AIX 5.3版本中NFS Version 4的新特性
*增强的安全特性。支持RPCSEC-GSS和使用身份映射(Identity Mapping)访问远程域。
*文件加锁功能改为在NFS核心协议中实现。rpc.lockd, rpc.statd和rpc.mountd在NFS V4中将不再被使用(但是它们仍然存在于AIX操作系统中,以支持使用NFS V2和NFS V3的客户机)。这种实现也将使为NFS服务器配置防火墙更加简单。
*NFS V4只支持TCP协议。UDP协议不能用于NFS V4。
*NFS V4可以和JFS2文件系统结合支持ACL(访问控制列表)功能。NFS V4中的ACL将支持继续功能。
下面我们对这些新功能进行具体的介绍。
一、基于RPCSEC-GSS RPC的身份验证
NFS V4可以通过配置来使用RPCSEC-GSS RPC方式的身份验证,从而提高协议的安全性。使用RPCSEC-GSS RPC不是必须的,以前的身份验证方式(AUTH_SYS)也可以和NFS V4配合使用。RPCSEC-GSS RPC基于GSS-API,它答应在不安装新的RPC安全方法的情况下使用多种安全手段。
除了身份验证之外,这种安全机制还可以提供可选择的、多重的数据保护措施,比如数据的完整性和私秘性。RPCSEC-GSS服务负责指定数据保护的级别。NFS V4需要客户机和服务器来协商身份验证的方式和数据保护的级别。
二、文件加锁
在NFS V4协议中,文件加锁的实现和以前的NFS协议有很大的不同。为文件加锁的RPC操作从分离的协议移到了核心协议之中。独立的网络加锁治理器(NLM)以及与之对应的rpc.lockd、rpc.statd在NFS V4中不再被需要。但是,它们仍然存在于AIX 5.3操作系统中,以便为使用过去版本的NFS客户机服务。另外,过去的NFS协议是“无状态”(stateless)的,而NFS V4协议是“有状态”(stateful)的。
三、文件访问控制列表支持
NFS V4协议为访问控制列表定义了模板和数据类型,并且支持在客户端和服务器之间传递访问控制列表的RPC操作。NFS V4中定义的访问控制列表和PC环境中的访问控制列表十分接近。AIX 5.3的NFS V4客户端和服务器都支持访问控制列表。
1、NFS V4服务器
当AIX 5.3作为NFS服务器使用时,它能够同时支持多种客户机,包括运行AIX操作系统或其它操作系统的。AIX 5.3可以响应来自客户机的访问控制列表操作请求,包括查询和设置底层文件系统的访问控制列表。只有当底层的文件系统支持NFS V4的访问控制列表时,这些操作请求才会正确完成。在AIX 5.3中,JFS2文件系统可以支持NFS V4的访问控制列表操作。
2、NFS V4客户机
当AIX 5.3作为NFS客户机使用时,假如NFS服务器支持NFS V4的访问控制列表,AIX 5.3能够发起查询和修改访问控制列表的请求。
四、新的NFS进程
1、nfsrgyd:nfsrgyd负责NFS服务器和客户机之间的名字翻译。它必须运行于要使用NFS V4的服务器和客户机上。
2、gssd: 提供基于GSS的安全服务。要使用GSS安全方法时此服务需要运行。