跳转到主内容

针对ONTAP 9的NFS身份验证、auth_SYS扩展组发生了更改

Views:
303
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

适用场景

  • ONTAP 9
  • UNIX
  • NFS

问题描述

  • 使用AUTHE_SYS的客户端可为NFS服务器提供UID、GID以及最多16个补充组的列表
    • 默认情况下、这些ID不会进行验证、并且可信为合法ID
  • 为了允许NFS用户属于16个以上的组、启用 扩展组支持的选项引入了通过适当的名称服务进行ID验证的方法
  • 验证将执行以下操作:
    • 从NFS调用获取UID
    • 保留GID以实现setgid兼容性
    • 查询名称服务、例如LDAP、NIS或  有关UID和组成员资格的本地SVM文件( 由 ns-switch 配置确定)
  • 如果用户在NFS 客户端本地(而 不是在名称服务中)具有组关联、则ONTAP无法根据这些关联授予访问权限、除非在SVM本地正确定义了用户和组

警告

  • 如果名称服务查询未生成任何结果、则无法为该用户构建凭据、如果在ONTAP的缓存中没有凭据、则会拒绝访问
  • 如果扩展身份验证设置为1024时组数限制在1024以下、请检查  LDAP模式是否 启用了"Maximum groups supported when RFC 2307bis"(RFC 2307bis支持的最大组数)
    • 此设置的默认值 约为256、并且可能会使Vserver无法查找LDAP中的所有组

执行

执行

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.