使用 NFS 版本 4.1 时,ESXi 支持 Kerberos 身份验证机制。

Kerberos 是一项身份验证服务,可允许 ESXi 上安装的 NFS 4.1 客户端在挂载 NFS 共享之前向 NFS 服务器证明其身份。Kerberos 在不安全的网络连接中使用加密进行工作。适用于 NFS 4.1 的 Kerberos 的 vSphere 实施仅支持对客户端和服务器进行身份验证,但不提供数据完整性和保密性服务。

使用 Kerberos 身份验证时,需要考虑以下注意事项:

  • ESXi 将 Kerberos 版本 5 与 Active Directory 域和密钥分发中心 (KDC) 配合使用。

  • 作为 vSphere 管理员,您可以指定 Active Directory 凭据以向 NFS 用户提供对 NFS 4.1 Kerberos 数据存储的访问权限。一组凭据可用于访问在该主机上挂载的所有 Kerberos 数据存储。

  • 多个 ESXi 主机共享同一个 NFS 4.1 数据存储时,必须对访问共享数据存储的所有主机使用相同的 Active Directory 凭据。您可以通过设置主机配置文件中的用户并将该配置文件应用到所有 ESXi 主机来自动化此操作。

  • NFS 4.1 不支持 AUTH_SYS 和 Kerberos 同时挂载。

  • 使用 Kerberos 的 NFS 4.1 不支持 IPv6。仅支持 IPv4。