Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Requisitos para configurar Kerberos com NFS

Colaboradores

Antes de configurar o Kerberos com NFS no sistema, você deve verificar se determinados itens no ambiente de rede e armazenamento estão configurados corretamente.

Observação

As etapas para configurar seu ambiente dependem de qual versão e tipo de sistema operacional cliente, controlador de domínio, Kerberos, DNS, etc. que você está usando. Documentar todas essas variáveis está além do escopo deste documento. Para obter mais informações, consulte a respetiva documentação para cada componente.

Para um exemplo detalhado de como configurar o ONTAP e o Kerberos 5 com NFSv3 e NFSv4 em um ambiente usando o ative Directory do Windows Server 2008 R2 e hosts Linux, consulte o relatório técnico 4073.

Os seguintes itens devem ser configurados primeiro:

Requisitos de ambiente de rede

  • Kerberos

    Você deve ter uma configuração Kerberos funcionando com um centro de distribuição de chaves (KDC), como Kerberos baseados no ative Directory do Windows ou MIT Kerberos.

    Os servidores NFS devem usar nfs como o componente principal de sua máquina principal.

  • Serviço de diretório

    Você deve usar um serviço de diretório seguro em seu ambiente, como ative Directory ou OpenLDAP, que esteja configurado para usar LDAP em SSL/TLS.

  • NTP

    Você deve ter um servidor de tempo de trabalho executando NTP. Isso é necessário para evitar a falha de autenticação Kerberos devido ao desvio de tempo.

  • Resolução de nome de domínio (DNS)

    Cada cliente UNIX e cada SVM LIF devem ter um Registro de serviço (SRV) adequado registrado no KDC em zonas de pesquisa direta e inversa. Todos os participantes devem ser solucionáveis corretamente via DNS.

  • Contas de utilizador

    Cada cliente deve ter uma conta de usuário no Reino Kerberos. Os servidores NFS devem usar "nfs" como o componente principal de sua máquina principal.

Requisitos do cliente NFS

  • NFS

    Cada cliente deve ser configurado corretamente para se comunicar através da rede usando NFSv3 ou NFSv4.

    Os clientes devem suportar RFC1964 e RFC2203.

  • Kerberos

    Cada cliente deve ser configurado corretamente para usar a autenticação Kerberos, incluindo os seguintes detalhes:

    • A encriptação para comunicação TGS está ativada.

      AES-256 para maior segurança.

    • O tipo de encriptação mais seguro para comunicação TGT está ativado.

    • O domínio e o domínio Kerberos estão configurados corretamente.

    • O GSS está ativado.

      Ao usar credenciais de máquina:

    • Não execute gssd com o -n parâmetro.

    • Não execute kinit como usuário raiz.

  • Cada cliente deve usar a versão mais recente e atualizada do sistema operacional.

    Isso fornece a melhor compatibilidade e confiabilidade para criptografia AES com Kerberos.

  • DNS

    Cada cliente deve ser configurado corretamente para usar o DNS para a resolução correta do nome.

  • NTP

    Cada cliente deve estar sincronizando com o servidor NTP.

  • Informações de host e domínio

    Cada cliente /etc/hosts e /etc/resolv.conf arquivos devem conter o nome de host correto e as informações de DNS, respetivamente.

  • Ficheiros keytab

    Cada cliente deve ter um arquivo keytab do KDC. O Reino deve estar em letras maiúsculas. O tipo de criptografia deve ser AES-256 para maior segurança.

  • Opcional: Para obter o melhor desempenho, os clientes se beneficiam de ter pelo menos duas interfaces de rede: Uma para comunicação com a rede local e outra para comunicação com a rede de armazenamento.

Requisitos do sistema de storage

  • Licença NFS

    O sistema de storage deve ter uma licença NFS válida instalada.

  • Licença CIFS

    A licença CIFS é opcional. Só é necessário para verificar credenciais do Windows ao usar mapeamento de nomes multiprotocolo. Não é necessário em um ambiente restrito somente para UNIX.

  • SVM

    Você precisa ter pelo menos um SVM configurado no sistema.

  • DNS na SVM

    Você deve ter DNS configurado em cada SVM.

  • Servidor NFS

    Você precisa ter o NFS configurado na SVM.

  • Criptografia AES

    Para uma segurança mais forte, você deve configurar o servidor NFS para permitir apenas criptografia AES-256 para Kerberos.

  • Servidor SMB

    Se você estiver executando um ambiente multiprotocolo, deverá ter o SMB configurado na SVM. O servidor SMB é necessário para o mapeamento de nomes multiprotocolo.

  • Volumes

    Você precisa ter um volume raiz e pelo menos um volume de dados configurados para uso pelo SVM.

  • Volume raiz

    O volume raiz do SVM precisa ter a seguinte configuração:

    Nome Definição

    Estilo de segurança

    UNIX

    UID

    Raiz ou ID 0

    GID

    Raiz ou ID 0

    Permissões da UNIX

    777

    Em contraste com o volume raiz, os volumes de dados podem ter um estilo de segurança.

  • Grupos UNIX

    O SVM deve ter os seguintes grupos UNIX configurados:

    Nome do grupo ID do grupo

    daemon

    1

    raiz

    0

    pcuser

    65534 (criado automaticamente pelo ONTAP ao criar o SVM)

  • Utilizadores UNIX

    O SVM deve ter os seguintes usuários UNIX configurados:

    Nome de utilizador ID de utilizador ID do grupo principal Comentário

    nfs

    500

    0

    Necessário para a fase INIT do GSS

    O primeiro componente do usuário cliente NFS SPN é usado como usuário.

    pcuser

    65534

    65534

    Necessário para uso multiprotocolo NFS e CIFS

    Criado e adicionado ao grupo pcuser automaticamente pelo ONTAP ao criar o SVM.

    raiz

    0

    0

    Necessário para a montagem

    O usuário nfs não é necessário se existir um mapeamento de nomes Kerberos-UNIX para o SPN do usuário cliente NFS.

  • Políticas e regras de exportação

    Você deve ter configurado políticas de exportação com as regras de exportação necessárias para os volumes raiz e de dados e qtrees. Se todos os volumes da SVM forem acessados por Kerberos, você poderá definir as opções de regra de exportação -rorule , -rwrule e -superuser para o volume raiz como krb5 , krb5i ou krb5p.

  • Mapeamento de nomes Kerberos-UNIX

    Se você quiser que o usuário identificado pelo usuário cliente NFS SPN tenha permissões de raiz, você deve criar um mapeamento de nome para root.