什么是Nblade凭据缓存?
适用场景
ONTAP 9
问题解答
什么是nblade凭据缓存?
- 在以下情况下、NFS客户端可能需要根据其UID生成凭据才能访问ONTAP中的资源:
- 访问NTFS安全模式卷
- 使用扩展组功能进行SYS/Unix身份验证
- 允许NFS客户端绕过16组RPC限制
- 正在向匿名用户"转存"
- 由于root用户强制转换或使用AUTL_NONE
- 此凭据存储在nblade凭据缓存中。
如何填充nblade凭据缓存条目?
- 在对ONTAP执行需要凭据缓存条目的NFS操作时、如果请求UID的缓存条目尚不存在、则会填充nblade缓存条目。
- 要填充此条目、nblade会向用户空间发出主组ID、辅助组ID和NT凭据(如果适用)的RPC请求。
- 负责应答这些RPC请求的两个用户空间进程是安全守护进程(SECD)和管理网关守护进程(MGWD)。
- 在nblade凭据缓存中为已填充条目设置的生存时间(TTL)为24小时。
- SECD主要负责处理从nblade发出的凭据查找请求。
- 在9.3之前的版本中、SECD会 从其自身的24小时的数据访问时间缓存处理这些请求。
- SECD是每个节点的唯一进程、这意味着、如果尚不存在条目、则该节点的本地SECD进程需要填充其缓存、然后才能处理nblade请求。
- 9.3之后、ONTAP中添加了全局NameService缓存功能。
- nblade仍会向用户空间发出RPC调用、但是、SECD/MWD将 利用复制的缓存填充响应。
- 如果一个节点填充了共享缓存、则另一个节点可以使用该信息、而无需执行自己的查找。
- 此缓存会复制到所有节点、并通过重新启动持续存在、从而减少ONTAP启动后的名称服务负担。
何时刷新nblade凭据缓存?
- 此缓存中某个条目的默认生存时间(TTL)为24小时。
- 只有在此TTL过期后、才会反映对用户组成员资格所做的更改
- 缓存是响应式的、只有在客户端操作访问缓存的已过期条目后才会发生
如何查看nblade凭据缓存条目?
- 可以在诊断模式下查看nblade凭据缓存条目。
|
警告 解决方案需要诊断级别恢复。使用诊断命令和恢复步骤可能会造成系统中断、只有在NetApp人员的指导下才应使用。 |
| ONTAP 9.4及更高版本 | ::*> vserver nfs credentials show -node Node01 -vserver SVM01 -unix-user-name User01 |
| ONTAP 9.3及更早版本 | ::*> nblade credentials show -node Node01 -vserver SVM01 -unix-user-name User01 |
追加信息
- 如何刷新NFS凭据和名称服务缓存以更新组成员资格
- 9.2及更早版本中的名称服务最佳实践: TR-4379
- 9.3 及更高版本中的名称服务最佳实践: TR-4668
- 在AD端更改用户名或组成员资格后、新信息不会反映出来
- NFS凭据缓存的工作原理