配置 NFS 用户允许的组 ID 数量
建议更改
PDF
默认情况下,在使用 Kerberos ( RPCSEC_GSS )身份验证处理 NFS 用户凭据时, ONTAP 最多支持 32 个组 ID 。使用 AUTH_SYS 身份验证时,默认的最大组 ID 数为 16 ,如 RFC 5531 中所定义。如果用户所属的组超过默认组数,则可以将最大值增加到 1 , 024 。
如果用户凭据中的组 ID 超过默认数量,则其余组 ID 将被截断,并且用户在尝试从存储系统访问文件时可能会收到错误。您应将每个 SVM 的最大组数设置为表示环境中最大组数的数字。
|
要了解启用扩展(`-auth-sys-extended-groups`组(使用的组ID超过默认最大值16)的AUT_SYS身份验证前提条件,请参阅以下知识库文章: "针对ONTAP 9的NFS身份验证、auth_SYS扩展组发生了更改"。 |
下表显示了的两个参数 vserver nfs modify 用于确定三个示例配置中组ID最大数量的命令:
Parameters |
设置 |
生成的组 ID 限制 |
|
这些是默认设置。 |
RPCSEC_GSS : 32 AUTH_SYS : 16 |
|
|
RPCSEC_GSS:256 AUTH_SYS : 16 |
|
|
RPCSEC_GSS:512 auth_SYS:512 |
-
将权限级别设置为高级:
set -privilege advanced -
执行所需的操作:
如果要设置允许的最大辅助组数 …
输入命令 …
仅适用于 RPCSEC_GSS ,并保持 AUTH_SYS 设置为默认值 16
vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups disabled适用于 RPCSEC_GSS 和 AUTH_SYS
vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups enabled -
验证
-extended-groups-limit值并验证AUTH _SYS是否正在使用扩展组:vserver nfs show -vserver vserver_name -fields auth-sys-extended-groups,extended-groups-limit -
返回到管理权限级别:
set -privilege admin
以下示例将为 AUTH_SYS 身份验证启用扩展组,并将 AUTH_SYS 和 RPCSEC_GSS 身份验证的最大扩展组数设置为 512 。这些更改仅适用于访问名为 vs1 的 SVM 的客户端:
vs1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use
them only when directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y
vs1::*> vserver nfs modify -vserver vs1 -auth-sys-extended-groups enabled -extended-groups-limit 512
vs1::*> vserver nfs show -vserver vs1 -fields auth-sys-extended-groups,extended-groups-limit
vserver auth-sys-extended-groups extended-groups-limit
------- ------------------------ ---------------------
vs1 enabled 512
vs1::*> set -privilege admin