跳到主要内容

使用 netgroup

可使用 netgroup 进行用户认证,并在导出策略规则中匹配客户端。可从外部名称服务器(LDAP 或 NIS)提供对 netgroup 的访问权限,也可使用 vserver services name-service netgroup load 命令,通过统一资源标识符(URI)将 netgroup 加载到 SVM 中。

开始之前

在使用 netgroup 前,必须确保满足以下条件:

  • netgroup 中的所有主机,无论来源(NIS、LDAP 或本地文件),都必须具有正向(A)和反向(PTR)DNS 记录,来提供一致的正向和反向 DNS 查找。

    此外,如果客户端的 IP 地址具有多条 PTR 记录,所有这些主机名都必须是 netgroup 的成员,并且有相应的 A 记录。

  • netgroup 中的所有主机名,无论来源(NIS、LDAP 或本地文件),都必须正确拼写,并使用正确的大小写。netgroup 中的主机名如果大小写不一致,会导致意外行为,例如导出检查失败。

  • netgroup 中指定的所有 IPv6 地址必须根据 RFC 5952 中的要求缩短和压缩。

    例如,2011:hu9:0:0:0:0:3:1 必须缩短为 2011:hu9::3:1。

关于本任务

可使用 netgroup 执行以下操作:

  • 可使用 vserver export-policy netgroup check-membership 命令帮助确定客户端 IP 是否为特定 netgroup 的成员。

  • 可使用 vserver services name-service getxxbyyy netgrp 命令检查客户端是否属于某个 netgroup。

    执行查找的底层服务是根据配置的名称服务切换顺序选择的。

  • 将 netgroup 加载到 SVM 中
    可用于匹配导出策略规则中的客户端的一种方法是使用 netgroup 中列出的主机。可通过将 netgroup 从统一资源标识符(URI)加载到 SVM 来代替使用外部名称服务器中存储的 netgroup(vserver services name-service netgroup load)。
  • 验证 netgroup 定义的状态
    将 netgroup 加载到 SVM 中之后,可使用 vserver services name-service netgroup status 命令验证 netgroup 定义的状态。这样就可以确定 netgroup 定义在所有支持 SVM 的节点上是否一致。