Kerberos-fähige Dateisysteme mounten

Berücksichtigen Sie die folgenden Szenarios beim Mounten von File Storage-Kerberos-fähigen Dateisystemen.

Das Mounten eines Dateisystems, das die Kerberos-Authentifizierung verwendet, erfordert zusätzliche Berücksichtigung des Root-, Administrator- und anonymen Zugriffs, je nachdem, welcher Benutzer das Dateisystem einhängt. Das Einhängen des Dateisystems als einer dieser Benutzer erfordert möglicherweise Aktualisierungen an NFS-Exportoptionen.

Hinweis

Unabhängig davon, ob der Benutzer das Dateisystem mounte, verwenden Sie beim Mounten des Dateisystems den vollqualifizierten Domainnamen (FQDN) des Mountziels anstelle der IP-Adresse.

Ein Dateisystem als Linux-Root-Benutzer mounten

Wenn in Linux der Root-Benutzer zum Mounten des Dateisystems verwendet wird, durchsucht der NFS-Client die Schlüsseltabelle nach Principals in der folgenden Reihenfolge:

  1. <HOSTNAME>$@<REALM>
  2. root/<hostname>@<REALM>
  3. nfs/<hostname>@<REALM>
  4. host/<hostname>@<REALM>

Nachdem der NFS-Client das Ticket für einen dieser Principals abgerufen hat, wird dieses Ticket dem Mountziel angezeigt. Wenn der anonyme Zugriff für den Export nicht aktiviert ist, muss mindestens einer der vorherigen Benutzer auf dem LDAP-Server vorhanden sein, auf dem sie UID und GID zugeordnet sind. Wenn der Root-Zugriff bevorzugt wird, ordnen Sie die Benutzer der UID/GID 0 zu.

Zugriffsanforderungen sind nicht erfolgreich, wenn ein Benutzer, der mit <HOSTNAME>$, root, nfs oder host übereinstimmt, in LDAP nicht verfügbar ist und der anonyme Zugriff nicht für den Export aktiviert ist. Verwenden Sie den Befehl klist, um zu prüfen, ob einer dieser Benutzer auf dem Client vorhanden ist.

Weitere Informationen finden Sie unter LDAP-Lookups und anonymer Zugriff.

Ein Dateisystem als Windows-Benutzer mounten

Unter Windows ist der Benutzer, der auf das Dateisystem zugreift, der Benutzer, der das Dateisystem einhängt. Der Principal, der zum Einhängen des Dateisystems verwendet wird, ist <username>@<REALM>.

Wenn Administratorzugriff für den File Storage-Export erforderlich ist, ordnen Sie den entsprechenden Benutzer mit dem LDAP-Server UID/GID 0 zu.