一、先搞懂：Kerberized NFS 是什么？核心优势有哪些？

在开始配置前，需先明确 Kerberized NFS 的核心逻辑，避免因 “知其然不知其所以然” 导致配置失误：

Kerberized NFS 本质是 “NFS 协议 + Kerberos 认证” 的结合，通过第三方 “KDC（密钥分发中心）” 实现客户端与 NAS 的双向认证：

1. 客户端需先向 KDC 申请 “票据（Ticket）”，证明自身身份；

2. 客户端向 DSM（NFS 服务器）发起挂载请求时，附带 KDC 签发的票据；

3. DSM 验证票据有效性（确认客户端身份合法），验证通过后建立加密连接，后续数据传输均通过加密通道进行。

Kerberized NFS 依赖 KDC 服务器与特定环境，需先满足以下条件，否则后续配置会直接受阻：

• DSM 版本：需安装 DSM 7.0 及以上版本（DSM 6.2 系列仅支持普通 NFS，无 Kerberized NFS 功能，需升级系统）；

• NFS 客户端：需为 Linux/Unix 系统（如 CentOS 8+、Ubuntu 20.04+、Red Hat Enterprise Linux 8+），Windows 客户端暂不支持 Kerberized NFS 挂载。

KDC 是认证核心，需提前部署并确保正常运行，支持两种常见类型：

需开放以下端口，避免防火墙拦截 Kerberos 与 NFS 通信：

• Kerberos 相关端口：KDC 服务端口（UDP/TCP 88）、Kerberos 密码变更端口（UDP/TCP 464）；

• NFS 相关端口：NFS 服务端口（TCP/UDP 2049）、端口映射器（TCP/UDP 111）、mountd 服务端口（动态端口，建议在 DSM 中固定）。

• DSM 端：需使用拥有 “管理员” 角色的账号登录（Kerberized NFS 配置涉及文件服务、域对接等核心操作，普通用户无权限）；

• 客户端：需使用 root 账号或 sudo 权限（客户端 Kerberos 配置与 NFS 挂载需系统级权限）。

DSM 端是 Kerberized NFS 的 “服务端核心”，需先启用 NFS 服务，再完成 Kerberos 领域配置，确保能与 KDC 服务器通信。

1. 登录 DSM 管理界面，点击「控制面板」→「文件服务」（若桌面有快捷方式可直接打开）；

2. 在「文件服务」页面，切换到「NFS」标签页，勾选「启用 NFS 服务」；

3. （可选但推荐）固定 mountd 端口：点击「高级设置」，勾选「固定 mountd 端口」，输入端口号（如 “4000”，便于防火墙规则配置），点击「确定」；

4. 点击「应用」，等待 NFS 服务启动（约 10 秒，页面会提示 “服务已启动”）。

1. 点击「控制面板」→「域 / LDAP」→「Kerberos 领域」；

2. 点击「新增」，进入 Kerberos 领域配置页，按 KDC 类型填写信息：

• • 若使用 AD KDC：

• • • 「领域名称」：输入 AD 域名称（如 “corp.com”，需与 AD 域控制器一致）；

• • • 「KDC 服务器」：输入 AD 域控制器的 IP 地址（如 “192.168.1.200”）；

• • • 「管理服务器」：同 KDC 服务器 IP（AD 域控制器默认兼任管理服务器）；

• • 若使用 MIT Kerberos KDC：

• • • 「领域名称」：输入 MIT Kerberos 的领域名称（如 “NAS.LOCAL”，需大写）；

• • • 「KDC 服务器」：输入 MIT KDC 服务器 IP（如 “192.168.1.201”）；

• • • 「管理服务器」：输入 MIT Kerberos 管理服务器 IP（若与 KDC 同机，可填相同 IP）；

3. 点击「测试连接」，验证 DSM 能否正常与 KDC 通信（若提示 “连接成功”，继续下一步；若失败，检查 KDC 地址、端口是否开放）；

4. 点击「确定」，完成 Kerberos 领域添加（列表中会显示新增的领域，状态为 “已连接”）。

共享文件夹是 NFS 的 “数据载体”，需为其配置 Kerberized NFS 专属权限，明确哪些客户端可访问、用何种安全模式访问。

1. 点击「控制面板」→「共享文件夹」→「创建」；

2. 填写共享文件夹信息：

• • 「名称」：自定义名称（如 “Kerberos-NFS-Share”，避免含特殊字符）；

• • 「位置」：选择存储卷（如 “Volume 1”，建议使用非系统卷）；

• • 「描述」：可选，填写 “Kerberized NFS 共享文件夹” 便于识别；

3. 取消勾选「启用回收站」（可选，根据需求决定），点击「下一步」；

4. 权限设置：为 “admin” 账号勾选「读取 / 写入」权限（后续客户端访问需映射此账号），点击「下一步」；

5. 点击「完成」，共享文件夹创建成功。

1. 在「共享文件夹」列表中，找到刚创建的 “Kerberos-NFS-Share”，点击「编辑」→「NFS 权限」→「新增」；

2. 配置 NFS 客户端与权限：

• • 「主机名或 IP 地址」：输入允许访问的客户端 IP（如 “192.168.1.10”，支持通配符 “*” 表示所有客户端，生产环境不推荐）；

• • 「安全类型」：选择 Kerberos 安全模式（核心参数，需根据安全需求选择，区别见下表）；

• • 「Squash」：选择 “映射到 admin”（将客户端访问用户映射为 DSM 的 admin 账号，确保权限一致）；

• • 「异步」：勾选（提升 NFS 性能，若需强数据一致性可取消）；

• • 「允许来自非特权端口的连接」：取消勾选（仅允许客户端通过特权端口访问，更安全）；

3. 点击「确定」，完成 NFS 权限添加（列表中会显示客户端 IP、安全类型等信息）。

客户端需先配置 Kerberos 环境、获取认证票据，才能成功挂载 DSM 的 Kerberized NFS 共享（以 CentOS 8 为例，其他 Linux 系统操作类似）。

1. 登录 Linux 客户端，使用 root 账号执行以下命令，安装 Kerberos 客户端套件：

（Ubuntu 系统替换为：apt install krb5-user libkrb53 -y）

2. 安装完成后，执行krb5-config命令，确认工具正常（无报错即正常）。

1. 编辑 Kerberos 配置文件/etc/krb5.conf，执行命令：

2. 按以下格式修改内容（需与 DSM 的 Kerberos 领域配置一致）：

3. 按「Esc」→输入「:wq」保存并退出 vi 编辑器。

1. 执行以下命令，使用 KDC 中为客户端创建的账号（如 “client1”）获取票据：

（注意：领域名称需大写，与krb5.conf中的default_realm一致）

2. 输入该账号的 Kerberos 密码（由 KDC 管理员提前设置），无报错即表示票据获取成功；

3. 执行klist命令，验证票据信息（显示 “Valid starting”“Expires” 等字段，说明票据有效）。

1. 在客户端创建挂载点目录（如 “/mnt/kerberos-nfs”）：

2. 执行挂载命令（需指定安全类型，与 DSM 中配置的一致，以 krb5p 为例）：

• • 命令说明：

• • • sec=krb5p：指定安全类型为 krb5p（需与 DSM 的 NFS 权限配置一致，若 DSM 用 krb5i 则改为sec=krb5i）；

• • • 192.168.1.100：DSM 的 IP 地址；

• • • /volume1/Kerberos-NFS-Share：DSM 中共享文件夹的绝对路径（卷名 + 文件夹名）；

• • • /mnt/kerberos-nfs：客户端的挂载点目录；

3. 执行mount命令，查看挂载状态（显示 “type nfs (rw,sec=krb5p,...)”，说明挂载成功）。

挂载后需通过读写测试、安全类型验证，确保配置无问题：

1. 在客户端挂载点目录创建测试文件：

2. 读取测试文件内容：

若显示 “Kerberized NFS Test File”，说明客户端可正常读写共享文件夹；

3. 登录 DSM 的 File Station，打开 “Kerberos-NFS-Share” 文件夹，确认 “test.txt” 已存在（双向验证数据同步正常）。

1. 在客户端执行以下命令，查看 NFS 挂载的安全参数：

2. 输出结果中若包含 “sec=krb5p”（或你选择的安全类型），说明客户端确实通过 Kerberized NFS 挂载，而非普通 NFS。

配置过程中易因参数不匹配、网络问题导致失败，以下是官方推荐的解决方法：

1. 票据管理：Kerberos 票据默认 24 小时过期，需定期续订（生产环境建议配置自动续订，避免挂载突然失效）；

2. 权限同步：若修改 DSM 共享文件夹的本地权限（如删除 admin 权限），需同步检查 NFS 权限，避免权限冲突；

3. 备份配置：备份 DSM 的 Kerberos 领域配置（截图保存）与客户端的krb5.conf文件，避免重装系统后重新配置；

4. 端口安全：生产环境中，NFS 与 Kerberos 端口仅开放给授权客户端 IP（通过防火墙限制，不建议全网开放）；

5. 版本兼容：升级 DSM 或客户端系统前，先确认新版本是否支持当前 Kerberized NFS 配置（参考 Synology 官方兼容性列表）。

Synology DSM Kerberized NFS 的配置核心是 “DSM 对接 KDC + 客户端 Kerberos 认证”，需严格遵循 “环境准备→DSM 服务配置→权限设置→客户端挂载” 的流程，尤其注意安全类型选择（生产环境优先 krb5p）、KDC 连接验证、票据管理这三个关键点。配置后通过读写测试与安全类型验证，确保实际使用的是 Kerberized NFS，而非普通 NFS，才能真正保障共享数据的安全。

若需进一步了解 Kerberized NFS 的高级配置（如自动挂载、多 KDC 冗余），可参考 Synology 官方教程（https://kb.synology.cn/zh-cn/DSM/tutorial/how_to_set_up_kerberized_NFS），获取更贴合企业场景的优化建议。