强制安全性

除包括 ACL 之外，NFSv4 还通过以下措施提高了上个 NFS 版本的安全性：

l         要求带加密的具有很强的 RPC 安全性

l         通过一个安全的带内系统，协商在服务器和客户端之间使用的安全性类型

l         使用字符串而不是整数来表示用户和组标识符

NFS 安全性已获得基于“一般安全性服务 API (GSS-API)”的安全性附加功能支持，称为 RPCSEC_GSS [RFC2203]。NFS 的所有版本均可以使用 RPCSEC_GSS。但是，要实施一致的 NFS 版本 4 就必须实施 RPCSEC_GSS。RPCSEC_GSS 是分配的类似于常用的 AUTH_SYS 安全性，后者是上个 NFS 版本中标准的身份验证方法。

RPCSEC_GSS 在以下两个方面有别于 AUTH_SYS 和其他传统的 NFS 安全机制：

l         RPCSEC_GSS 不只是身份验证。它能执行完整性校验和与整个 RPC 请求和响应体的加密。因此，RPCSEC_GSS 提供远远不只身份验证的安全性。

l         由于 RPCSEC_GSS 只封装 GSS-API 消息标记 — 它仅作为 Kerberos 等安全机制的特定机制标签的传输 — 添加新安全机制（只要它们符合 GSS-API）不要求重新编写 NFS 的重要部分。

图 1) 配有 AUTH_SYS 的 NFS 与 RPCSEC-GSS 安全性相比。

NFSv3 和 NFSv4 可以使用 RPCSEC-GSS。但是，AUTH_SYS 是 NFSv3 的默认值。

目前 NetApp 或大多数 NFSv4 客户端在 RPCSEC_GSS 下提供的唯一安全机制是 Kerberos 5。Kerberos 是使用对称密钥加密的一种身份验证机制。它从不以明文或加密形式在整个网络中发送密码，并且从不在用户使用网络资源之前，依靠加密票证和会话密钥验证他们的身份。Kerberos 系统采用含有用户名和密码的集中式数据库的密钥分配中心 (KDC)。NetApp 支持两种类型的 KDC：UNIX 和 Windows Active Directory。

只要您需要，您仍然可以选择使用上个 NFS 版本 (AUTH_SYS) 的弱身份验证方法。您可以通过在 exportfs 命令行或 /etc/exports 文件中指定 sec=sys 来完成。使用 AUTH_SYS 时，Data ONTAP 仅支持一个证书内的最多 16 个补充组 ID 加上 1 个主要组 ID。 Kerberos 支持最多 32 个补充组 ID。