网络文件系统(NFS)

在线编辑

网络文件系统 (NFS) 提供对具有 NFS 实现的系统的访问。

NFS 是一种业界标准方法,用于在联网系统上的用户之间共享信息。 大多数主要操作系统 (包括 PC 操作系统) 都提供 NFS。 对于 UNIX 系统, NFS 是访问数据的主要方法。 IBM i 产品可以同时充当 NFS 客户机和 NFS 服务器。

当您是充当 NFS 服务器的 IBM i 平台的安全性管理员时,需要了解和管理 NFS的安全性方面。 建议和注意事项:
  • 必须使用 STRNFSSVR 命令显式启动 NFS 服务器功能。 控制谁有权使用此命令。
  • 通过导出目录或对象,使其可供 NFS 客户机使用。 因此,您可以非常具体的控制系统的哪些部分可供网络中的 NFS 客户机使用。
  • 导出时,可以指定哪些客户机有权访问这些对象。 按系统名称或 IP 地址标识客户机。 客户机可以是单个 PC 或整个 IBM i 产品或 UNIX 系统。 在 NFS 术语中,客户机的 IP 地址称为机器。
  • 导出时,可以为有权访问导出的目录或对象的每台机器指定只读访问权或读/写访问权。 在大多数情况下,您可能希望提供只读访问权。
  • NFS 不提供密码保护。 它旨在实现可信系统社区内的数据共享。 当用户请求访问时,服务器接收用户的用户标识号 (uid)。 一些 uid 注意事项包括:
    • IBM i 产品尝试查找具有相同 uid 的用户概要文件。 如果找到匹配的 uid ,那么将使用用户概要文件的凭证。 凭证是一个 NFS 术语,用于描述如何使用用户的权限。 这类似于其他 IBM i 应用程序中的概要文件交换。
    • 导出目录或对象时,可以指定是否允许具有 root 用户权限的概要文件进行访问。 IBM i 产品上的 NFS 服务器将 root 用户权限等同于 *ALLOBJ 特权。 如果指定不允许 root 用户权限,那么具有映射到具有 *ALLOBJ 特权的用户概要文件的 uid 的 NFS 用户将无法访问该概要文件下的对象。 相反,如果允许匿名访问,那么请求者将映射到匿名概要文件。
    • 导出目录或对象时,可以指定是否允许匿名请求。 匿名请求是具有与系统上的任何 uid 都不匹配的 uid 的请求。 如果选择允许匿名请求,那么系统会将匿名用户映射到 IBM提供的 QNFSANON 用户概要文件。 此用户概要文件没有任何特权或显式权限。 在导出时,您可以根据需要为匿名请求指定其他用户概要文件。
  • 当系统参与 NFS 网络或任何具有依赖于 UUID 的 UNIX 系统的网络时,您可能需要管理自己的 UUID ,而不是让系统自动分配这些 UUID。 您将需要与网络中的其他系统协调 UUID。

    您可能会发现需要更改 UUID ,即使对于 IBM提供的用户概要文件也是如此,以便与网络中的其他系统兼容。 更改用户配置文件的 uid 时,还需要更改该配置文件在根(/)、QOpenSys, 或用户定义文件系统中拥有的所有对象的 uid。 QSYCHGID API 可用于更改用户概要文件的 uid ,并且它将自动更新该概要文件所拥有的所有对象的 uid。