Reference Guide

注: Kerberos 依赖于 KDC、服务器和网络客户端之间的正确时间同步。

● UDS — 用于构建凭据。

● 主机名 — Kerberos 将使用名称而非 IP 地址。

NFS 安全访问使用一个或两个服务主体名称 (SPN)，具体取决于主机名的值。如果主机名采用 FQDN 格式 host.domain：

● 短 SPN：nfs/host@REALM

● 长 SPN：nfs/host.domainFQDN@REALM

如果主机名未采用 FQDN 格式，则只会使用短 SPN。

与 SMB（SMB 服务器可以加入到域中）类似，NFS 服务器也可以加入到领域（“域”的 Kerberos 等效术语）。对此有两个选项：

● 使用已配置的 Windows 域（如有）

● 完全配置基于 UNIX KDC 的 Kerberos 领域

如果管理员选择使用已配置的 Windows 域，则无需执行其他操作。NFS 服务使用的每个 SPN 在加入/退出 SMB 服务器时，都会自

动添加到 KDC 中/从 KDC 中删除。请注意，如果 NFS 安全配置为使用 SMB 配置，则不能销毁 SMB 服务器。

如果管理员选择使用基于 UNIX 的 Kerberos 领域，则需要更多的配置：

● 领域名称：Kerberos 领域的名称，通常全部包含大写字母。

● 完全配置基于 UNIX KDC 的 Kerberos 领域。

为确保客户端装载具有特定安全性的 NFS 导出，系统会提供一个安全参数 sec 来指示所允许的最低安全性。有 4 种安全性：

● AUTH_SYS：不使用 Kerberos 的标准旧式安全性。服务器信任客户端提供的凭据

● KRB5：使用 Kerberos v5 进行身份验证

● KRB5i：Kerberos 身份验证加完整性（签名）

● KRB5p：Kerberos 身份验证加完整性，再加隐私（加密）

如果 NFS 客户端尝试装载安全性低于配置的最低安全性的导出，则将拒绝访问。例如，如果最低访问权限是 KRB5i，将拒绝任何使

用 AUTH_SYS 或 KRB5 的装载。

构建凭据

当用户连接到系统时，它只会显示其主体 user@REALM，这是从 Kerberos 票证中提取的。与 AUTH_SYS 安全性不同，凭据不包括在

NFS 请求中。从主体中，提取出（@ 之前的）用户部分并将其用于查找相应 UID 的 UDS。从该 UID，系统使用活动 UDS 构建凭据，

类似于启用扩展 NFS 凭据的情况（但有例外情况，在不使用 Kerberos 时，UID 直接由请求提供）。

如果未在 UDS 中映射主体，则会改用已配置的默认 UNIX 用户凭据。如果未设置默认 UNIX 用户，则使用的凭据将为 nobody。

文件系统对象安全性

在多协议环境中，安全策略在文件系统级别设置，每个文件系统具有独立的安全策略。每个文件系统使用其访问策略来确定如何协

调 NFS 和 SMB 访问控制语义之间的差异。选择访问策略将决定使用哪一种机制来执行特定文件系统上的文件安全。

注: 如果您的环境需要支持较旧的 SMB1 协议，可以通过使用 svc_nas_cifssupport 服务命令来启用它。有关此服务命令的

详细信息，请参阅 PowerStore Service Scripts Guide。

UNIX 安全模式

选中 UNIX 策略后，任何更改文件级安全（比如从 SMB 协议更改为访问控制列表 (ACL)）的企图都将被忽略。UNIX 访问权限称为文

件系统对象的模式位或 NFSv4 ACL。模式位用一个位字符串来表示。每个位代表一个访问模式或权限，这些访问模式或权限被授予

拥有与文件系统对象相关联的文件、组的用户以及所有其他用户。对于每个用户类别（用户、组或其他），UNIX 模式位都表示为三

组并置 rwx（读、写和执行）三元组。ACL 是用户和用户组的列表，通过该列表，可以控制允许还是拒绝访问服务。

Windows 安全模式

Windows 安全模式主要基于对象的权限，其中涉及使用安全描述符 (SD) 和对象的访问控制列表 (ACL)。选中 SMB 策略后，对来自

NFS 协议的模式位的更改将被忽略。

身份验证和访问