovendien
worden aanvullende formaten ondersteund voor interoperabiliteit.

Standaardidentificatie-indelingen

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

Alternatieve formaten
Om interoperabiliteit mogelijk te maken, ondersteunen NFSv4-servers op beveiligingssystemen een aantal alternatieve identificatie-indelingen voor invoer en uitvoer.
● Numerieke identificatiegegevens; bijvoorbeeld "12345".
● Windows-compatibele beveiligings-ID's (SID's) uitgedrukt als "S-NNN-NNN-..."
Zie de secties over invoertoewijzing en uitvoertoewijzing voor meer informatie over beperkingen voor deze indelingen.

Interne identificatorindelingen
Het DD-bestandssysteem slaat identifiers op met elk object (bestand of map) in het bestandssysteem. Alle objecten hebben een numerieke gebruiker
ID (UID) en groeps-ID (GID). Deze, samen met een set modebits, maken traditionele UNIX/Linux-identificatie en -toegang
mogelijkBesturingselementen.
Objecten die zijn gemaakt door het CIFS/SMB-protocol of door het NFSv4-protocol wanneer NFSv4 ACL's zijn ingeschakeld, hebben ook een uitgebreide
beveiligingsdescriptor (SD). Elke SD bevat het volgende:
● Een owner security identifier (SID)
● Een SID
van de eigenaarsgroep● Een discretionaire ACL (DACL)
● (optioneel) Een systeem-ACL (SACL)Elke SID bevat een relatieve ID (RID) en een apart domein op een vergelijkbare manier als Windows SID's.
Zie het gedeelte over NFSv4 en
CIFS-interoperabiliteit voor meer informatie over SID's en het in kaart brengen van SID's.
Wanneer ID-toewijzing plaatsvindt
De NFSv4-server van het beveiligingssysteem voert toewijzing uit in de volgende omstandigheden:
● Invoertoewijzing
De NFS-server ontvangt een identifier van een NFSv4-client. 
● Uitvoertoewijzing
: een id wordt verzonden van de NFS-server naar de NFSv4-client. 
● Credential mapping
De RPC-clientreferenties worden toegewezen aan een interne identiteit voor toegangscontrole en andere bewerkingen.

Toewijzing van invoer
Invoertoewijzing vindt plaats wanneer een NFSv4-client een id naar de NFSv4-server van het beveiligingssysteem verzendt, bijvoorbeeld door de eigenaar
of eigenaarsgroep van een bestand in te stellen. Invoertoewijzing verschilt van referentietoewijzing.
Standaardformaat-ID's zoals joe@mycorp.com worden geconverteerd naar een interne UID/GID op basis van de geconfigureerde
Conversie regels. Als NFSv4 ACL's zijn ingeschakeld, wordt er ook een SID gegenereerd op basis van de geconfigureerde conversieregels.
Numerieke id's (bijvoorbeeld "12345") worden direct geconverteerd naar corresponderende UID/GID's als de client geen Kerberos
gebruiktVerificatie. Als Kerberos wordt gebruikt, wordt er een fout gegenereerd zoals aanbevolen door de NFSv4-standaard. Als NFSv4 ACL's
ingeschakeld, wordt een SID gegenereerd op basis van de conversieregels.
Windows SID's (bijvoorbeeld "S-NNN-NNN-...") worden gevalideerd en direct geconverteerd naar de bijbehorende SID's. Er wordt
een UID/GIDgegenereerd op basis van de conversieregels.

Toewijzing van uitvoer

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

Credential mapping
De NFSv4-server levert referenties voor de NFSv4-client.
Deze referenties voeren de volgende functies uit:
● Bepaal het toegangsbeleid voor de bewerking; bijvoorbeeld de mogelijkheid om een bestand te lezen.
● Bepaal de standaard eigenaar en eigenaarsgroep voor nieuwe bestanden en directories.
Referenties die door de client worden verzonden, kunnen john_doe@mycorp.com of systeemreferenties zijn, zoals UID=1000, GID=2000.
Systeemreferenties specificeren een UID/GID samen met hulpgroep-ID's.
Als NFSv4 ACL's zijn uitgeschakeld, worden de UID/GID- en hulpgroep-ID's gebruikt voor de referenties.

Als NFSv4 ACL's zijn ingeschakeld, worden de geconfigureerde toewijzingsservices gebruikt om een uitgebreide beveiligingsdescriptor te bouwen voor de
Referenties:
● SID's voor de eigenaar, eigenaarsgroep en hulpgroep die zijn toegewezen en toegevoegd aan de Security Descriptor (SD).
● Referentierechten, indien van toepassing, worden toegevoegd aan de SD.
Interoperabiliteit
NFSv4 en CIFS/SMBDe beveiligingsdescriptoren die worden gebruikt door NFSv4 en CIFS zijn vergelijkbaar vanuit het perspectief van ID-toewijzing, hoewel er verschillen zijn.
Voor een optimale interoperabiliteit moet u rekening houden met het volgende:
● Active Directory moet worden geconfigureerd voor zowel CIFS als NFSv4 en de NFS ID-mapper moet worden geconfigureerd om Active
Directory te gebruiken voor ID-toewijzing.
● Als u veel CIFS-ACL's gebruikt, kunt u de compatibiliteit meestal verbeteren door ook NFSv4-ACL's in te schakelen.
○ Door NFSv4 ACL's in te schakelen, kunnen NFSv4-referenties worden toegewezen aan de juiste SID bij het evalueren van DACL-toegang.
● De CIFS-server ontvangt referenties van de CIFS-client, inclusief standaard ACL- en gebruikersrechten.
○ De NFSv4-server ontvangt daarentegen een beperktere set referenties en maakt referenties tijdens runtime met behulp van de
ID-mapper. Hierdoor kan het bestandssysteem verschillende referenties zien.

CIFS/SMB Active Directory Integration

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

Standaard DACL voor NFSv4
NFSv4 stelt een andere standaard DACL (discretionary access control list) in dan de standaard DACL die wordt geleverd door CIFS.
Alleen OWNER@, GROUP@ en EVERYONE@ zijn gedefinieerd in de standaard NFSv4 DACL. U kunt ACL-overerving gebruiken om:
Voeg indien nodig automatisch CIFS-significante ACE's toe.
Systeemstandaard SID's
Bestanden en mappen die zijn gemaakt door NFSv3 en NFSv4 zonder ACL's, gebruiken het standaard systeemdomein, ook wel de
standaard UNIX-domein:
● Gebruikers-SID's in het systeemdomein hebben de indeling S-1-22-1-N, waarbij N de UID is.
● Groeps-SID's in het systeemdomein hebben de indeling S-1-22-2-N, waarbij N de GID is.
Een gebruiker met UID 1234 heeft bijvoorbeeld een eigenaars-SID van S-1-22-1-1234.
Algemene id's in NFSv4 ACL's en SID's
De EVERYONE@-ID en andere speciale ID's (zoals bijvoorbeeld BATCH@) in NFSv4-ACL's gebruiken het equivalente
CIFS SIDS en zijn compatibel.
De OWNER@- en GROUP@-ID's hebben geen directe overeenkomst in CIFS; ze worden weergegeven als de huidige eigenaar en de huidige
eigenaarsgroep van het bestand of de map.
 

NFS-verwijzingen
Met de verwijzingsfunctie kan een NFSv4-client toegang krijgen tot een export (of bestandssysteem) op een of meerdere locaties. Locaties kunnen zijn ingeschakeld
dezelfde NFS-server of op verschillende NFS-servers en gebruik hetzelfde of een ander pad om de export te bereiken.
Omdat verwijzingen een NFSv4-functie zijn, zijn ze alleen van toepassing op NFSv4-koppelingen.
Verwijzingen kunnen worden gedaan naar elke server die NFSv4 of hoger gebruikt, waaronder de volgende:
● Een beveiligingssysteem waarop NFS wordt uitgevoerd met NFSv4 ingeschakeld
● Andere servers die NFSv4 ondersteunen, waaronder Linux-servers, NAS-appliances en VNX-systemen.
Een verwijzing kan een NFS-exportpunt gebruiken met of zonder een huidig onderliggend pad in het DD-bestandssysteem.
NFS-exports met verwijzingen kunnen worden gekoppeld via NFSv3, maar NFSv3-clients worden niet omgeleid omdat verwijzingen een NFSv4
zijnFunctie. Deze eigenschap is handig in scaleout-systemen, zodat exports kunnen worden omgeleid op bestandsbeheerniveau.

Verwijzingslocaties
NFSv4-verwijzingen hebben altijd een of meer locaties.
Deze locaties bestaan uit het volgende:
● Een pad op een externe NFS-server naar het genoemde bestandssysteem.
● Een of meer servernetwerkadressen waarmee de client de externe NFS-server kan bereiken.
Wanneer meerdere serveradressen aan dezelfde locatie zijn gekoppeld, worden deze adressen meestal op dezelfde NFS
gevondenServer.
Namen verwijzingslocaties
U kunt elke verwijzingslocatie in een NFS-export een naam geven. U kunt de naam gebruiken om toegang te krijgen tot de verwijzing en om deze te wijzigen of
Verwijder het.
Een verwijzingsnaam mag maximaal 80 tekens uit de volgende tekensets bevatten:
● A-Z
● A-Z
● 0-9
● "."
● ","
● "_"
● "-"
OPMERKING: U kunt spaties opnemen zolang deze spaties in de naam zijn ingesloten. Als u ingesloten ruimten gebruikt, kunt u
moet de hele naam tussen dubbele aanhalingstekens plaatsen.
Namen die beginnen met "." zijn gereserveerd voor automatische aanmaak door het beveiligingssysteem. U kunt deze namen verwijderen, maar u
kan ze niet maken of wijzigen met behulp van de opdrachtregelinterface (CLI) of systeembeheerservices (SMS).
 

Doorverwijzings- en schaalbaarheidssystemen
NFSv4-verwijzingen en -locaties kunnen toegang beter inschakelen als u uw beveiligingssystemen opschaalt.
Omdat uw systeem al dan niet al een globale naamruimte bevat, wordt in de volgende twee scenario's beschreven hoe u
kan NFSv4-verwijzingen gebruiken:
● Uw systeem bevat geen algemene naamruimte.
○ U kunt NFSv4-verwijzingen gebruiken om die globale naamruimte op te bouwen. Systeembeheerders kunnen deze algemene namespaces bouwen, of
u kunt indien nodig verwijzingen voor het bouwen van smart system manager (SM)-elementen gebruiken.
● Uw systeem heeft al een algemene naamruimte.
○ Als uw systeem een globale naamruimte heeft met MTrees die in specifieke knooppunten zijn geplaatst, kunnen NFS-verwijzingen worden gemaakt omtoegang tot die MTrees om te leiden naar de knooppunten die zijn toegevoegd aan het geschaalde systeem.
U kunt deze verwijzingen maken of hebben
automatisch uitgevoerd binnen NFS als de benodigde SM- of bestandsbeheerinformatie (FM) beschikbaar is.

NFSv4 en hoge beschikbaarheid
Met NFSv4 worden protocolexports (bijvoorbeeld /data/col1/<mtree> ) gespiegeld in een opstelling met hoge beschikbaarheid (HA). Echter
Configuratie-exports zoals /DDVAR worden niet gespiegeld.
Het /ddvar-bestandssysteem is uniek voor elk knooppunt van een HA-paar. Als gevolg hiervan worden /ddvar-exports en de bijbehorende clienttoegang
lijsten worden niet gespiegeld naar het stand-byknooppunt in een HA-omgeving.
De informatie in /ddvar wordt verouderd wanneer het actieve knooppunt overschakelt naar het stand-byknooppunt. Alle verleende
clientmachtigingennaar /ddvar op het oorspronkelijke actieve knooppunt moet opnieuw worden gemaakt op het nieuwe actieve knooppunt nadat een failover heeft plaatsgevonden.
U moet ook eventuele extra /ddvar-exports en de bijbehorende clients (bijvoorbeeld /ddvar/core) toevoegen die zijn gemaakt op de
Oorspronkelijk actief knooppunt naar het nieuwe actieve knooppunt nadat een failover heeft plaatsgevonden.
Ten slotte moeten alle gewenste /ddvar-exports worden ontkoppeld van de client en vervolgens opnieuw worden gekoppeld nadat een failover heeft plaatsgevonden.

Globale NFSv4 naamruimtes
De NFSv4-server biedt een virtuele mappenstructuur die bekend staat als PseudoFS om NFS-exports te verbinden met een doorzoekbare set paden.
Het gebruik van een PseudoFS onderscheidt NFSv4 van NFSv3, dat gebruikmaakt van het MOUNTD-hulpprotocol.
In de meeste configuraties is de overgang van NFSv3 MOUNTD naar de globale NFSv4 naamruimte transparant en wordt deze automatisch
afgehandelddoor de NFSv4-client en -server.
 

Globale NFSv4 naamruimtes en NFSv3 submounts
Als u NFSv3-exportsubmounts gebruikt, kunnen de globale naamruimten die kenmerkend zijn voor NFSv4 voorkomen dat submounts worden weergegeven
op de NFSv4-mount.
Belangrijkste NFSv3-exports en submount-exports
Als NFSv3 een hoofdexport en een submount-export heeft, kunnen deze exports dezelfde NFSv3-clients gebruiken, maar toch verschillende niveaus van
Toegang:

Tabel NFSv3 belangrijkste exports en submount-exports 

In de vorige tabel is het volgende van toepassing op NFSv3:
● Als client1.example.com /data/col1/mt1 koppelt, krijgt de client alleen-lezen toegang.
● Als client1.example.com /data/col1/mt1/subdir koppelt, krijgt de client lees-schrijftoegang.
NFSv4 werkt op dezelfde manier met betrekking tot exportpaden op het hoogste niveau. Voor NFSv4 navigeert client1.example.com door de
NFSv4 PseudoFS totdat het het exportpad op het hoogste niveau bereikt, /data/col1/mt1, waar het alleen-lezen toegang krijgt.
Omdat de export echter is geselecteerd, maakt de submount-export (Mt1-sub) geen deel uit van de PseudoFS voor de client en
Lees-schrijftoegang wordt niet gegeven.

Praktische tips
Als uw systeem gebruikmaakt van NFSv3-exportsubmounts om de client lees-schrijftoegang te geven op basis van het koppelingspad, moet u hier rekening mee houden
voordat u NFSv4 gebruikt met deze submount-exports.
Met NFSv4 heeft elke client een individuele PseudoFS.

Tabel NFSv3 submount-exports 
 

NFSv4-configuratie

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

Bestaande exports bijwerken

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos en NFSv4
Zowel NFSv4 als NFSv3 maken gebruik van het Kerberos-verificatiemechanisme om gebruikersreferenties te beveiligen.
Kerberos voorkomt dat gebruikersreferenties worden vervalst in NFS-pakketten en beschermt ze tegen manipulatie onderweg naar de
beveiligingssysteem.
Er zijn verschillende soorten Kerberos over NFS:
● Kerberos 5 (sec=krb5)
Gebruik Kerberos voor gebruikersreferenties.
● Kerberos 5 met integriteit (sec=krb5i)
Gebruik Kerberos en controleer de integriteit van de NFS-payload met behulp van een versleutelde checksum.
● Kerberos 5 met beveiliging (sec=krb5p)
Gebruik Kerberos 5 integer en versleutel de volledige NFS-payload.
OPMERKING: krb5i en krb5p kunnen beide prestatievermindering veroorzaken als gevolg van extra rekenoverhead op zowel de
NFS-client en het beveiligingssysteem.
 

Kerberos met een Linux-gebaseerde KDC configureren
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

Kerberos met een Linux-gebaseerde KDC configureren
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

Kerberos met een Linux-gebaseerde KDC configureren
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Enabling Active Directory
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Configuring Active Directory
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.