跳转到主内容

什么是 NBlade 凭证缓存?

Views:
69
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

可不使用  

适用场景

  • ONTAP 9
  • 集群模式 Data ONTAP 8

问题解答

本文档介绍了 NBlade 身份凭证缓存的用途、使用情况、填充方式、刷新时间、查看方式以及如何刷新。

本文介绍了以下症状:

  • NFS 用户不会立即反映用户对名称服务(文件, NIS , LDAP , AD )的更改
  • 名称服务更改最长需要 24 到 48 小时才能生效
什么是 NBlade 凭证缓存?

NFS 客户端可能需要根据其 UID 生成凭据才能访问 ONTAP 中的资源。
以下是必须填充凭据的情形:

  • 访问 NTFS 安全模式卷
  • 使用扩展组功能进行 SYS/Unix 身份验证时
    • 此功能允许 NFS 客户端绕过 16 组 RPC 限制
  • 正在 " 缩减 " 到匿名用户
    • 这可能是由于 root 用户强制转换或在使用 AUTH_NONE 时造成的

此凭据存储在 NBlade 凭据缓存中。

如何填充 nblade 凭据缓存条目?
  • 如果对 ONTAP 执行需要凭据缓存条目的 NFS 操作,并且请求 UID 的缓存条目尚不存在,则会填充 nblade 缓存条目。
    • 要填充此条目, nblade 会向用户空间发出一个 RPC 请求,以获取主组 ID ,辅助组 ID 和 NT 凭据(如果适用)。
    • 负责响应这些 RPC 请求的两个用户空间进程是安全守护进程( Security daemon , SECD )和管理网关守护进程( Management Gateway daemon , MGWD )。
    • nblade 凭据缓存中已填充条目的生存时间( TTL )设置为 24 小时。
  • SECD 主要负责处理从 nblade 发出的凭据查找请求。9.3 之前的版本, SECD 将从具有 24 小时 TLS 的自身缓存中处理这些请求。SECD 是每个节点的唯一进程,这意味着在处理 nblade 请求之前,如果尚未存在条目,则该节点本地的 SECD 进程需要填充其缓存。
  • 9.3 之后,全局 NameService 缓存功能已添加到 ONTAP 中。nblade 仍会向用户空间发出 RPC 调用,但是, SECD/GMWD 将利用复制的缓存填充响应。这意味着,如果一个节点填充共享缓存,另一个节点可以使用该信息,而无需自行查找。此缓存会在所有节点之间复制,并在重新启动后持续存在,从而减少 ONTAP 启动后的名称服务压力。
何时刷新 nblade 凭据缓存?
  • 此缓存中某个条目的默认生存时间( TTL )为 24 小时。
    • 这意味着、在此TTL过期之前、不会反映对用户组成员资格所做的更改
    • 缓存是被动的—只有在客户端操作命中已缓存的已过期条目后、才会进行刷新
如何查看 NBlade 凭证缓存条目?
  • 可以从 set diag 查看 nblade 凭据缓存条目。

警告

解决方案 需要诊断级别的恢复。使用诊断命令和恢复步骤可能会造成中断、只有在NetApp人员的指导下才应使用。

  • Cluster01::*> set diag -c off
  • Cluster01::*> nblade credentials show -node Node01 -vserver SVM01 -unix-user-name User01
  • 如果在 ONTAP 9.4 或更高版本上运行,则命令如下所示:
    • Cluster01::*> vserver nfs credentials show -node Node01 -vserver SVM01 -unix-user-name User01
如何刷新 nblade 凭据和名称服务缓存以更新组成员身份?

nblade 缓存之前刷新名称服务缓存 以检索最新信息非常重要,因为 nblade 凭据缓存是根据用户空间中的名称服务解析进程提供的信息进行填充的。

适用于 ONTAP 9.3 及更早版本的步骤

从 SET DIAG :

Cluster01::*> secd cache clear-nfs -node Node01 -vserver SVM01 -user User01
Cluster01::*> nblade credentials flush -node Node01 -vserver SVM01 -unix-user-name User01

Cluster01::*> set admin 

ONTAP 9.3 的步骤

从 SET DIAG :

  • 如果使用 NIS 查询组成员资格,则应在刷新任何其他缓存之前重建 nis-domain group-database 。

Cluster01::*> nis-domain group-database build -vserver SVM01
Cluster01::*> name-service cache group-membership delete -vserver SVM01 -user User01 -group PrimaryGID
Cluster01::*> diag nblade credentials flush -node Node01 -vserver SVM01 -unix-user-name User01

Cluster01::*> set admin 

'name-service cache group-membership delete' 命令中的 "-" 组 " 标志引用 'name-service cache group-membership show -vserver SVM01 -user User01' 了输出中的 "Group" 字段。
适用于 ONTAP 9.4 及更高版本的步骤

从 SET DIAG :

  • 如果使用 NIS 查询组成员资格,则应在刷新任何其他缓存之前重建 nis-domain group-database 。

Cluster01::*> nis-domain group-database build -vserver SVM01
Cluster01::*> vserver services name-service cache group-membership delete -vserver SVM01 -user User01 -group PrimaryGID
Cluster01::*> vserver services name-service cache unix-user user-by-id delete -vserver SVM01 -pw-uid UID
Cluster01::*> vserver nfs credentials flush -node Node01 -vserver SVM01 -unix-user-name User01
Cluster01::*> diag secd cache clear -node Node01 -vserver SVM01 -cache-name nis-group-membership
Cluster01::*> diag secd cache clear -node Node01 -vserver SVM01 -cache-name username-to-creds

Cluster01::*> set admin 

'name-service cache group-membership delete命令中的 "-" 组 " 标志引用'name-service cache group-membership show -vserver SVM01 -user User01' 了输出中的 "Group" 字段。

追加信息

 

Scan to view the article on your device