配置允许 NFS 用户拥有的组标识数量
默认情况下,使用 Kerberos(RPCSEC_GSS)认证处理 NFS 用户凭证时,ONTAP 最多支持 32 个组标识。使用 AUTH_SYS 认证时,按照 RFC 5531 中的定义,默认最大组标识数量为 16。如果用户的组数量超过了默认组数量,可将最大值增加到 1,024。
关于本任务
如果用户的凭证中的组标识数量超过了默认组标识数量,则尝试访问存储系统中的文件时,会截断超出的组标识,而用户可能会收到错误。应将每个 SVM 的最大组数量设置为表示环境中的最大组数的数字。
下表显示了 vserver nfs modify 命令的两个用于确定三个示例配置中的最大组标识数量的参数:
| 参数 | 设置 | 生成的组标识限制 |
|---|---|---|
-extended-groups-limit -auth-sys-extended-groups | 32 disabled 这些是默认设置。 | RPCSEC_GSS:32 AUTH_SYS:16 |
-extended-groups-limit -auth-sys-extended-groups | 256 disabled | RPCSEC_GSS:256 AUTH_SYS:16 |
-extended-groups-limit -auth-sys-extended-groups | 512 enabled | RPCSEC_GSS:512 AUTH_SYS:512 |
注
某些较低版本的 NFS 客户端可能与 AUTH_SYS 扩展组不兼容。
- 将权限级别设置为高级:set -privilege advanced
- 执行所需的操作:
如果要设置最大允许辅助组数量... 请输入命令... 仅适用于 RPCSEC_GSS,并保留为 AUTH_SYS 设置的默认值 16 vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups disabled 同时适用于 RPCSEC_GSS 和 AUTH_SYS vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups enabled - 验证 -extended-groups-limit 值,并确认 AUTH_SYS 是否正在使用扩展组:vserver nfs show -vserver vserver_name -fields auth-sys-extended-groups,extended-groups-limit
- 恢复为管理员权限级别:set -privilege admin
示例
以下示例为 AUTH_SYS 认证启用扩展组,并同时为 AUTH_SYS 和 RPCSEC_GSS 认证将最大扩展组数量设置为 512。这些更改仅针对访问 SVM vs1 的客户端:
vs1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use
them only when directed to do so by Lenovo personnel.
Do you want to continue? {y|n}: y
vs1::*> vserver nfs modify -vserver vs1 -auth-sys-extended-groups enabled -extended-groups-limit 512
vs1::*> vserver nfs show -vserver vs1 -fields auth-sys-extended-groups,extended-groups-limit
vserver auth-sys-extended-groups extended-groups-limit
------- ------------------------ ---------------------
vs1 enabled 512
vs1::*> set -privilege admin
提供反馈