什么是 NBlade 凭证缓存?
不可不使用
适用场景
ONTAP 9
问题解答
什么是 NBlade 凭证缓存?
- 在以下情况下、NFS客户端可能需要根据其UID生成凭据才能访问ONTAP中的资源:
- 访问NTFS安全模式卷
- 使用扩展组功能进行SYS/Unix身份验证
- 允许NFS客户端绕过16组RPC限制
- 正在向匿名用户"转存"
- 由于root用户强制转换或使用AUTL_NONE
- 此凭据存储在nblade凭据缓存中。
如何填充 nblade 凭据缓存条目?
- 如果对 ONTAP 执行需要凭据缓存条目的 NFS 操作,并且请求 UID 的缓存条目尚不存在,则会填充 nblade 缓存条目。
- 要填充此条目, nblade 会向用户空间发出一个 RPC 请求,以获取主组 ID ,辅助组 ID 和 NT 凭据(如果适用)。
- 负责响应这些 RPC 请求的两个用户空间进程是安全守护进程( Security daemon , SECD )和管理网关守护进程( Management Gateway daemon , MGWD )。
- nblade 凭据缓存中已填充条目的生存时间( TTL )设置为 24 小时。
- SECD 主要负责处理从 nblade 发出的凭据查找请求。
- 在9.3之前的版本中、SECD将 从其自身的24小时TTLS缓存处理这些请求。
- SECD是每个节点的唯一进程、这意味着、如果尚不存在条目、则该节点的本地SECD进程需要填充其缓存、然后才能处理nblade请求。
- 9.3之后、ONTAP中添加了全局NameService缓存功能。
- nblade仍会向用户空间发出RPC调用、但是、SECD/MGWD将利用复制的缓存填充响应。
- 如果一个节点填充了共享缓存、则另一个节点可以使用该信息、而无需执行自己的查找。
- 此缓存会复制到所有节点、并通过重新启动持续存在、从而减少ONTAP启动后的名称服务负担。
何时刷新 nblade 凭据缓存?
- 在ONTAP版本(最高为9.9)中、此缓存中的条目的默认生存时间(TTL)为24小时。 从ONTAP 9.10.1开始、默认值设置为1小时。
- 只有在此TTL过期后、才会反映对用户组成员资格所做的更改
- 缓存是响应式的、只有在客户端操作访问缓存的已过期条目后才会发生
如何查看 NBlade 凭证缓存条目?
- 可以在诊断模式下查看nblade凭据缓存条目。
|
警告 解决方案 需要诊断级别的恢复。使用诊断命令和恢复步骤可能会造成中断、只有在NetApp人员的指导下才应使用。 |
| ONTAP 9.4及更高版本 | ::*> vserver nfs credentials show -node Node01 -vserver SVM01 -unix-user-name User01 |
| ONTAP 9.3及更早版本 | ::*> nblade credentials show -node Node01 -vserver SVM01 -unix-user-name User01 |
追加信息
- 如何刷新NFS凭据和名称服务缓存以更新组成员资格
- 9.2及更早版本中的名称服务最佳实践: TR-4379
- 9.3 及更高版本中的名称服务最佳实践: TR-4668
- 更改 AD 端的用户名或组成员资格后,新信息不会反映出来
- NFS凭据缓存的工作原理