Data Domain - NFSv4'e Giriş

NFSv4'ü mü yoksa NFSv3'ü mü seçeceğinizi etkileyen çeşitli faktörler vardır:
● NFS istemci desteği
Bazı NFS istemcileri yalnızca NFSv3 veya NFSv4'ü destekleyebilir ya da tek bir sürümle daha iyi çalışabilir.
● Operasyonel gereksinimler
Bir kuruluş, NFSv4 veya NFSv3'ü kullanmak için katı bir şekilde standartlaştırılmış olabilir.
● Güvenlik
Daha fazla güvenliğe ihtiyacınız varsa, NFSv4, ACL ve genişletilmiş sahip ve
grup yapılandırması da dahil olmak üzere NFSv3'ten daha yüksek bir güvenlik düzeyi sağlar.
● Özellik gereksinimleri
Bayt aralığı kilitleme veya UTF-8 dosyalarına ihtiyacınız varsa, NFSv4'ü seçmelisiniz.
● NFSv3 alt bağlamaları
Mevcut yapılandırmanız NFSv3 alt bağlamaları kullanıyorsa, NFSv3 uygun seçim olabilir.

NFSv3 ile NFSv4
karşılaştırmasıNFSv4, NFSv3 e kıyasla gelişmiş işlevsellik ve özellikler sağlar.
Aşağıdaki tabloda NFSv3 özellikleri NFSv4 özellikleriyle karşılaştırılmaktadır.

Tablo NFSv3 ile NFSv4 karşılaştırması

NFSv4 bağlantı noktaları
NFSv4 ve NFSv3'ü bağımsız olarak etkinleştirebilir veya devre dışı bırakabilirsiniz. Buna ek olarak, NFS sürümlerini farklı bağlantı noktalarına taşıyabilirsiniz; her ikisi de
Sürümlerin aynı bağlantı noktasını kullanması gerekmez.
NFSv4'te bağlantı noktalarını değiştirirseniz dosya sistemini yeniden başlatmanız gerekmez. Bu gibi durumlarda yalnızca NFS'nin yeniden başlatılması gerekir.
NFSv3 gibi, NFSv4 de etkinse varsayılan olarak Bağlantı Noktası 2049'da çalışır.
NFSv4, portmapper (Bağlantı Noktası 111) veya mountd (Bağlantı Noktası 2052) kullanmaz.

Kimlik eşlemeye genel bakış
NFSv4, sahipleri ve grupları joe@example.com gibi yaygın bir dış biçimle tanımlar. Bu yaygın biçimler şunlardır
tanımlayıcılar veya kimlikler olarak bilinir.
Tanımlayıcılar bir NFS sunucusu içinde depolanır ve Kimlik 12345 veya Kimlik S-123-33-667-2 gibi dahili gösterimleri kullanır. bu
dahili ve harici tanımlayıcılar arasındaki dönüşüm, kimlik eşleme olarak bilinir.
Tanımlayıcılar aşağıdakilerle ilişkilidir:
● Dosya ve dizin
sahipleri● Dosya ve dizinlerin sahip grupları
● Erişim Denetim Listeleri'ndeki (ACL'ler) girişler)
Koruma sistemleri, NFS ve CIFS/SMB protokolleri için dosyaların ve dizinlerin
NFS ve CIFS/SMB arasında paylaşılmasına izin veren ortak bir dahili biçim kullanır. Her protokol, dahili formatı kendi kimliğiyle
kendi harici formatına dönüştürürEşleme.
 

Harici biçimler
NFSv4 tanımlayıcılarının harici biçimi NFSv4 standartlarına uygundur (örneğin, NFSv4.0 için RFC-7530). Ek olarak,
birlikte çalışabilirlik için ek biçimler desteklenir.

Standart tanımlayıcı biçimleri

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

Alternatif biçimler
Koruma sistemlerindeki NFSv4 sunucuları, birlikte çalışabilirliği sağlamak amacıyla giriş ve çıkış için bazı alternatif tanımlayıcı biçimlerini destekler.
● Sayısal tanımlayıcılar; örneğin, "12345".
● Windows uyumlu Güvenlik tanımlayıcıları (SID'ler) "S-NNN-NNN-..."
Bu biçimlere yönelik kısıtlamalar hakkında daha fazla bilgi için giriş eşleme ve çıkış eşleme ile ilgili bölümlere bakın.

Dahili Tanımlayıcı Biçimleri
DD dosya sistemi, dosya sistemindeki her nesneyle (dosya veya dizin) birlikte tanımlayıcıları depolar. Tüm nesnelerin sayısal bir kullanıcısı
vardırKimlik (UID) ve grup kimliği (GID). Bunlar, bir dizi mod biti ile birlikte geleneksel UNIX/Linux tanımlamasına ve erişimine
olanak tanırDenetim.
CIFS/SMB protokolü veya NFSv4 ACL'ler etkinken NFSv4 protokolü tarafından oluşturulan nesneler de genişletilmiş
güvenlik tanımlayıcısı (SD). Her bir SD aşağıdakileri içerir:
● Sahip güvenlik tanımlayıcısı (SID)
● Sahip grubu SID'si
● İsteğe bağlı ACL (DACL)
● (İsteğe bağlı) Sistem ACL'si (SACL)
Her SID, Windows SID'lerine benzer şekilde bir göreli kimlik (RID) ve ayrı bir etki alanı içerir. NFSv4 ve
SID'ler ve SID'lerin eşlenmesi hakkında daha fazla bilgi için CIFS birlikte çalışabilirliği.
Kimlik eşlemesi gerçekleştiğinde
Koruma sistemi NFSv4 sunucusu aşağıdaki koşullarda eşleme gerçekleştirir:
● Giriş eşlemesi
NFS sunucusu, NFSv4 istemcisinden bir tanımlayıcı alır. 
● Çıkış eşleme:
NFS sunucusundan NFSv4 istemcisine bir tanımlayıcı gönderilir. 
● Kimlik bilgisi eşleme
:RPC istemci kimlik bilgileri, erişim denetimi ve diğer işlemler için dahili bir kimlikle eşlenir.

Giriş eşlemesi
Giriş eşlemesi, bir NFSv4 istemcisi koruma sistemi NFSv4 sunucusuna bir tanımlayıcı gönderdiğinde (örneğin, bir dosyanın sahibini
veya sahip grubunu ayarlama) gerçekleşir. Giriş eşlemesi, kimlik bilgisi eşlemesinden farklıdır.
joe@mycorp.com gibi standart biçim tanımlayıcıları, yapılandırılan
Dönüştürme kuralları. NFSv4 ACL'leri etkinse yapılandırılan dönüştürme kurallarına bağlı olarak bir SID de oluşturulur.
İstemci, Kerberos kullanmıyorsa sayısal tanımlayıcılar (örneğin, "12345") doğrudan ilgili UID/GID'lere dönüştürülür
Kimlik doğrulama. Kerberos kullanılıyorsa NFSv4 standardı tarafından önerilen bir hata oluşturulur. NFSv4 ACL'leri
etkinleştirildiğinde, dönüştürme kurallarına göre bir SID oluşturulur.
Windows SID'leri (örneğin, "S-NNN-NNN-...") doğrulanır ve doğrudan ilgili SID'lere dönüştürülür. Dönüştürme kurallarına görebir UID/GID
oluşturulur.

Çıktı eşleme

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

Kimlik bilgisi eşleme
NFSv4 sunucusu, NFSv4 istemcisi için kimlik bilgileri sağlar.
Bu kimlik bilgileri aşağıdaki işlevleri gerçekleştirir:
● İşlem için erişim ilkesini belirleyin; örneğin, bir dosyayı okuma yeteneği.
● Yeni dosyalar ve dizinler için varsayılan sahibi ve sahip grubunu belirleyin.
İstemciden gönderilen kimlik bilgileri john_doe@mycorp.com veya UID=1000, GID=2000 gibi sistem kimlik bilgileri olabilir.
Sistem kimlik bilgileri, yardımcı grup kimlikleriyle birlikte bir UID/GID belirtir.
NFSv4 ACL'leri devre dışı bırakılırsa kimlik bilgileri için UID/GID ve yardımcı grup kimlikleri kullanılır.

NFSv4 ACL'leri etkinse yapılandırılmış eşleme hizmetleri, ACLler için genişletilmiş bir güvenlik tanımlayıcısı oluşturmak üzere kullanılır.
Kimlik bilgi -leri:
● Sahip, sahip grubu ve yardımcı grup için SID'ler eşlenir ve Güvenlik Tanımlayıcısı'na (SD) eklenir.
● Varsa, kimlik bilgisi ayrıcalıkları SD'ye eklenir.
NFSv4 ve CIFS/SMB Birlikte Çalışabilirliği
NFSv4 ve CIFS tarafından kullanılan güvenlik tanımlayıcıları, farklılıklar olsa da kimlik eşleme açısından benzerdir.
Birlikte çalışabilirliği en iyi şekilde sağlamak için aşağıdakilere dikkat edin:
● Active Directory hem CIFS hem de NFSv4 için yapılandırılmalı ve NFS kimlik eşleyici, kimlik eşleme için Active
Directory'yi kullanacak şekilde yapılandırılmalıdır.
● CIFS ACL'leri yoğun bir şekilde kullanıyorsanız genellikle NFSv4 ACL'leri de etkinleştirerek uyumluluğu iyileştirebilirsiniz.
○ NFSv4 ACL'lerin etkinleştirilmesi, DACL erişimi değerlendirilirken NFSv4 kimlik bilgilerinin uygun SID ile eşlenmesini sağlar.
● CIFS sunucusu, varsayılan ACL ve kullanıcı ayrıcalıkları dahil olmak üzere CIFS istemcisinden kimlik bilgilerini alır.
○ Buna karşılık, NFSv4 sunucusu daha sınırlı bir kimlik bilgisi kümesi alır ve kimlik eşleyicisini
kullanarak çalışma zamanında kimlik bilgileri oluşturur. Bu nedenle dosya sisteminde farklı kimlik bilgileri görülebilir.

CIFS/SMB Active Directory Entegrasyonu

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

NFSv4
için varsayılan DACLNFSv4, CIFS tarafından sağlanan varsayılan DACL'den farklı bir varsayılan DACL (isteğe bağlı erişim denetim listesi) ayarlar.
Varsayılan NFSv4 DACL'de yalnızca OWNER@, GROUP@ ve EVERYONE@ tanımlanır. ACL devralmayı şu amaçlarla kullanabilirsiniz:
Uygunsa CIFS açısından önemli ACE'leri varsayılan olarak otomatik olarak ekleyin.
Sistem Varsayılan SID'leri
NFSv3 tarafından oluşturulan dosyalar ve dizinler ve ACL'ler olmadan NFSv4, varsayılan sistem etki alanını kullanır.
varsayılan UNIX etki alanı:
● Sistem etki alanındaki kullanıcı SID'leri S-1-22-1-N biçimindedir; burada N UID'dir.
● Sistem etki alanındaki grup SID'leri S-1-22-2-N biçimine sahiptir (ancak N GID'dir).
Örneğin, UID'si 1234 olan bir kullanıcının sahip SID'si S-1-22-1-1234 olur.
NFSv4 ACL'lerde ve SID'lerde ortak tanımlayıcılar
NFSv4 ACL'lerindeki EVERYONE@ tanımlayıcısı ve diğer özel tanımlayıcılar (ör. BATCH@) eş değerini
kullanırCIFS, SIDS ve uyumludur.
OWNER@ ve GROUP@ tanımlayıcılarının CIFS'de doğrudan bir karşılığı yoktur; mevcut sahip ve geçerli
olarak görünürlerdosyanın veya dizinin sahibi grubu.
 

NFS Referansları
Referans özelliği, bir NFSv4 istemcisinin bir veya daha fazla konumdaki bir dışa aktarıma (veya dosya sistemine) erişmesini sağlar. Konumlar açık
olabiliraynı NFS sunucusunda veya farklı NFS sunucularında olmalıdır ve dışa aktarmaya ulaşmak için aynı veya farklı yolu kullanın.
Başvurular bir NFSv4 özelliği olduğundan yalnızca NFSv4 bağlamaları için geçerlidir.
Aşağıdakiler de dahil olmak üzere NFSv4 veya sonraki bir sürümü kullanan herhangi bir sunucuya başvuruda bulunulabilir:
● NFSv4 etkinleştirilmiş
NFS çalıştıran bir koruma sistemi● Linux sunucuları, NAS cihazları ve VNX sistemleri dahil olmak üzere NFSv4'ü destekleyen diğer sunucular.
Başvuru, DD dosya sisteminde geçerli bir temel yol olan veya olmayan bir NFS dışa aktarma noktası kullanabilir.
Başvuruları olan NFS dışa aktarımları NFSv3 aracılığıyla bağlanabilir ancak başvurular NFSv4 olduğundan NFSv3
istemcileri yeniden yönlendirilmezÖzelliği. Bu özellik, dışa aktarımların dosya yönetimi düzeyinde yeniden yönlendirilmesine izin vermek için ölçeklendirme sistemlerinde kullanışlıdır.

Referans Konumları
NFSv4 başvurularının her zaman bir veya daha fazla konumu vardır.
Bu konumlar şunlardan oluşur:
● Uzak bir NFS sunucusunda başvurulan dosya sistemine giden bir yol.
● İstemcinin uzak NFS sunucusuna erişmesine izin veren bir veya daha fazla sunucu ağ adresi.
Genellikle birden fazla sunucu adresi aynı konumla ilişkilendirildiğinde bu adresler aynı NFS'de
bulunurSunucu.
Referans konumu adları
Bir NFS dışa aktarımındaki her referans konumunu adlandırabilirsiniz. Bu adı, yönlendirmeye erişmenin yanı sıra değiştirmek veya
değiştirmek için kullanabilirsiniz.Silin.
Başvuru adı, aşağıdaki karakter kümelerinden en fazla 80 karakter içerebilir:
● a-z
● A-Z
● 0-9
● "."
● ","
● "_"
● "-"NOT
: Adın içine katıştırıldığı sürece boşluk ekleyebilirsiniz. Katıştırılmış alanlar kullanıyorsanız,
adın tamamını çift tırnak içine almalıdır.
." ile başlayan adlar, koruma sistemi tarafından otomatik olarak oluşturulmak üzere ayrılmıştır. Bu adları silebilirsiniz ancak
komut satırı arabirimini (CLI) veya sistem yönetim hizmetlerini (SMS) kullanarak bunları oluşturamaz veya değiştiremez.
 

Referanslar ve Ölçeklendirme Sistemleri
NFSv4 yönlendirmeleri ve konumları, koruma sistemlerinizin ölçeğini genişletiyorsanız erişimi daha iyi sağlayabilir.
Sisteminiz bir genel ad alanı içerebileceğinden veya içermeyebileceğinden, aşağıdaki iki senaryo şunları nasıl yapacağınızı açıklar:
NFSv4 başvurularını kullanabilir:
● Sisteminiz global bir ad alanı içermiyor.
○ Bu genel ad alanını oluşturmak için NFSv4 başvurularını kullanabilirsiniz. Sistem yöneticileri bu genel ad alanlarını oluşturabilir veya
Smart System Manager (SM) eleman oluşturma yönlendirmelerini gerektiği gibi kullanabilirsiniz.
● Sisteminizde zaten genel bir ad alanı var.
○ Sisteminizde belirli düğümlere yerleştirilmiş MTree'lerin bulunduğu küresel bir ad alanı varsa,bu MTree'lere erişimi ölçeklendirilmiş sisteme eklenen düğümlere yönlendirmek
için NFS yönlendirmeleri oluşturulabilir. Bu yönlendirmeleri oluşturabilir veya alabilirsiniz
gerekli SM veya dosya yöneticisi (FM) bilgileri mevcutsa NFS içinde otomatik olarak gerçekleştirilir.

NFSv4 ve Yüksek Kullanılabilirlik
NFSv4 ile protokol dışa aktarımları (ör. /data/col1/<mtree> , Yüksek Kullanılabilirlik (HA) kurulumunda yansıtılır. Ancak
/ddvar gibi yapılandırma dışa aktarmaları yansıtılmaz.
/ddvar dosya sistemi HA çiftinin her düğümü için benzersizdir. Sonuç olarak, /ddvar dışa aktarır ve ilişkili istemci erişimi
listeler bir HA ortamında bekleme düğümüne yansıtılmaz.
Etkin düğüm bekleme düğümüne yük devrettiğinde /ddvar içindeki bilgiler eskir. Verilen
istemci izinleriYük devretme gerçekleştikten sonra orijinal aktif düğümdeki /ddvar öğesi yeni aktif düğümde yeniden oluşturulmalıdır.
Ayrıca, üzerinde oluşturulan ek /ddvar dışa aktarımlarını ve istemcilerini (örneğin, /ddvar/core) eklemeniz gerekir.
Yük devretme gerçekleştikten sonra orijinal aktif düğümü yeni aktif düğüme takın.
Son olarak, yük devretme gerçekleştikten sonra, istenen tüm /ddvar dışa aktarımları istemciden kaldırılmalı ve yeniden bağlanmalıdır.

NFSv4 Küresel Ad Alanları
NFSv4 sunucusu, NFS dışa aktarımlarını aranabilir bir dizi yola bağlamak için PseudoFS olarak bilinen bir sanal dizin ağacı sağlar.
PseudoFS kullanımı, NFSv4 ü MOUNTD yardımcı protokolünü kullanan NFSv3'ten ayırır.
Çoğu yapılandırmada, NFSv3 MOUNTD'den NFSv4 genel ad alanına geçiş şeffaftır ve otomatik olarak
işlenirNFSv4 istemcisi ve sunucusu tarafından.
 

NFSv4 küresel ad alanları ve NFSv3 alt donanımları
NFSv3 dışa aktarma alt donanımlarını kullanıyorsanız NFSv4 ün genel ad alanları özelliği, alt bağlamalarınNFSv4 bağlamasında görülmesini
engelleyebilir.
NFSv3 ana dışa aktarımları ve alt bağlama dışa aktarımları
NFSv3'ün bir ana dışa aktarımı ve bir alt bağlama dışa aktarımı varsa, bu dışa aktarmalar aynı NFSv3 istemcilerini kullanır ancak farklı NFSv3 düzeylerine sahip olabilir.
Erişim:

Tablo NFSv3 ana dışa aktarımları ve alt bağlama dışa aktarımları 

Önceki tabloda aşağıdakiler NFSv3 için geçerlidir:
● client1.example.com, /data/col1/mt1 bağlantısını kurarsa istemci salt okunur erişim elde eder.
● client1.example.com /data/col1/mt1/subdir bağlantısını kurarsa, istemci okuma-yazma erişimi elde eder.
NFSv4, en üst düzey dışa aktarma yolları açısından aynı şekilde çalışır. NFSv4 için client1.example.com
NFSv4 PseudoFS, salt okunur erişim elde ettiği en üst düzey dışa aktarma yolu olan /data/col1/mt1'e ulaşana kadar.
Ancak dışa aktarma seçildiği için alt bağlama dışa aktarımı (Mt1-sub), istemci için PseudoFS'nin bir parçası değildir ve
Okuma-yazma erişimi verilmez.

En iyi uygulama
Sisteminiz, bağlama yoluna bağlı olarak istemciye okuma-yazma erişimi vermek için NFSv3 dışa aktarımı alt donanımları kullanıyorsaNFSv4'ü bu alt bağlama dışa aktarımlarıyla kullanmadan önce bunu göz önünde bulundurmanız
gerekir.
NFSv4 ile her istemcinin ayrı bir PseudoFS'si vardır.

Tablo NFSv3 alt bağlama dışa aktarımları 
 

NFSv4 Yapılandırması

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

Mevcut dışa aktarmaları güncelleştirme

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos ve NFSv4
Hem NFSv4 hem de NFSv3, kullanıcı kimlik bilgilerinin güvenliğini sağlamak için Kerberos kimlik doğrulama mekanizmasını kullanır.
Kerberos, NFS paketlerinde kullanıcı kimlik bilgilerinin ele geçirilmesini önler ve NFS paketlerine giderken üzerinde değişiklik yapılmasına karşı koruma sağlar.
koruma sistemi.
NFS üzerinden farklı Kerberos türleri vardır:
● Kerberos 5 (sec=krb5)
Kullanıcı kimlik bilgileri için Kerberos'u kullanın.
● Doğrulukla Kerberos 5 (sec=krb5i)
Kerberos'u kullanın ve şifrelenmiş bir sağlama toplamı kullanarak NFS yükünün bütünlüğünü kontrol edin.
● Güvenlikli Kerberos 5 (sec=krb5p)
Kerberos 5'i bütünlük içinde kullanın ve tüm NFS yükünü şifreleyin.
NOT: krb5i ve krb5p, her ikisi de ek hesaplama yükü nedeniyle performans düşüşüne neden olabilir.
NFS istemcisi ve koruma sistemi.
 

Kerberos'u Linux tabanlı KDC ile yapılandırma
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

Kerberos'u Linux tabanlı KDC ile yapılandırma
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

Kerberos'u Linux tabanlı KDC ile yapılandırma
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Active Directory yi etkinleştirme
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Active Directory yi yapılandırma
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.