Users Guide
Table Of Contents
- Dell EMC PowerStore Konfigurieren von NFS-Exporten
- Inhaltsverzeichnis
- Weitere Ressourcen
- Überblick
- Erstellen von NAS-Servern
- Konfigurieren von NFS-Exporten
- Zusätzliche Funktionen des NAS-Servers
- Weitere Dateisystemfunktionen
Konfigurieren von Kerberos für die NAS-
Serversicherheit
Sie können den NAS-Server mit Kerberos konfigurieren.
Kerberos ist ein verteilter Authentifzierungsservice, der für eine starke Authentifizierung eine Verschlüsselung mit einem geheimen
Schlüssel verwendet. Er funktioniert auf Basis von "Tickets", die es Nodes ermöglichen, über ein nicht sicheres Netzwerk zu
kommunizieren, um ihre Identität auf sichere Weise nachzuweisen. Wenn der NFS-Server als sicherer NFS-Server konfiguriert wurde,
verwendet dieser das Sicherheits-Framework RPCSEC_GSS und das Kerberos-Authentifizierungsprotokoll, um Benutzer und Services zu
überprüfen.
Wenn der NAS-Server nur mit NFS konfiguriert wurde und Sie sicheres NFS oder LDAP mit Kerberos konfigurieren, müssen Sie vor der
Konfiguration der Sicherheit in PowerStore Kerberos mit einem nutzerdefinierten Bereich konfigurieren.
Wenn der NAS-Server sowohl mit dem NFS- als auch dem SMB-Protokoll konfiguriert wurde, haben Sie die Möglichkeit, Kerberos zu
verwenden, der mit AD übernommen wird, da der mit der Domain verbundene SMB-Server auf dem NAS Server vorhanden ist.
Das Speichersystem muss mit einem NTP-Server konfiguriert werden. Kerberos ist abhängig von der korrekten Zeitsynchronisierung
zwischen KDC, Servern und Client im Netzwerk.
Konfigurieren von Kerberos für sicheres NFS
Beachten Sie beim Konfigurieren von Kerberos für sicheres NFS Folgendes:
● Wenn der NAS-Server nur für NFS konfiguriert wird, müssen Sie den NAS-Server mit einem benutzerdefinierten Bereich konfigurieren.
Wenn Sie den NAS-Server mit NFS und SMB konfiguriert haben, können Sie den AD- oder den benutzerdefinierten Bereich
verwenden.
● Die Verwendung von LDAPS oder LDAP mit Kerberos wird für höhere Sicherheit empfohlen.
● Auf der NAS-Serverebene muss ein DNS-Server konfiguriert sein. Alle Mitglieder des Kerberos-Bereichs, einschließlich KDC, NFS-
Server und NFS-Clients, müssen auf dem DNS-Server registriert werden.
● Der vollständig qualifizierte Domainname für den Hostnamen des NFS-Clients und der vollständig qualifizierte Domainname des
NAS-Servers müssen auf dem DNS-Server registriert sein. Clients und Servern müssen die vollständig qualifizierten Domainnamen
jedes Mitglieds des Kerberos-Bereichs in eine IP-Adresse auflösen können.
● Der vollständig qualifizierte Domainnamenteil des NFS-Client-SPN muss auf dem DNS-Server registriert sein.
● Wenn ein sicheres NFS konfiguriert wird, muss eine Keytab-Datei auf Ihren NAS-Server hochgeladen werden.
Erstellen eines nutzerdefinierten Bereichs für Kerberos
Sie können einen nutzerdefinierten Bereich für die Verwendung mit Kerberos konfigurieren.
Mit einem nutzerdefinierten Kerberos-Bereich können Sie jede Art von KDC (MIT/Heimdal oder AD) konfigurieren. Verwenden Sie diese
Methode, wenn Sie nicht über eine auf dem NAS-Server konfigurierte SMB-Serverdomain verfügen oder einen anderen Kerberos-Bereich
als den für den SMB-Server konfigurierten verwenden möchten.
Erstellen eines nutzerdefinierten Bereichs für einen reinen NFS-Server
Wenn Sie ein Unix-basiertes KDC verwenden möchten, führen Sie vor dem Konfigurieren von Kerberos in PowerStore die folgenden
Schritte aus. Bei den Schritten wird davon ausgegangen, dass Sie „myrealm“ im Kerberos-Bereich „linux.dellemc.com“ als Hostname des
NFS-Servers verwenden möchten.
1. Führen Sie das Tool kadmin.local aus.
2. Erstellen Sie die Prinzipale und ihre Schlüssel:
kadmin.local: addprinc -randkey nfs/myrealm.linux.dellemc.com
und/oder
kadmin.local: addprinc -randkey nfs/myrealm
Erstellen von NAS-Servern
13