È necessario disporre di una configurazione Kerberos funzionante con un centro di distribuzione delle chiavi (KDC), ad esempio Kerberos basato su Windows Active Directory o MIT Kerberos.

I server NFS devono utilizzare nfs come componente principale del computer.

È necessario utilizzare un servizio directory sicuro nell'ambiente, ad esempio Active Directory o OpenLDAP, configurato per l'utilizzo di LDAP su SSL/TLS.

È necessario disporre di un server dell'orario di lavoro che esegue NTP. Ciò è necessario per evitare errori di autenticazione Kerberos dovuti a un disallineamento temporale.

Ciascun client UNIX e ciascun LIF SVM devono disporre di un record di servizio (SRV) appropriato registrato con il KDC nelle zone di ricerca in avanti e indietro. Tutti i partecipanti devono essere risolutibili correttamente tramite DNS.

Ogni client deve disporre di un account utente nell'area Kerberos. I server NFS devono utilizzare “nfs” come componente principale del computer.

Ciascun client deve essere configurato correttamente per comunicare in rete utilizzando NFSv3 o NFSv4.

I client devono supportare RFC1964 e RFC2203.

Ciascun client deve essere configurato correttamente per utilizzare l'autenticazione Kerberos, inclusi i seguenti dettagli:

In questo modo si ottiene la migliore compatibilità e affidabilità per la crittografia AES con Kerberos.

Ciascun client deve essere configurato correttamente per utilizzare il DNS per la corretta risoluzione dei nomi.

Ciascun client deve essere sincronizzato con il server NTP.

Di ogni client /etc/hosts e. /etc/resolv.conf I file devono contenere rispettivamente il nome host e le informazioni DNS corretti.

Ogni client deve avere un file keytab dal KDC. L'area di autenticazione deve essere in lettere maiuscole. Il tipo di crittografia deve essere AES-256 per garantire la massima sicurezza.

Il sistema storage deve avere una licenza NFS valida installata.

La licenza CIFS è opzionale. È necessario solo per il controllo delle credenziali Windows quando si utilizza la mappatura dei nomi multiprotocollo. Non è richiesto in un ambiente UNIX-only rigoroso.

È necessario configurare almeno una SVM sul sistema.

È necessario aver configurato il DNS su ogni SVM.

È necessario aver configurato NFS su SVM.

Per una maggiore sicurezza, è necessario configurare il server NFS in modo che consenta solo la crittografia AES-256 per Kerberos.

Se si utilizza un ambiente multiprotocollo, è necessario aver configurato SMB su SVM. Il server SMB è necessario per la mappatura dei nomi multiprotocollo.

È necessario disporre di un volume root e di almeno un volume di dati configurati per l'utilizzo da parte di SVM.

Il volume root di SVM deve avere la seguente configurazione:

A differenza del volume root, i volumi di dati possono avere uno stile di sicurezza.

La SVM deve avere i seguenti gruppi UNIX configurati:

La SVM deve avere i seguenti utenti UNIX configurati:

L'utente nfs non è richiesto se esiste una mappatura dei nomi Kerberos-UNIX per l'SPN dell'utente client NFS.

È necessario aver configurato i criteri di esportazione con le regole di esportazione necessarie per i volumi root e dati e qtree. Se si accede a tutti i volumi della SVM tramite Kerberos, è possibile impostare le opzioni della regola di esportazione -rorule, -rwrule, e. -superuser per il volume root a. krb5 , krb5i, o. krb5p.

Se si desidera che l'utente identificato dall'utente client NFS SPN disponga delle autorizzazioni root, è necessario creare una mappatura dei nomi nella directory root.