跳转到主内容

针对 ONTAP 9 的 NFS 身份验证的 AUTH_SYS 扩展组更改

Views:
203
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

适用场景

ONTAP 9

问题描述

  • auth_sys 为 NFS 服务器提供了一个 UID 、 GID 和最多 16 个补充组的列表。
    • 默认情况下,这些 ID 不会被验证并被信任为合法 ID 。
  • 要允许 NFS 用户属于超过 16 个组、启用对扩展组的支持的选项会通过相应的名称服务引入 ID 验证。
  • 验证将执行以下操作:
    • 从 NFS 调用获取 UID
    • 保留 GID 以实现 setgid 兼容性
    • 查询名称服务,例如 LDAP , NIS 或与 UID 和组成员资格相关的本地 SVM 文件(这取决于ns-switch配置)
  • 如果用户在 NFS 客户端本地而不是在名称服务中拥有组关联,则 ONTAP 无法根据这些关联授予访问权限,除非在 SVM 上正确地在本地定义了用户和组
  • 如果命名服务查询未生成任何结果、则无法为该用户构建凭据、并且在ONTAP缓存中没有凭据、则访问将被拒绝。
  • 如果在扩展身份验证设置为1024时、组数限制低于1024、请检查LDAP模式:
    • "启用RFC 2307b时支持的最大组数"
  • 此设置的默认值似乎为 256 左右,并且可能会使 SVM 无法查找 LDAP 中的所有组

执行

状态信息

执行

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.
Scan to view the article on your device