設定NFS使用者所允許的群組ID數目
建議變更
PDF
根據預設、ONTAP 使用Kerberos(RPCSEC_GSS)驗證處理NFS使用者認證時、支援最多32個群組ID。使用AUTH_SYS驗證時、預設的群組ID最大數量為16、如RFC 5531所定義。如果您的使用者成員超過預設群組數、則最多可增加1,024個。
如果使用者的認證中有超過預設的群組ID數目、則其餘的群組ID會被刪減、而且使用者在嘗試從儲存系統存取檔案時可能會收到錯誤訊息。您應該將每個SVM的最大群組數設定為代表環境中最大群組數的數字。
|
若要瞭解啟用延伸(`-auth-sys-extended-groups`群組的 AUTH_SYS 驗證必要條件 ) ,請參閱本知識庫文件: "驗證 ONTAP 9 的 NFS 驗證延伸群組變更"。 |
下表顯示的兩個參數 vserver nfs modify 決定三個範例組態中群組 ID 最大數目的命令:
參數 |
設定 |
產生的群組ID限制 |
|
這些是預設設定。 |
RPCSEC_GSS:32 AUTH_SYS:16 |
|
|
RPCSEC_GSS : 256 AUTH_SYS:16 |
|
|
RPCSEC_GSS : 512 驗證系統: 512 |
-
將權限層級設為進階:
set -privilege advanced -
執行所需的動作:
如果您要設定允許的輔助群組數目上限…
輸入命令…
僅適用於RPCSEC_GSS、並將AUTH_SYS設為預設值16
vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups disabled適用於RPCSEC_GSS和AUTH_SYS
vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups enabled -
驗證
-extended-groups-limit並驗證 AUTH_SYS 是否使用延伸群組:vserver nfs show -vserver vserver_name -fields auth-sys-extended-groups,extended-groups-limit -
返回管理權限層級:
set -privilege admin
下列範例可啟用AUTH_SYS驗證的延伸群組、並將AUTH_SYS和RPCSEC_GSS驗證的延伸群組數目上限設為512。這些變更僅適用於存取名為VS1的SVM的用戶端:
vs1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use
them only when directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y
vs1::*> vserver nfs modify -vserver vs1 -auth-sys-extended-groups enabled -extended-groups-limit 512
vs1::*> vserver nfs show -vserver vs1 -fields auth-sys-extended-groups,extended-groups-limit
vserver auth-sys-extended-groups extended-groups-limit
------- ------------------------ ---------------------
vs1 enabled 512
vs1::*> set -privilege admin