5.3. Configuración de un servidor y un cliente NFS para utilizar Kerberos
Kerberos es un sistema de autenticación de red que permite a los clientes y a los servidores autenticarse entre sí mediante el uso de encriptación simétrica y una tercera parte de confianza, el KDC. Red Hat recomienda utilizar Identity Management (IdM) para configurar Kerberos.
Requisitos previos
-
El Centro de Distribución de Claves Kerberos (
KDC) está instalado y configurado.
Procedimiento
-
Cree la
nfs/hostname.domain@REALMprincipal en el lado del servidor NFS. -
Cree la
host/hostname.domain@REALMprincipal tanto en el lado del servidor como en el del cliente. - Añade las claves correspondientes a los keytabs del cliente y del servidor.
-
Cree la
En el lado del servidor, utilice la opción
sec=para habilitar los tipos de seguridad deseados. Para habilitar todos los tipos de seguridad, así como los montajes no criptográficos:/export *(sec=sys:krb5:krb5i:krb5p)
Los sabores de seguridad válidos para usar con la opción
sec=son:-
sys: sin protección criptográfica, por defecto -
krb5: sólo autenticación -
krb5i: protección de la integridad -
krb5p: protección de la intimidad
-
En el lado del cliente, añada
sec=krb5(osec=krb5i, osec=krb5p, dependiendo de la configuración) a las opciones de montaje:# mount -o sec=krb5 server:/export /mnt
Recursos adicionales
- Si necesita escribir archivos como root en el recurso compartido NFS protegido por Kerberos y mantener la propiedad de root sobre estos archivos, consulte https://access.redhat.com/articles/4040141. Tenga en cuenta que esta configuración no se recomienda.
- Para más información sobre la configuración de NFS, consulte las páginas de manual exports(5) y nfs(5).
