Capítulo 79. Uso de automontaje en IdM

Procedimiento

1. Si alguno de sus clientes NFS sólo soporta criptografía débil, como los clientes de Red Hat Enterprise Linux 5:

   1. Actualice la configuración de Kerberos del servidor IdM para habilitar el tipo de cifrado débil des-cbc-crc:

      $ ldapmodify -x -D "cn=directory manager" -w password -h ipaserver.example.com -p 389
      
      dn: cn=REALM_NAME,cn=kerberos,dc=example,dc=com
      changetype: modify
      add: krbSupportedEncSaltTypes
      krbSupportedEncSaltTypes: des-cbc-crc:normal
      -
      add: krbSupportedEncSaltTypes
      krbSupportedEncSaltTypes: des-cbc-crc:special
      -
      add: krbDefaultEncSaltTypes
      krbDefaultEncSaltTypes: des-cbc-crc:special

      Copy to Clipboard Toggle word wrap

   2. En el servidor NFS, añada la siguiente entrada al archivo /etc/krb5.conf del servidor NFS para habilitar el soporte de criptografía débil:

      allow_weak_crypto = true

      Copy to Clipboard Toggle word wrap

2. Obtener un ticket Kerberos:

   [root@nfs-server ~]# kinit admin

   Copy to Clipboard Toggle word wrap
3. Si el equipo host NFS no se ha añadido como cliente al dominio IdM, cree la entrada del host. Consulte Añadir entradas de host IdM desde la CLI de IdM.

4. Cree la entrada del servicio NFS:

   [root@nfs-server ~]# ipa service-add nfs/nfs-server.example.com

   Copy to Clipboard Toggle word wrap

5. Recupera un keytab de servicio NFS para el servidor NFS utilizando el siguiente comando ipa-getkeytab que guarda las claves en el archivo /etc/krb5.keytab:

   root@nfs-server ~]# ipa-getkeytab -s ipaserver.example.com -p nfs/nfs-server.example.com -k /etc/krb5.keytab

   Copy to Clipboard Toggle word wrap

   Si alguno de sus clientes NFS sólo admite criptografía débil, pase además la opción -e des-cbc-crc al comando para solicitar un keytab cifrado con DES.

6. Comprueba que el servicio NFS se ha configurado correctamente en IdM, con su keytab, revisando la entrada del servicio:

   [root@nfs-server ~]# ipa service-show nfs/nfs-server.example.com
     Principal name: nfs/nfs-server.example.com@IDM.EXAMPLE.COM
     Principal alias: nfs/nfs-server.example.com@IDM.EXAMPLE.COM
     Keytab: True
     Managed by: nfs-server.example.com

   Copy to Clipboard Toggle word wrap

7. Instale el nfs-utils paquete:

   root@nfs-server ~]# yum install nfs-utils

   Copy to Clipboard Toggle word wrap

8. Ejecute la utilidad ipa-client-automount para configurar los ajustes de NFS:

   [root@nfs-server ~] ipa-client-automount
   Searching for IPA server...
   IPA server: DNS discovery
   Location: default
   Continue to configure the system with these values? [no]: yes
   Configured /etc/idmapd.conf
   Restarting sssd, waiting for it to become available.
   Started autofs

   Copy to Clipboard Toggle word wrap

   Por defecto, este comando activa el NFS seguro y establece el parámetro Domain en el archivo /etc/idmapd.conf al dominio DNS de IdM. Si utiliza un dominio diferente, especifíquelo con el parámetro --idmap-domain domain_name parámetro.

9. Edite el archivo /etc/exports y añada recursos compartidos con la configuración de seguridad Kerberos krb5p:

   /export  *(rw,sec=krb5:krb5i:krb5p)
   /home  *(rw,sec=krb5:krb5i:krb5p)

   Copy to Clipboard Toggle word wrap

   Este ejemplo comparte los directorios /export y /home en modo de lectura y escritura con la autenticación Kerberos activada.

10. Reinicie y habilite el servidor nfs:

    [root@nfs-server ~]# systemctl restart nfs-server
    [root@nfs-server ~]# systemctl enable nfs-server

    Copy to Clipboard Toggle word wrap

11. Vuelve a exportar los directorios compartidos:

    [root@nfs-server ~]# exportfs -rav

    Copy to Clipboard Toggle word wrap
12. Opcionalmente, configure el servidor NFS como cliente NFS. Consulte Sección 79.2, “Configuración de un cliente NFS compatible con Kerberos”.