通过验证域对 netgroup 执行较严格的访问权限检查
默认情况下,ONTAP 在为 netgroup 评估客户端访问权限时将执行额外的验证。这项额外检查可确保客户端的域与存储虚拟机(SVM)的域配置匹配。否则,ONTAP 将拒绝客户端访问。
关于本任务
当 ONTAP 针对客户端访问权限评估导出策略规则,并且导出策略规则中包含 netgroup 时,ONTAP 必须确定客户端的 IP 地址是否属于该 netgroup。因此,ONTAP 使用 DNS 将客户端的 IP 地址转换为主机名,并获取标准域名(FQDN)。如果 netgroup 文件仅列出主机的短名称,而主机的短名称属于多个域,则其他域的客户端可以不经此项检查进行访问。
为了防止出现这种情况,ONTAP 会将 DNS 返回的域与为 SVM 配置的 DNS 域名列表进行比较。如果匹配,则允许访问。如果不匹配,则拒绝访问。
默认情况下会启用此验证。可通过高级权限级别提供的 -netgroup-dns-domain-search 参数进行管理。
- 将权限级别设置为高级:set -privilege advanced
- 执行所需的操作:
如果希望 netgroup 的域验证... 输入... 启用 vserver nfs modify -vserver vserver_name -netgroup-dns-domain-search enabled 禁用 vserver nfs modify -vserver vserver_name -netgroup-dns-domain-search disabled - 将权限级别设置为管理员:set -privilege admin
提供反馈