Start

Verbindungseinstellungen im Detail

macOS unterstützt eine große Zahl von Einstellungen, die für jede Aktivierung einzeln definiert werden können. NFS Manager gliedert die Einstellungen in fünf Bereiche:

Diese Bereiche werden jeweils durch eine Karteikarte angezeigt, wenn der Knopf Weitere Optionen einblenden betätigt wurde.

HINWEIS FÜR ERFAHRENE UNIX-VERWALTER: Vielleicht sind Ihnen die Aktivierungseinstellungen nur unter den Kurznamen bekannt, die auf der Kommandozeile verwendet werden. Um Ihnen die Zuordnung zu erleichtern, zeigt NFS Manager die Kurznamen als Hilfeeinblendung an, wenn Sie mit dem Mauszeiger länger auf dem Eingabefeld einer Option verweilen.

Dateisystem

Als „Nur zum Lesen“ aktivieren: Beim Ankreuzen dieser Auswahl wird jeder Schreibzugriff auf die Freigabe gesperrt, selbst wenn der Benutzer Schreibrecht hätte. Das Netz-Volume verhält sich wie ein Nur-Lese-Medium, z.B. eine CD oder DVD.

Zugriffsrecht zum Festlegen der Benutzer-ID („Set User ID“) ignorieren: Ist dieses Feld angekreuzt, werden die speziellen Berechtigungsmarkierungen SUID und SGID für Dateien des Servers nicht mehr beachtet. Ist ein auf dem Server gespeichertes Programm mit solchen Markierungen versehen, wird macOS beim Start dieses Programms ansonsten gezwungen, das Programm unter dem Namen eines fremden Benutzers oder einer fremden Gruppe auszuführen, ohne dass eine Kennworteingabe erforderlich wäre. Hierbei kann es sich sogar um den obersten Systemverwalter root handeln. Da dies eine ernste Sicherheitslücke sein kann, ist es empfehlenswert, das Feld angekreuzt zu lassen.

Unix-Gerätedateien ignorieren: In jedem Unix-Dateisystem gibt es spezielle Dateien, die den Direktzugriff auf angeschlossene Geräte ermöglichen. Diese Dateien befinden sich normalerweise im Ordner /dev. Wird die Option eingeschaltet, wird der Zugriff auf solche Dateien gesperrt.

Eigentümer ignorieren: Beim Ankreuzen dieser Option werden die Angaben zu Eigentümer und Gruppeneigentümer für Dateien auf der Freigabe nicht mehr beachtet. Stattdessen wird das Volume wie ein Wechseldatenträger behandelt, wodurch der Benutzer, der die Aktivierung veranlasst hat, zum wirksamen Eigentümer aller Daten wird.

HINWEIS: Obwohl macOS diese Option grundsätzlich beachtet, kann macOS im Einzelfall aus Sicherheitsgründen entscheiden, diese Einstellung nicht wirksam werden zu lassen.

Ausführung von Programmen verbieten: Mit dieser Funktion wird verhindert, dass der Klient Programme ausführen kann, die innerhalb der freigegebenen Daten gespeichert sind. Dies ist dann zu empfehlen, wenn es sich um Programme handelt, die nur für den Server gedacht sind und der Server einen anderen Prozessortyp oder ein ganz anderes Betriebssystem verwendet. macOS würde die Programme sowieso nicht „verstehen“.

Dateizugriffszeiten nicht aktualisieren: In vielen Betriebssystemen wird bei jedem Objekt als Attribut gespeichert, wann zum letzten Mal auf das Objekt zugegriffen wurde. Wird die Option eingeschaltet, werden diese Attribute bei Zugriffen auf die Daten des NFS-Servers nicht aktualisiert.

Aktualisierung von Dateizugriffszeiten auch bei Geschwindigkeitsnachteil: macOS kann sich automatisch dazu entschließen, die Dateizugriffszeiten auf bestimmten Dateisystemen nicht zu aktualisieren wenn dies zu schlechtem Datendurchsatz führen könnte. Falls diese Option eingeschaltet wird, können Sie macOS dazu zwingen, die Dateizugriffsattribute immer zu aktualisieren, auch wenn dies Geschwindigkeitsprobleme auslösen könnte.

Inhalt mit Ordner am Aktivierungsort überlagern: Enthält der Ordner, der als Aktivierungsort verwendet wird, bereits lokale Dateien, so werden diese Dateien vorübergehend weggeblendet, während die Verbindung zum NFS-Server aktiv ist. Alternativ können die Daten aber auch mit den Daten des Servers überblendet werden, d.h. die Ordner scheinen sich zu mischen. Diese Betriebsart wird auch als Union Mount bezeichnet. Hierbei gelten die folgenden Regeln: Werden Dateien oder Ordner neu angelegt, so werden sie auf dem NFS-Server gespeichert. Wird auf ein Objekt zugegriffen, so wird zunächst versucht, es auf dem NFS-Server zu öffnen. Ist es dort nicht vorhanden, erfolgt der Zugriff auf das lokale Dateisystem.

Im Finder verbergen: Wird diese Wahlmöglichkeit eingeschaltet, wird der Aktivierungsort im Finder oder ähnlichen grafischen Dateisystem-Browsern nicht angezeigt. Dies für „interne“ Daten nützlich, die nur vom Betriebssystem verwendet, aber normalen Benutzer verborgen bleiben sollen.

Anzeige im Finder erzwingen: Einige Versionen von macOS verfolgen die eingebaute Strategie, automatische NFS-Verbindungen niemals im Finder anzuzeigen, selbst wenn die im vorigen Punkt genannte Option zum Verbergen nicht eingeschaltet ist. Falls Ihr System von diesem Problem betroffen ist und Sie den Finder dazu bringen möchten, automatische Aktivierungen wie normale Volumes zu behandeln, schalten Sie diesen Punkt ein.

Symbolischen Links am Einblendungspunkt nicht folgen: Falls Sie ein Objekt als Einblendungspunkt angeben, das ein oder mehrere symbolische Links in seinem Dateisystempfad hat, können Sie macOS anweisen, zum Zeitpunkt der Ausführung des Verbindungsvorgangs keinem dieser Links zu folgen.

Asynchrone Ausführung auf dem Server nicht erzwingen: Im asynchronen Betrieb wird es dem Server gestattet, dem Klienten bereits das erfolgreiche Schreiben von Daten zu bestätigen, selbst wenn der Server noch nicht sicher ist, dass die Daten tatsächlich gespeichert wurden (z.B. weil er noch keine positive Rückmeldung von den Festplatteneinheiten hat). Der Klient muss nicht auf den Server warten. Hierdurch wird der Betrieb schneller, aber es besteht das Risiko des unbemerkten Datenverlustes, da der Klient niemals „wissen“ kann, ob die Daten tatsächlich gespeichert sind. Wird dieser Punkt angekreuzt, dann wird der Server auf keinen Fall vom Klienten gezwungen, den Asynchronbetrieb einzuschalten. Ob die Verbindung tatsächlich asynchron betrieben wird, hängt nun von den Standardeinstellungen auf Server und Klient ab.

Warten bis Server jeweilige Operation beendet hat (Synchronmodus): Beim Ankreuzen dieses Punktes wird die Verbindung auf jeden Fall synchron betrieben. Führt der Klient eine Schreiboperation auf dem Server aus, muss er auf jeden Fall warten, bis die Operation tatsächlich beendet ist. Dies schließt die Gefahr unbemerkter Datenverluste aus, verringert jedoch die Geschwindigkeit.

Hängende Operationen dürfen ohne Server-Antwort abgebrochen werden: Diese Option steuert, wie sich der Klient verhalten soll, wenn die Verbindung zum Server mitten während einer Zugriffsoperation abreißt. Im Normalfall beobachtet das Betriebssystem des Klienten die Verbindung und hält alle betroffenen Dateioperationen an, bis die Verbindung wieder in Ordnung ist. Auf diese Weise können keine Daten verloren gehen, beim Hängen des Servers werden automatisch aber auch alle betroffenen Klienten festhängen. Wird das Feld angekreuzt, dann gestattet es das Klientenbetriebssystem, alle Programme, die vom Ausfall des Servers betroffen sind, abzubrechen. Verwendet der Benutzer die Funktion Sofort Beenden von macOS, um die Programme abzubrechen, gehen zwar die gerade zum Server übertragenen Daten verloren, aber der Klient kann weiterarbeiten.

Operationen sollen fehlschlagen wenn Server nicht antwortet („soft“): Tritt ein Verbindungsproblem auf, so versucht der Klient im Normalfall endlos, die Daten neu zu übertragen, bis die Verbindung wieder steht. Wird diese Option eingeschaltet, wird der Zugriff nach einer begrenzten Zahl von Wiederholungsversuchen (siehe unten) abgebrochen und auf dem Klienten erscheint eine Fehlermeldung, dass das Netzwerk-Volume fehlerhaft arbeitet. Eine solche Verbindung wird auch als soft bezeichnet.

Kommunikation

NFS-Protokollversion: Stellt die Version des NFS-Protokolls ein, die für diese Verbindung genutzt werden soll. In der empfohlenen Einstellung Automatisch erkennen handeln Klient und Server die Version aus. Treten Kompatibilitätsprobleme bei bestimmten Fremdherstellern auf, kann es Erfolg versprechend sein, auf eine ältere NFS-Version zurückzuschalten.

Internetprotokoll: Die Wahlmöglichkeit steuert, welche Versionen des Internetprotokolls für diese Verbindung erlaubt werden sollen. Die empfohlene Einstellung Automatisch erkennen bewirkt, dass der Klient das Protokoll basierend auf der Art und Weise auswählt, wie Sie den Server angegeben haben. Die Möglichkeiten Nur IPv4-Adressierung und Nur IPv6-Adressierung zwingen den Klienten, nur Kommunikation mit IPv4 bzw. IPv6 aufzunehmen.

Transportprotokoll: Erlaubt die Einstellung, ob das Protokoll TCP oder UDP zur Übertragung der Daten verwendet werden soll. Im Normalfall wird die Verbindung automatisch ausgehandelt. Es wird zunächst TCP versucht. Lehnt der Server dies ab, wird auf UDP umgeschaltet. Durch die zusätzliche Wahlmöglichkeit Während der Aktivierungsphase UDP verwenden kann erzwungen werden, dass für den ersten Verbindungsaufbau auf jeden Fall UDP verwendet werden soll, selbst wenn sich beide Partner für die Datenübertragung auf TCP einigen.

Server verwendet Sonderport oder mehrere Netzanschlüsse: Diese Auswahl muss angekreuzt werden, wenn der Server nicht den für NFS üblichen Port 2049 verwendet oder wenn er mehrere IP-Adressen oder Netzanschlüsse besitzt. In diesem Fall wird vermieden, dass eine UDP-Socket-Verbindung über die UNIX-Funktion connect aufgebaut wird.

Privilegierte Quell-Ports unter 1024 verwenden: Diese Option entspricht der Auswahl Sichere Ports verwenden bei der Kurzübersicht der Aktivierungsoptionen. Manche Betriebssysteme wie z.B. Linux erwarten aufgrund des besonderen Sicherheitsmodells von NFS, dass jeder zugreifende Klient nur dann als echt anerkannt wird, wenn er seine Anfragen von Ports startet, die normalerweise nur Betriebssystemdiensten (d.h. keinen normalen Programmen) zur Verfügung stehen. Es handelt sich hierbei um die Ports mit Nummern kleiner als 1024. Falls Sie auf ein so geschütztes System zugreifen, müssen Sie dieses Feld angekreuzt lassen, da ansonsten jeder Zugriff als ungültig abgewiesen wird.

Besondere Port-Nummer für Aktivierung: Hiermit wird erzwungen, dass die Aktivierung nur über einen bestimmten Port des Servers erfolgen soll. Der Wert 0 führt dazu, dass der Port automatisch ausgewählt wird.

Besondere Port-Nummer für NFS verwenden: Diese Option steuert die Port-Nummer für die Datenübertragung zum eigentlichen NFS-Server. Gemäß Industriestandard lautet die übliche Port-Nummer 2049.

Im Hintergrund weiterversuchen wenn Kontakt fehlschlägt: Diese Einstellung steuert das Verhalten, falls die erste Kontaktaufnahme zum NFS-Server nicht erfolgreich ist. Ist die Verbindung zum Server kritisch für den Betrieb des Klienten (z.B. weil alle privaten Ordner auf dem Server liegen), sollte der Klient so lange warten, bis der Server sich meldet. Hierbei wird der Klient quasi angehalten und „hängt“. Ist dieses Verhalten nicht gewünscht, können Sie durch Einschalten der Option bewirken, dass der Klient den Kontaktversuch im Hintergrund fortsetzt, aber ansonsten mit seiner Arbeit fortfährt.

Grenze für Wiederholungsversuche ändern: Schlägt der erste Kontakt fehl und der Klient versucht die Kontaktaufnahme weiter im Hintergrund, findet keine endlose Wiederholung statt. macOS gibt nach 10.000 Fehlversuchen auf. Über diese Option können Sie eine andere Obergrenze einstellen. Der Wert 0 schaltet auf den Standardwert zurück.

Zwangstrennung, falls unerreichbar gemeldet für __ s: Wenn der erste Kontakt mit dem Server erfolgreich war, der Server später aber nicht mehr antwortet, zeigt macOS eine „Server antwortet nicht“-Warnung auf der grafischen Bedienungsoberfläche an. Sie können zusätzlich macOS eine solche, nicht mehr erreichbare Freigabe trennen lassen, nachdem eine bestimmte Zeit abgelaufen ist, indem Sie diese Option ankreuzen und die Anzahl von Sekunden eingeben. macOS schaltet diese Funktion intern automatisch ein, wenn Sie einen softe Nur-Lese-Verbindung verwenden, wobei eine Wartezeit von 60 Sekunden vorgegeben wird.

Bei Jukebox-Fehlern nicht als unerreichbar anzeigen: Beim Ankreuzen dieser Option unterdrückt macOS Warnungen auf der grafischen Oberfläche, dass ein NFS-Server nicht mehr antwortet, falls der Server eine spezielle Nachricht sendet, dass er mehr Zeit benötigt, um auf die angeforderten Daten zuzugreifen. Diese Funktion sollte genutzt werden, wenn der Server auf sehr langsame Geräte, wie beispielsweise eine Speicher-Jukebox, zugreifen muss. In diesem Fall muss der Server entweder eine Jukebox-Fehlermeldung nach NFSv3-Norm oder eine Verzögerungsnachricht gemäß NFSv4-Protokoll liefern.

Feineinstellungen (Klient)

Beim Datenaustausch zwischen Klient und Server werden die gerade übertragenen Daten für jede Verbindung im Hauptspeicher kurze Zeit zwischengelagert („gepuffert“), um eine zügige Netzübertragung zu ermöglichen, auch wenn es kurzzeitige Engpässe durch Netzwerküberlast oder Warten auf Festplatten gibt. Die Puffergrößen werden normalerweise zwischen Klient und Server ausgehandelt, können aber auch von Hand eingestellt werden. Es gibt vier getrennte Puffergrößen:

Puffergröße zum Lesen: Größe des Zwischenspeichers beim Lesen von Dateien.

Puffergröße zum Schreiben: Größe des Zwischenspeichers beim Schreiben von Dateien.

Puffergröße z. Lesen von Ordnern: Größe des Zwischenspeichers beim Lesen von Ordnern.

Puffergröße zum Vorauslesen: Größe des Zwischenspeichers, die der Server im Voraus füllt, wenn er Zugriffe auf nachfolgende Daten erwartet.

Es gibt kein Patentrezept zum Einstellen dieser Größen. Je nach Netzwerk-Chip, Netzauslastung, Version des Server-Betriebssystems und Version des Klientenbetriebssystems können größere Werte die Geschwindigkeit manchmal erhöhen, manchmal aber auch senken. Die optimale Einstellung zwischen zwei gegebenen Computern kann nur durch Probieren gefunden werden.

NFSv3-Funktion ReaddirPlus verwenden: Werden die Protokolle NFS Version 3 oder NFS Version 4 verwendet, so steht eine alternative NFS-Funktion zur Verfügung, um die Inhalte von Ordnern zu lesen. Diese Funktion ist etwas anders optimiert und versucht, die Attribute und Namen der Objekte beim Durchsuchen von Ordnern aggressiver zwischenzuspeichern. Hierdurch wird der RPC-Datenverkehr in bestimmten Fällen reduziert, dafür wird allerdings der Zwischenspeicher mit vielen Einträgen überflutet, was andere Leistungseinbußen zur Folge haben kann.

Zeitgrenze nicht dynamisch abschätzen: Tritt ein Übertragungsfehler auf, so erfolgt nach einer bestimmten Zeit, die aus dem bisherigen Verhalten abgeschätzt wird, ein Wiederholungsversuch. Durch Einschalten dieser Option wird das Schätzverfahren abgeschaltet. Dies kann nützlich sein, wenn eine UDP-Aktivierung auf einen überlasteten Server erfolgt, der nicht direkt antwortet und die normalen Schätzwerte zu klein sind.

Anfängliche Zeitgrenze (Zehntelsek.): Wurde die dynamische Schätzung der Wartezeit mit der letzten Option abgeschaltet, können Sie mit dieser Option die anfängliche Wartezeit zwischen Wiederholungsversuchen von Hand einstellen und so den Verbindungsaufbau bei einem stark ausgelasteten Netz oder Server optimieren. Der Wert wird in Zehntel Sekunden angegeben.

Maximalzahl erneute Übertragungen: Wird die Verbindung soft betrieben (siehe Operationen sollen fehlschlagen wenn Server nicht antwortet), so werden fehlgeschlagene Übertragungsversuche nach einer bestimmten Zahl von Wiederholungen abgebrochen. Die Zahl kann über diese Option festgelegt werden.

Spezielle Funktionen

Sicherheitsoptionen: Falls Klient und Server zur Nutzung einer gemeinsamen Kerberos-Zone konfiguriert sind, kann die Verbindung so definiert werden, dass eine sichere Identifikation von Benutzern, Computern und Datenverschlüsselung erfolgt. Im Normalfall erzwingt der Server die Verwendung eines bestimmten Sicherheitsstandards. Bietet der Server mehrere alternative Sicherheitsmerkmale an, kann der Klient über diese Einstellung bestimmen, welches Merkmal zum Einsatz kommen muss.

NFS-Dateisperren abschalten: Neuere Versionen von NFS unterstützen Dateisperren (Locks), um den wechselseitigen Zugriff auf Daten durch mehrere Klienten gleichzeitig zu koordinieren. Kommt es hierbei zu Kompatibilitätsproblemen, können die Sperren mit dieser Option abgeschaltet werden, selbst wenn der Server Sperrfunktionen anbietet.

Auf dem Client statt auf dem Server sperren: Beherrscht ein älterer NFS-Server keine Dateisperren, kann als Notlösung die klientenseitige Verwendung von Sperren eingeschaltet werden. In diesem Fall ist der mehrfache gleichzeitige Zugriff durch voneinander unabhängige Computer zwar immer noch nicht durch Sperren geschützt, aber wenigstens der Mehrfachzugriff durch Programme auf dem gleichen Klienten wird über Sperren koordiniert.

HINWEIS: Auch wenn dies nicht im Programm angezeigt wird, wird die Funktion Auf dem Client statt auf dem Server sperren von macOS ohne Zutun aktiviert, wenn die Funktionen Als „Nur zum Lesen“ aktivieren und Operationen sollen fehlschlagen wenn Server nicht antwortet beide eingeschaltet sind.

Funktionen zur Dateisystemkontingentierung abschalten: Alle Funktionen zur Kontingentierung von Dateisystemen können über diese Wahlmöglichkeit abgeschaltet werden, auch wenn der Server das Remote-Quota-Protokoll unterstützt. Falls der Klient versucht, ein Kontingentierungsfeature zu verwenden, erhält er den Fehlercode für „Funktion nicht unterstützt“ vom Betriebssystem zurück.

Alle Namen mit Unicode Normalization Form C verwenden: Werden Namen bei der NFS-Kommunikation an den Server gesendet, bewirkt ein Einschalten dieser Option, dass Unicode Normalization Form C (NFC) als Norm zur Codierung der übertragenen Zeichen zum Einsatz kommt. Dies kann die Kompatibilität mit bestimmten Servern erhöhen, welche die Verwendung dieser Norm zur Zeichencodierung erwarten.

Anzahl Gruppen in Rechten einschränken auf: Da NFS ein verteiltes Dateisystem realisiert, muss ein NFS-Server beim Zugriff auf ein Objekt die Rechte des jeweils zugreifenden Benutzers überprüfen. Gemäß Industriestandard darf ein Benutzer in bis zu 16 verschiedenen Gruppen Mitglied sein, die beim Zugriff zur Ermittlung der Gruppenberechtigung unter NFS berücksichtigt werden müssen. Ältere NFS-Server beherrschen eine so große Zahl von Gruppenmitgliedschaften eventuell nicht. Falls Benutzer, die in vielen Gruppen Mitglied sind, aus unerklärlichen Gründen der Zugriff auf Server-Dateien verweigert wird, können Sie versuchen, die Anzahl der zu prüfenden Mitgliedschaften auf einen kleineren Wert einzuschränken.

Negativ-Cache für Namen abschalten: Hiermit wird der Zwischenspeicher für die Auskunft, dass ein Objekt mit einem bestimmten Namen nicht auf dem Server ist, abgeschaltet.

Attribut-Caches abschalten: Hiermit wird die Zwischenspeicherung von Objektattributen abgeschaltet.

Die folgenden Einstellungen werden für den Zugriff auf Dateien und Ordner getrennt vorgenommen:

Minimale Zeitgrenze …: Gibt die Zeit in Sekunden vor, die ein gelesenes Attribut mindestens zwischengespeichert wird, bevor es verfällt und neu vom Server geholt werden muss.

Maximale Zeitgrenze …: Gibt die Zeit in Sekunden vor, die ein gelesenes Attribut höchstens zwischengespeichert werden darf, bevor es verfällt und neu vom Server geholt werden muss.

NFSv4/Kerberos

Rückruffunktionen (Callbacks) und alle zugehörigen Features abschalten: Einige bestimmte Funktionen von NFSv4 erfordern eine Zwei-Wege-Kommunikation, d.h. der Server sendet möglicherweise per Rückruf Anforderungen an den Klienten zurück. Falls das aus bestimmten Gründen nicht zugelassen werden soll, kann es über diese Auswahlmöglichkeit abgeschaltet werden. Natürlich schaltet dies gleichzeitig alle Funktionen ab, für die diese Art von Kommunikation erforderlich ist.

Erweiterte Attribute und benannte Dateizweige (Forks) abschalten: NFSv4-Server können Funktionen anbieten, um das Speichern von erweiterten Attributen für Dateisystemobjekte und Dateien mit mehreren Datenströmen („Forks“) zu ermöglichen. Da vorige NFS-Versionen dies nicht unterstützt haben und die Verwendung solcher Features möglicherweise nicht erwünscht ist, kann dies ausgeschaltet werden, selbst wenn der Server solche Funktionen anbietet. Beachten Sie, dass der Finder von macOS intensiven Gebrauch von erweiterten Attributen macht, z.B. bei der Speicherung von Typcodes oder beim Verbergen von Dateinamenserweiterungen.

Erweiterte Attribute und benannte Dateizweige (Forks) erzwingen falls von Server unterstützt: Das ist quasi das Gegenteil der vorigen Einstellung. Wird sie aktiviert, verwendet macOS Erweiterte Attribute und benannte Dateizweige, falls der NFSv4-Server dies unterstützt.

Zugriffssteuerungslisten (ACLs) zulassen: Zugriffssteuerungslisten stellen eine erweiterte Möglichkeit dar, Dateisystemrechte mit feiner Granularität zu verarbeiten. Sie können auch mit Nicht-UNIX-Betriebssystemen wie zum Beispiel Microsoft® Windows verwendet werden und werden von NFSv4 voll unterstützt. Standardmäßig schaltet macOS die Verwendung von ACLs über NFS ab, da dies ein Sicherheitsrisiko darstellen könnte. ACLs folgen keiner echten Norm und ihre Bedeutung unterscheidet sich im Detail zwischen verschiedenen Betriebssystemanbietern. Falls Sie ACLs einschalten möchten, ist dies über diese Option möglich.

Die meisten NFSv4-Server verwenden ACLs mit der Semantik von Microsoft® Windows, verhalten sich also nicht wie macOS, das POSIX-Semantik einsetzt.

ACLs erzwingen und Modusattribute („POSIX-Berechtigungen“) ignorieren: In UNIX-Betriebssystemen fällt das System auf die Verwendung von Modusattributen, die klassischen POSIX-Rechte, zurück, sobald ACLs nicht verfügbar sind. Einige Nicht-UNIX-Systeme unterstützen möglicherweise POSIX-Rechte nicht nativ, sondern müssen sie für NFS-Verbindungen emulieren, so dass es sinnvoll sein kann, ausschließlich ACLs zu verwenden, um zuverlässige und wohldefinierte Berechtigungseinstellungen zu erreichen. Klienten erhalten Moduseinstellungen, in denen alle Berechtigungsbits gesetzt sind („01777“), falls diese Funktion eingeschaltet wird. Diese Option übergeht die Einstellung Zugriffssteuerungslisten (ACLs) zulassen.

Erlaubte Verschlüsselung für Kerberos-Sitzung: Drei Wahlmöglichkeiten erlauben es Ihnen, zu definieren, welche Verschlüsselungstypen für Kerberos-Sitzungen verwendet werden dürfen. Diese Einstellungen sind nur verfügbar, falls Sie NFSv4 mit macOS Sierra oder höher einsetzen. Apple dokumentiert diese Optionen zurzeit nicht, so dass wir keine bestimmten Wirkung garantieren. Die folgenden Einstellmöglichkeiten werden unterstützt:

Alle Einstellungen in der Box Für diese Verbindung Kerberos-Standardkonfiguration überschreiben können genutzt werden, um die Kerberos-Konfiguration, die normalerweise von diesem Computer eingesetzt wird, mit anderen Werten zu überschreiben, die spezifisch für diese Aktivierung gelten. Sie müssen nicht alle drei Werte in der Box angeben, sondern nur diejenigen, die sich vom Standard unterscheiden sollen. Der NFS-Klient verwendet diese Werte für alle Kerberos-bezogenen Vorgänge, also sowohl für die Sicherheitsfunktionen, als auch zum Bestimmen der Zugriffsrechte innerhalb von NFSv4.

Zone (Realm): Dieser Wert setzt eine andere Kerberos-Zone. Der Name der Realm darf mit einem „@“-Zeichen eingeleitet werden, muss aber nicht. Beachten Sie, dass Realm-Namen üblicherweise nur mit Großbuchstaben angegeben werden.

Prinzipal: Mit diesem Eintrag kann ein anderer Kerberos-Prinzipal (äquivalent zu einem Benutzer-Account) eingestellt werden, wenn Anmeldedaten für diese Verbindung ermittelt werden.

Dienstprinzipal: Diese Option wird selten verwendet. Sie kann dazu eingesetzt werden, serverseitig einen anderen Prinzipal einzustellen, wenn Berechtigungsdaten für diese Verbindung bestimmt werden. Unter normalen Umständen verwendet macOS automatisch einen Prinzipalnamen nach dem Muster „nfs@server“.