跳转到主内容

针对 ONTAP 9 的 NFS 身份验证的 AUTH_SYS 扩展组更改

Views:
35
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nfs
Last Updated:

适用场景

ONTAP 9

问题描述

  • auth_sys 为 NFS 服务器提供了一个 UID 、 GID 和最多 16 个补充组的列表。
    • 默认情况下,这些 ID 不会被验证并被信任为合法 ID 。
  • 要允许 NFS 用户属于超过 16 个组、启用对扩展组的支持的选项会通过相应的名称服务引入 ID 验证。
  • 验证将执行以下操作:
    • 从 NFS 调用获取 UID
    • 保留 GID 以实现 setgid 兼容性
    • 查询名称服务,例如 LDAP , NIS 或与 UID 和组成员资格相关的本地 SVM 文件(这取决于ns-switch配置)
  • 如果用户在 NFS 客户端本地而不是在名称服务中拥有组关联,则 ONTAP 无法根据这些关联授予访问权限,除非在 SVM 上正确地在本地定义了用户和组
  • 如果查询未产生任何结果、则无法为该用户构建凭据
    • 在 ONTAP 的缓存中没有凭据、访问被拒绝。
  • 如果您发现扩展身份验证设置为 1024 时,组数限制在 1024 以下,请检查 LDAP 模式:
  • " 启用 RFC 2307bis 时支持的最大组数 "
  • 此设置的默认值似乎为 256 左右,并且可能会使 SVM 无法查找 LDAP 中的所有组

 

执行

状态信息

执行