跳转到主内容
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

针对 ONTAP 9 的 NFS 身份验证的 AUTH_SYS 扩展组更改

Views:
70
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nfs
Last Updated:

适用场景

ONTAP 9

问题描述

  • auth_sys 为 NFS 服务器提供了一个 UID 、 GID 和最多 16 个补充组的列表。
    • 默认情况下,这些 ID 不会被验证并被信任为合法 ID 。
  • 要允许 NFS 用户属于超过 16 个组、启用对扩展组的支持的选项会通过相应的名称服务引入 ID 验证。
  • 验证将执行以下操作:
    • 从 NFS 调用获取 UID
    • 保留 GID 以实现 setgid 兼容性
    • 查询名称服务,例如 LDAP , NIS 或与 UID 和组成员资格相关的本地 SVM 文件(这取决于ns-switch配置)
  • 如果用户在 NFS 客户端本地而不是在名称服务中拥有组关联,则 ONTAP 无法根据这些关联授予访问权限,除非在 SVM 上正确地在本地定义了用户和组
  • 如果查询未产生任何结果、则无法为该用户构建凭据
    • 在 ONTAP 的缓存中没有凭据、访问被拒绝。
  • 如果您发现扩展身份验证设置为 1024 时,组数限制在 1024 以下,请检查 LDAP 模式:
    • " 启用 RFC 2307bis 时支持的最大组数 "
  • 此设置的默认值似乎为 256 左右,并且可能会使 SVM 无法查找 LDAP 中的所有组

执行

状态信息

执行

Scan to view the article on your device