Red Hat Summit79.2. Configuración de un cliente NFS compatible con Kerberos
Este procedimiento describe cómo configurar un cliente NFS compatible con Kerberos.
Requisitos previos
- Configuración del dominio IdM. Para obtener más información, consulte Instalación de la gestión de identidades.
- Cliente IPA instalado. Para más información, consulte Instalación de paquetes ipa-client.
Procedimiento
Si el cliente NFS sólo admite criptografía débil, como un cliente Red Hat Enterprise Linux 5, configure la siguiente entrada en el archivo
/etc/krb5.confdel servidor para permitir la criptografía débil:allow_weak_crypto = true- Si el cliente NFS no está inscrito como cliente en el dominio de IdM, configure las entradas de host necesarias, como se describe en Añadir entradas de host de IdM desde la CLI de IdM.
Instale el nfs-utils paquete:
root@nfs-client ~]# yum install nfs-utilsObtenga un ticket Kerberos antes de ejecutar las herramientas IdM.
[root@nfs-client ~]# kinit adminEjecute la utilidad
ipa-client-automountpara configurar los ajustes de NFS:[root@nfs-client ~] ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/idmapd.conf Restarting sssd, waiting for it to become available. Started autofsPor defecto, esto habilita el NFS seguro en el archivo
/etc/sysconfig/nfsy establece el dominio DNS de IdM en el parámetroDomainen el archivo/etc/idmapd.conf.Añada las siguientes entradas al archivo
/etc/fstabpara montar los recursos compartidos NFS desde el hostnfs-server.example.comcuando el sistema arranque:nfs-server.example.com:/export /mnt nfs4 sec=krb5p,rw nfs-server.example.com:/home /home nfs4 sec=krb5p,rwEstos ajustes configuran Red Hat Enterprise Linux para montar el recurso compartido
/exporten el directorio/mnty el recurso compartido/homeen el directorio/home.- Cree los puntos de montaje si no existen. En nuestro caso, ambos deberían existir.
Montar los recursos compartidos NFS:
[root@nfs-client ~]# mount /mnt/ [root@nfs-client ~]# mount /homeEl comando utiliza la información de la entrada
/etc/fstab.Configurar SSSD para renovar los tickets de Kerberos:
Establezca los siguientes parámetros en la sección del dominio IdM del archivo
/etc/sssd/sssd.confpara configurar SSSD para renovar automáticamente los tickets:[domain/EXAMPLE.COM] ... krb5_renewable_lifetime = 50d krb5_renew_interval = 3600Reinicie el SSSD:
[root@nfs-client ~]# systemctl restart sssd
El módulo pam_oddjob_mkhomedir no admite la creación automática de directorios personales en un recurso compartido NFS. Por lo tanto, debe crear manualmente los directorios de inicio en el servidor en la raíz del recurso compartido que contiene los directorios de inicio.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}