KerberosをKey Distribution Center（KDC;キー配布センター）で設定しておく必要があります（たとえば、Windows Active DirectoryベースのKerberosまたはMIT Kerberos）。

NFSサーバは、マシン プリンシパルのプライマリ コンポーネントとして `nfs`を使用する必要があります。

Active DirectoryやOpenLDAPなどのセキュアなディレクトリ サービスを環境に導入し、SSL / TLS経由のLDAPを使用するように設定する必要があります。

タイム サーバでNTPを実行している必要があります。これは、時刻のずれによるKerberos認証の失敗を回避するために必要です。

それぞれのUNIXクライアントおよびSVM LIFについて、KDCの前方参照ゾーンと逆引き参照ゾーンに適切なサービス レコード（SRV）が登録されている必要があります。すべてのコンポーネントは、DNSで正しく解決できる必要があります。

各クライアントは Kerberos レルム内にユーザーアカウントを持っている必要があります。NFSサーバーは、マシンプリンシパルのプライマリコンポーネントとして “nfs” を使用する必要があります。

NFSv3またはNFSv4を使用してネットワーク経由で通信するように各クライアントが適切に設定されている必要があります。

クライアントでRFC1964およびRFC2203がサポートされている必要があります。

Kerberos認証を使用するように各クライアントが適切に設定されている必要があります。詳細は次のとおりです。

これにより、KerberosでのAES暗号化の互換性と信頼性が最大限確保されます。

DNSを使用して名前が正しく解決されるように各クライアントが適切に設定されている必要があります。

各クライアントがNTPサーバと同期されている必要があります。

各クライアントの `/etc/hosts`および `/etc/resolv.conf`ファイルには、それぞれ正しいホスト名とDNS情報が含まれている必要があります。

各クライアントについて、KDCのkeytabファイルが必要です。Realmは大文字で指定する必要があります。最高レベルのセキュリティを得るために、暗号化タイプをAES-256にする必要があります。

ストレージ システムに有効なNFSライセンスがインストールされている必要があります。

CIFSライセンスはオプションです。マルチプロトコルのネーム マッピングを使用する環境で、Windowsクレデンシャルのチェックを行う場合にのみ必要になります。純粋なUNIXのみの環境では必要ありません。

システムでSVMを少なくとも1つ設定しておく必要があります。

各SVMでDNSを設定しておく必要があります。

SVMでNFSを設定しておく必要があります。

最高レベルのセキュリティを得るために、KerberosでAES-256暗号化のみを許可するようにNFSサーバを設定する必要があります。

マルチプロトコル環境の場合は、SVMでSMBを設定しておく必要があります。SMBサーバはマルチプロトコルのネーム マッピングに必要です。

SVMで使用するルート ボリュームと少なくとも1つのデータ ボリュームを設定しておく必要があります。

SVMのルート ボリュームを次のように設定しておく必要があります。

ルート ボリュームとは異なり、データ ボリュームのセキュリティ形式は任意に設定してかまいません。

SVMで次のUNIXグループを設定しておく必要があります。

SVMで次のUNIXユーザを設定しておく必要があります。

NFSクライアント ユーザのSPNに対するKerberos-UNIXネーム マッピングがある場合は、nfsユーザは必要ありません。

ルートボリューム、データボリューム、およびqtreeに必要なエクスポート ルールを含むエクスポート ポリシーを設定しておく必要があります。SVMのすべてのボリュームがKerberos経由でアクセスされる場合は、ルートボリュームのエクスポート ルール オプション -rorule、 -rwrule、および -superuser`を `krb5、 krb5i、または `krb5p`に設定できます。

NFSクライアント ユーザのSPNによって識別されたユーザにroot権限を持たせる場合は、rootに対するネーム マッピングを作成する必要があります。