Users Guide

Table Of Contents

概述

本章包含下列信息。

主题：

• NFS 支持

• 关于安全 NFS

• 规划注意事项

NFS 支持

PowerStore T 型号支持 NFSv3 和 NFSv4。它还支持使用 Kerberos 的安全 NFS，以实现强身份验证。虽然 PowerStore T 型号支持

相关 RFC 中描述的大多数 NFSv4 和 v4.1 功能，但不支持目录委派和 pNFS。创建期间或之后在 NAS 服务器上启用 NFS 支持，从而

让您可以在该 NAS 服务器上创建已启用 NFS 的文件系统。

关于安全 NFS

您可在创建或修改支持 UNIX 共享的 NAS 服务器时配置安全 NFS。安全 NFS 提供基于 Kerberos 的用户身份认证，该身份认证可提

供网络数据完整性和网络数据隐私。

Kerberos 是一种分布式身份认证服务，设计用于提供使用密钥加密技术的强大身份验证功能。它的原理基于“票据”，允许节点通

过非安全网络通信以一种安全方式证明它们的身份。当配置用作安全 NFS 服务器时，NAS 服务器将使用 RPCSEC_GSS 安全框架和

Kerberos 身份认证协议来验证用户和服务。

安全选项

安全 NFS 支持以下安全选项：

● krb5：Kerberos 身份验证

● krb5i：Kerberos 身份验证和通过将签名添加到每个在网络上传输的 NFS 数据包而保障数据完整性

● krb5p：Kerberos 身份验证、数据完整性和通过将数据加密后在网络上发送数据而保障数据隐私

数据加密需要更多资源来进行系统处理，可能导致性能下降。

在安全 NFS 环境中，基于 Kerberos 主体名称授予对 NFS 文件系统的用户访问权限。但是，对文件系统中共享的访问控制基于 UNIX

UID 和 GID，或基于 ACL。

注: 安全 NFS 支持具有 16 个以上组的 NFS 凭据，这相当于扩展 UNIX 凭据选项。

配置安全 NFS

如果要实施安全 NFS，请配置以下各项：

● PowerStore 设备上必须至少配置一个 NTP 服务器来同步日期和时间。我们建议您为每个域至少设置两个 NTP 服务器，以避免单

点故障。

● UNIX 目录服务 (UDS)

● 一个或多个 DNS 服务器。

● 必须为 Kerberos 身份验证添加一个 AD 或自定义领域

● 在 Kerberos 配置中使用自定义领域时，必须将 Keytab 文件上传到 NAS 服务器

概述 5