Vous devez avoir une configuration Kerberos fonctionnant avec un centre de distribution de clés (KDC), tel que Windows Active Directory Based Kerberos ou MIT Kerberos.

Les serveurs NFS doivent utiliser nfs en tant que composant principal de leur machine principale.

Vous devez utiliser un service d'annuaire sécurisé dans votre environnement, tel qu'Active Directory ou OpenLDAP, configuré pour utiliser LDAP sur SSL/TLS.

Vous devez disposer d'un serveur de temps de travail exécutant NTP. Cette opération est nécessaire pour éviter l'échec de l'authentification Kerberos en raison de l'inclinaison du temps.

Chaque client UNIX et chaque LIF de SVM doivent avoir un enregistrement de service (SRV) correct enregistré auprès du KDC dans des zones de recherche avant et arrière. Tous les participants doivent être résolus correctement via DNS.

Chaque client doit disposer d'un compte utilisateur dans le domaine Kerberos. Les serveurs NFS doivent utiliser « nfs » comme composant principal de leur machine principale.

Chaque client doit être correctement configuré pour communiquer sur le réseau en utilisant NFSv3 ou NFSv4.

Les clients doivent prendre en charge les RFC1964 et RFC2203.

Chaque client doit être correctement configuré pour utiliser l'authentification Kerberos, avec les informations suivantes :

Cela offre la meilleure compatibilité et fiabilité pour le chiffrement AES avec Kerberos.

Chaque client doit être correctement configuré pour utiliser DNS pour la résolution correcte du nom.

Chaque client doit être en cours de synchronisation avec le serveur NTP.

Chaque client /etc/hosts et /etc/resolv.conf Les fichiers doivent contenir le nom d'hôte et les informations DNS correctes, respectivement.

Chaque client doit avoir un fichier keytab du KDC. Le Royaume doit être en majuscules. Le type de chiffrement doit être AES-256 pour une sécurité optimale.

Une licence NFS valide doit être installée sur le système de stockage.

La licence CIFS est facultative. Il n'est nécessaire de vérifier les informations d'identification Windows que lors de l'utilisation du mappage de noms multiprotocole. Elle n'est pas requise dans un environnement UNIX strict.

Au moins un SVM doit être configuré sur le système.

On doit avoir configuré DNS sur chaque SVM.

Vous devez avoir configuré NFS sur le SVM.

Pour une sécurité optimale, vous devez configurer le serveur NFS de sorte qu'il n'autorise que le chiffrement AES-256 pour Kerberos.

Si vous exécutez un environnement multiprotocole, vous devez avoir configuré SMB sur le SVM. Le serveur SMB est requis pour le mappage de noms multiprotocole.

On doit disposer d'un volume root et d'au moins un volume de données configuré pour une utilisation par la SVM.

Le volume root du SVM doit avoir la configuration suivante :

Contrairement au volume racine, les volumes de données peuvent avoir n'importe quel style de sécurité.

La SVM doit avoir les groupes UNIX suivants configurés :

Le SVM doit avoir les utilisateurs UNIX suivants configurés :

L'utilisateur nfs n'est pas requis si un mappage de nom Kerberos-UNIX existe pour le SPN de l'utilisateur client NFS.

Vous devez avoir configuré des export policy avec les règles d'exportation nécessaires pour les volumes root et de données et les qtrees. Si tous les volumes du SVM sont accessibles via Kerberos, vous pouvez définir les options des règles d'exportation -rorule, -rwrule, et -superuser pour le volume racine à krb5 , krb5i, ou krb5p.

Si vous souhaitez que l'utilisateur identifié par l'utilisateur client NFS SPN dispose d'autorisations root, vous devez créer un mappage de nom à la racine.