|
如果客户端使用的安全类型未列在导出规则的访问参数中,您可以选择拒绝此客户端访问,也可以在访问参数中使用选项 none 将其映射到匿名用户 ID。
客户端使用的安全类型可能未列在访问参数中,因为它是使用其他安全类型进行身份验证的或者根本未进行过身份验证(安全类型为 AUTH_NONE)。默认情况下,系统会自动拒绝此客户端对相应级别进行访问。但是,您可以将选项 none 添加到访问参数中。这样,使用不明安全模式的客户端将映射到匿名用户 ID。-anon 参数用于确定分配给此类客户端的用户 ID。为 -anon 参数指定的用户 ID 必须代表一个有效用户,并且已为此用户配置您认为适合匿名用户的权限。
-anon 参数的有效值范围为 0 到 65535。
| 为 -anon 分配的用户 ID | 处理客户端访问请求的结果 |
|---|---|
| 0 - 65533 | 客户端访问请求映射到匿名用户 ID,并根据为此用户配置的权限获得相应访问权限。 |
| 65534 | 客户端访问请求映射到用户 nobody,并根据为此用户配置的权限获得相应访问权限。这是默认值。 |
| 65535 | 拒绝映射到此 ID 的任何客户端访问请求,并且此客户端使用安全类型 AUTH_NONE。 如果客户端的用户 ID 为 0,则拒绝映射到此 ID 的客户端访问请求,并且此客户端使用任何其他安全类型。 |
| 只读包含 none | 读写包含 none | 使用不明安全类型的客户端的访问权限 |
|---|---|---|
| 否 | 否 | 拒绝 |
| 否 | 是 | 拒绝,因为系统会先处理只读参数 |
| 是 | 否 | 以匿名身份只读 |
| 是 | 是 | 以匿名身份读写 |
导出策略包含具有以下参数的导出规则:
客户端 1 的 IP 地址为 10.1.16.207,使用 NFSv3 协议发送访问请求,并使用 Kerberos v5 进行身份验证。
客户端 2 的 IP 地址为 10.1.16.211,使用 NFSv3 协议发送访问请求,并使用 AUTH_SYS 进行身份验证。
客户端 3 的 IP 地址为 10.1.16.234,使用 NFSv3 协议发送访问请求,并且未进行身份验证(表示安全类型为 AUTH_NONE)。
所有三个客户端的客户端访问协议和 IP 地址均匹配。只读参数允许通过 AUTH_SYS 进行身份验证的客户端使用自己的用户 ID 进行只读访问。只读参数允许使用任何其他安全类型进行身份验证的客户端以用户 ID 为 70 的匿名用户身份进行只读访问。读写参数允许使用任何安全类型进行读写访问,但在这种情况下仅适用于已通过只读规则筛选的客户端。
因此,客户端 1 和 3 只能以用户 ID 为 70 的匿名用户身份进行读写访问。客户端 2 可以使用自己的用户 ID 进行读写访问。
导出策略包含具有以下参数的导出规则:
客户端 1 的 IP 地址为 10.1.16.207,使用 NFSv3 协议发送访问请求,并使用 Kerberos v5 进行身份验证。
客户端 2 的 IP 地址为 10.1.16.211,使用 NFSv3 协议发送访问请求,并使用 AUTH_SYS 进行身份验证。
客户端 3 的 IP 地址为 10.1.16.234,使用 NFSv3 协议发送访问请求,并且未进行身份验证(表示安全类型为 AUTH_NONE)。
所有三个客户端的客户端访问协议和 IP 地址均匹配。只读参数允许通过 AUTH_SYS 进行身份验证的客户端使用自己的用户 ID 进行只读访问。只读参数允许使用任何其他安全类型进行身份验证的客户端以用户 ID 为 70 的匿名用户身份进行只读访问。读写参数仅允许以匿名用户身份进行读写访问。
因此,客户端 1 和 3 只能以用户 ID 为 70 的匿名用户身份进行读写访问。客户端 2 可以使用自己的用户 ID 进行只读访问,但不能进行读写访问。