IBM NFS/DFS Authentication Gateway：迁移到 NFS Version 4 的命令和 API

核心提示： 操作成功之后，用户将可以以身份验证的方式访问 IBM DFS 空间，IBM NFS/DFS Authentication Gateway：迁移到 NFS Version 4 的命令和 API(4)，而 NFS 客户端能够如 DFS 客户端一样浏览相同的文件系统层次结构，现在，NFS Ver

操作成功之后，用户将可以以身份验证的方式访问 IBM DFS 空间，而 NFS 客户端能够如 DFS 客户端一样浏览相同的文件系统层次结构。现在，用户既可以访问驻留于 NFS Version 4 空间的迁移数据，又可以访问仍驻留于 IBM DFS 空间的数据。

服务器端

驻留在承载 IBM NFS/DFS Authenticating Gateway 的计算机上的服务器程序需要在系统启动时执行，或者由管理员手动执行。

服务器程序：

持续侦听客户端请求。

一旦接收到客户端请求，服务器就接受客户端传递的数据（DCE 用户名、DCE 密码、远程主机名、远程 userID 以及需要执行的操作）。

然后，它根据接收到的数据确定参数，以调用 dceiauthcall() 函数。

将上述函数的结果返回至客户端，并在服务器上记录该信息。

图 1概要显示了通过 NFS Version 4 客户端以身份验证的方式访问 IBM DFS 空间时客户端和服务器端应用程序之间所发生的事件。

图 1. 以身份验证的方式访问 IBM DCE DFS 时客户端和服务器端之间发生的事件

安全

对于上述方法，还有几个问题需要解决：

服务器程序如何对客户端程序进行身份验证，反过来又如何？

客户端程序如何安全地将信息传递给服务器，反过来又如何？

通过 IBM AIX® 5.3 NFS Version 4 和 IBM DCE DFS 的现有基础结构及其所需的软件是否能够保证安全？

在解决这些问题之前，我们先简要地讨论一下 NFS Version 4 和 DFS 的安全模块。NFS Version 4 的主要特性之一就是它对增强型安全方案的支持，该方案允许更强的身份验证、细粒度的访问控制以及加密的数据通信。NFS Version 4 使用的 Kerberos 就是此类安全协议之一，目前它支持各种 NFS Version 4 实现，比如 IBM AIX 5.3 NFS Version 4 和 open NFS Version 4。