Windows Active DirectoryベースのKerberosやMIT Kerberosなど、Key Distribution Center（KDC；キー配布センター）を使用してKerberosを設定しておく必要があります。

NFSサーバは、マシンプリンシパルのプライマリコンポーネントとしてを使用する必要があります nfs。

Active DirectoryやOpenLDAPなど、SSL/TLS経由のLDAPを使用するように設定されたセキュアなディレクトリサービスを環境で使用する必要があります。

NTPを実行している稼働中のタイムサーバが必要です。これは、時間のずれによるKerberos認証の失敗を防ぐために必要です。

各UNIXクライアントおよび各SVM LIFについて、KDCのフォワードルックアップゾーンとリバースルックアップゾーンに適切なサービスレコード（SRV）が登録されている必要があります。すべての参加者は、DNSを介して適切に解決できる必要があります。

各クライアントには、Kerberos Realmのユーザアカウントが必要です。NFS サーバでは ' マシン・プリンシパルの主要コンポーネントとして NFS' を使用する必要があります

NFSv3またはNFSv4を使用してネットワーク経由で通信するように各クライアントが適切に設定されている必要があります。

クライアントがRFC1964およびRFC2203をサポートしている必要があります。

Kerberos認証を使用するように各クライアントが適切に設定されている必要があります。詳細は次のとおりです。

これにより、Kerberosを使用したAES暗号化に最高の互換性と信頼性が提供されます。

正しい名前解決のためにDNSを使用するように各クライアントが適切に設定されている必要があります。

各クライアントがNTPサーバと同期している必要があります。

各クライアントの `/etc/hosts`ファイルと `/etc/resolv.conf`ファイルに正しいホスト名とDNS情報が格納されている必要があります。

各クライアントには、KDCのkeytabファイルが必要です。Realmは大文字で指定する必要があります。セキュリティを最大限に高めるには、暗号化タイプをAES-256にする必要があります。

ストレージシステムに有効なNFSライセンスがインストールされている必要があります。

CIFSライセンスはオプションです。マルチプロトコルのネームマッピングを使用する場合にWindowsクレデンシャルを確認するためにのみ必要です。厳密なUNIXのみの環境では必要ありません。

システムでSVMを少なくとも1つ設定しておく必要があります。

各SVMでDNSを設定しておく必要があります。

SVMでNFSを設定しておく必要があります。

最高レベルのセキュリティを確保するには、KerberosでAES-256暗号化のみを許可するようにNFSサーバを設定する必要があります。

マルチプロトコル環境の場合は、SVMでSMBを設定しておく必要があります。SMBサーバはマルチプロトコルのネームマッピングに必要です。

SVMで使用するルートボリュームと少なくとも1つのデータボリュームを設定しておく必要があります。

SVMのルートボリュームを次のように設定しておく必要があります。

ルートボリュームとは異なり、データボリュームにはどちらのセキュリティ形式も使用できます。

SVMで次のUNIXグループを設定しておく必要があります。

SVMで次のUNIXユーザを設定しておく必要があります。

NFSクライアントユーザのSPNに対するKerberos-UNIXネームマッピングがある場合は、nfsユーザは必要ありません。

ルートボリューム、データボリューム、およびqtreeに対するエクスポートポリシーと必要なエクスポートルールを設定しておく必要があります。SVMのすべてのボリュームへのアクセスにKerberosを使用する場合は、ルートボリュームのエクスポートルールオプション、 -rwrule、 -superuser、を、 `krb5i`または `krb5p`に `krb5`設定でき `-rorule`ます。

NFSクライアントユーザSPNによって識別されたユーザにroot権限を付与する場合は、rootへのネームマッピングを作成する必要があります。