关于为 Kerberos 配置 NFS 的要求
在系统上为 Kerberos 配置 NFS 之前,必须验证是否正确配置了网络和存储环境中的特定项。
应首先配置以下项:
网络环境要求
Kerberos
必须已有了带密钥分发中心(KDC)且正在工作的 Kerberos 设置,如基于 Windows Active Directory 的 Kerberos 或 MIT Kerberos。
NFS 服务器必须将
nfs
用作其机器主体的主要组件。目录服务
必须在环境中使用配置为使用 LDAP over SSL/TLS 的安全目录服务,如 Active Directory 或 OpenLDAP。
NTP
必须有一个正在工作且在运行 NTP 的时间服务器。这是防止时间偏移导致 Kerberos 认证失败所必需的。
域名解析(DNS)
每个 UNIX 客户端和每个 SVM LIF 都必须在正向查找区域和反向查找区域下向 KDC 注册正确的服务记录(SRV)。必须可以通过 DNS 正确解析所有参与者。
用户帐户
每个客户端在 Kerberos 领域中都必须有一个用户帐户。NFS 服务器必须将
nfs
用作其机器主体的主要组件。
NFS 客户端要求
NFS
必须正确配置每个客户端,以便通过使用 NFSv3 或 NFSv4 的网络通信。
客户端必须支持 RFC1964 和 RFC2203。
Kerberos
必须将每个客户端正确配置为使用 Kerberos 认证,包括以下详细信息:
启用 TGS 通信加密
用于最强安全性的 AES-256。
启用 TGT 通信最安全的加密类型。
正确配置 Kerberos 领域和域。
启用 GSS。
使用机器凭证时:
请勿将 gssd 与 -n 参数一起运行。
请勿以根用户身份运行 kinit。
每个客户端必须使用最近和最新的操作系统版本。
这样 Kerberos 的 AES 加密的兼容性和可靠性最高。
DNS
必须正确配置每个客户端以使用 DNS 正确解析名称。
NTP
每个客户端必须在与 NTP 服务器同步。
主机和域信息
每个客户端的 /etc/hosts 和 /etc/resolv.conf 文件中必须分别包含正确的主机名和 DNS 信息。
Keytab 文件
每个客户端必须有来自 KDC 的 keytab 文件。领域必须采用大写字母。加密类型必须为 AES-256 才能达到最强安全。
可选:要达到最佳性能,客户端必须采用至少两个网络接口:一个用于与局域网通信,一个用于与存储网络通信。
存储系统要求
NFS 许可证
必须已经为存储系统安装了有效的 NFS 许可证。
CIFS 许可证
CIFS 许可证可选。使用多协议名称映射时,只需检查 Windows 凭证。在纯 UNIX 环境中则不需要。
SVM
必须在系统上配置了至少一个 SVM。
SVM 上的 DNS
必须已在每个 SVM 上配置了 DNS。
NFS 服务器
必须已在 SVM 上配置了 NFS。
AES 加密
要达到最强安全,必须将 NFS 服务器配置为仅允许对 Kerberos 使用 AES-256 加密。
CIFS 服务器
如果正在运行多协议环境,则必定已经在 SVM 上配置了 CIFS。多协议名称映射需要 CIFS 服务器。
卷
必须配置了一个根卷和至少一个数据卷供 SVM 使用。
根卷
SVM 的根卷必须具有以下配置:
名称 设置 安全模式 UNIX UID 根或标识 0 GID 根或标识 0 UNIX 权限 777 相比根卷,数据卷可以采用两种安全模式中的任何一种。
UNIX 组
必须已经为 SVM 配置了以下 UNIX 组:
组名称 组标识 守护程序 1 根 0 pcuser 65534(是您创建 SVM 时 ONTAP 自动创建的) UNIX 用户
必须已经为 SVM 配置了以下 UNIX 用户:
用户名 用户标识 主组标识 注释 nfs 500 0 GSS INIT 阶段需要 NFS 客户端用户 SPN 的第一个组成部分用作该用户。
pcuser 65534 65534 使用 NFS 和 CIFS 多协议时需要 是您创建 SVM 时 ONTAP 自动创建并向 pcuser 组添加的
根 0 0 装载时需要 如果 NFS 客户端的 SPN 有 Kerberos-UNIX 名称映射,则不需要 nfs 用户。
导出策略和规则
必须已经配置了具有根和数据卷与 Qtree 必需的导出规则的导出策略。如果通过 Kerberos 访问 SVM 的所有卷,则可将根卷的导出规则选项 -rorule、-rwrule 和 -superuser 设置为 krb5、krb5i 或 krb5p。
Kerberos UNIX 名称映射
如果要让通过 NFS 客户端用户 SPN 标识的用户拥有该权限,则必须创建名称到根的映射。