/var/kerberos/krb5kdc/kdc.conf文件kdc_tcp_ports配置的值,示例中的KDC端口是88。创建租户和逻辑端口 通过创建租户可以得到与其他租户资源隔离、网络隔离的存储服务。同时,我们还需要为租户创建支持NFS数据协议的逻辑端口,这样在逻辑端口加入Kerberos域后会在KDC上生成NFS服务的服务主体名称(Service Principal Name,SPN)...
第二个版本是NFSv2,早期设计考虑为了性能,只支持udp协议,所以这个v2版本只支持udp协议,而且不支持kerberos进行集中的身份认证,所以相对来说不可靠而且不安全。第三个版本是NFSv3,它加入了对tcp协议的支持,而且部分功能实现了对kerberos的支持。第四个版本是NFSv4,这个版本才算得上是真正意义上的各功能模块完成了对ker...
(10)RPC合并调用: NFSv4允许将多个请求合并为一个rpc引用,在NFSv3每个请求对应一个rpc调用。WAN环境中,NFSv4合并rpc调用可以显著降低延迟。(11)安全性: NFSv4用户验证采用“用户名+域名”的模式,与Windows AD验证方式类似,NFSv4强制使用Kerberos验证方式。(Kerberos与Windows AD都遵循相同RFC1510标准),这样方便...
NFSv4 现完全支持使用 Kerberos 对用户进行身份验证和对所有 NFS 流量进行加密。 我们曾尝试将 Kerberos 与 NFSv3 集成,但是由于使用 NLM/NSM 和其他外部协议,仅加密了数据有效负载。 除非导出策略显式阻止,否则 NFSv3 中的所有访问都受信任。 使用 Kerberos,你现可基于受信任的计算机进行身份验证。 支持对所有 NF...
无法将启用了 Kerberos 的 NFSv4.1 卷转换为 NFSv3。 无法更改双协议卷的 NFS 版本。 无法将单协议 NFS 卷转换为双协议卷,反之亦然。 无法转换跨区域复制关系中的目标卷。 将NFSv4.1 卷转换为 NFSv3 会导致所有高级 NFSv4.1 功能(例如 ACL 和文件锁定)不可用。 将卷从 NFSv3 转换为 NFSv4.1 会导致 ....
如果要装载 NFS Kerberos 卷,请参考配置 NFSv4.1 Kerberos 加密以了解更多详细信息。 备注 还可以通过将卷的协议访问设置为“双协议”,从 Unix 和 Linux 客户端通过 NFS 访问 SMB 卷。双协议设置允许通过 NFS(NFSv3 或 NFSv4.1)和 SMB 访问卷。 有关详细信息,请参阅创建双协议卷。 记下安全样式映射表。
NFSv4允许将多个请求合并为一个rpc引用,在NFSv3每个请求对应一个rpc调用。WAN环境中,NFSv4合并rpc调用可以显著降低延迟。 (11)安全性: NFSv4用户验证采用“用户名+域名”的模式,与Windows AD验证方式类似,NFSv4强制使用Kerberos验证方式。(Kerberos与Windows AD都遵循相同RFC1510标准),这样方便windows和*nix环境混合部...
(3) 可进行密码认证以及Kerberos认证 Q:NFS 应用场景 (1) 比如Kubernetes中多台主机共享存储资源; NFS 版本说明 (1) NFSv2 and NFSv3 代码语言:javascript 代码运行次数:0 运行 AI代码解释 # NFSv3同时支持TCP和UDP传输层协议 # NFSv3使用大量辅助协议通过portmap/rpcbind获取rpc.mounted监听端口,再进行身份验证...
NFSv2和NFSv3传统上来说,不能安全地传输数据。现在所有版本的NFS都有能力对使用Kerberos的普通文件系统进行认证(且进行选择性加密)。在NFSv4下,可以使用Kerberos;在V2或V3下,锁定文件和挂载文件仍无法使用Kerberos。当使用NFSv4时,如果客户处于NAT或者防火墙的保护下,那么可能会关闭授权。 使用防火墙保护NFS服务 NFS服务...
值得一提的是,相比NFSv3版本,NFS v4允许将多个请求合并为一个rpc引用。这一优化在WAN环境中尤为显著,可以有效降低延迟,提升用户体验。(11) NFS v4通过强制使用Kerberos验证方式,显著提升了其安全性。(12) NFS v4.1进一步引入了pNFS概念,为NFS带来了新的扩展功能。接下来,我们将深入探讨pNFS协议的内涵。2010...