IBM NFS/DFS Authentication Gateway：迁移到 NFS Version 4 的命令和 API

核心提示： 为了利用 NFS Version 4 安全特性，必须在 NFS 服务器和客户端计算机上安装并配置 Kerberos，IBM NFS/DFS Authentication Gateway：迁移到 NFS Version 4 的命令和 API(5)，IBM AIX 5.3 NFS Versio

为了利用 NFS Version 4 安全特性，必须在 NFS 服务器和客户端计算机上安装并配置 Kerberos。IBM AIX 5.3 NFS Version 4 需要安装并配置随 AIX 一起提供的 IBM Network Authentication Service（IBM 风格的 Kerberos）。有关如何配置 IBM AIX 5.3 NFS Version 4 和 IBM Network Authentication Service (IBM NAS) 的详细信息，请阅读 IBM 红皮书 Securing NFS in AIX An Introduction to NFS Version 4 in AIX 5L Version 5.3（请参阅参考资料）。

IBM DFS 利用 IBM DCE 安全性来保证通信安全。由于 Kerberos 是 IBM DCE 安全性的子集，IBM DCE 声称与其他风格的 Kerberos 具有相当的互操作性。IBM NAS 和 IBM DCE 都导出 Generic Security Service Application Program Interface (GSS-API)，应用程序可以用它来进行安全通信。正如 [RFC-2743] 中所定义的，GSS-API 以常规方式为调用者提供安全服务，得到了各类基础机制（例如 Kerberos）和技术的支持，因而使得应用程序具有不同环境中源代码级的可移植性。它是对身份验证、消息来源验证和完整性以及消息机密性进行抽象的一组编程接口集合。

现在回答上面的问题。 本文前面描述的客户端和服务器应用程序可以利用 GSS-API 进行相互身份验证和安全数据交换。由于 GSS-API 组件是 IBM NAS（由 IBM AIX 5.3 NFS Version 4 使用）和 IBM DCE（由 IBM DFS 使用）的一部分，已证明它们是可互操作的，因而不需要附加的软件或基础结构。也可以选择在服务器端安装并配置 IBM NAS，并使用其 GSS-API 组件来代替 IBM DCE 所提供的 GSS-API 组件，尤其是想要在安全通信中使用最新的加密类型（比如 AES）时。

图 2 显示了本文中描述的客户端和服务器端应用程序如何使用现有的基础结构来进行安全的通信，并最终实现通过 IBM AIX NFS Version 4 客户端以身份验证的方式访问 IBM DFS 空间。

图 2. 客户端与服务器端之间的安全流

IBM NFS/DFS Authentication Gateway 应该使用 AIX NFS Version 3 服务器而不是 AIX NFS Version 4 服务器来进行配置。

在上面的描述中，NFS 客户端需要配置到承载 IBM NFS/DFS Authentication Gateway 的 AIX NFS Version 3 服务器，从而使其能够访问 IBM DFS 空间。

由于可安装的 AIX 5.3 NFS 客户端能够配置为同时使用 NFS Version 3 和 NFS Version 4，从而使得上述情况成为可能。

结束语

随着 IBM 声明将结束对 IBM DFS 的支持，NFS Version 4 正在逐渐成为下一代的分布式文件系统。管理员将开始忙于规划迁移策略。本文介绍了管理员应该如何使用 IBM NFS/DFS Authenticating Gateway 以及其相关的命令和 API 来帮助进行从 IBM DFS 到 IBM AIX 5.3 NFS Version 4 的迁移。