5.3. Exportation de partages NFS dans IdM
En tant qu'administrateur du système de gestion des identités (IdM), vous pouvez utiliser un serveur NFS pour partager un répertoire avec les utilisateurs IdM sur le réseau.
Conditions préalables
- Vous êtes connecté en tant qu'administrateur IdM.
-
Vous avez accès au serveur NFS à l'adresse
root
. - Vous avez installé les paquets nécessaires pour exporter des partages NFS.
- [Facultatif] Vous avez configuré le serveur NFS pour qu'il fonctionne derrière un pare-feu.
Procédure
Créez le répertoire que vous souhaitez exporter :
# mkdir -p /exports/project
Donner au propriétaire et au groupe les droits de lecture, d'écriture et d'exécution du répertoire :
# chmod 770 /exports/project
Ajoutez le bit collant
GSID
pour que tous les fichiers créés dans le répertoire aient leur propriété de groupe définie sur celle du propriétaire du répertoire :# chmod g s /exports/project
Créer un fichier dans le répertoire avec un certain contenu :
# echo "this is a read-write file" > /exports/project/rw_file
Dans un fichier du répertoire
/etc/exports.d/
, ajoutez les informations suivantes :- Le répertoire que vous souhaitez exporter
- Comment vous voulez que les utilisateurs s'authentifient pour accéder aux fichiers du répertoire
Les permissions que vous voulez que les utilisateurs aient sur les fichiers du répertoire
# echo "/exports/project *(sec=krb5,rw)" > /etc/exports.d/project.exports
sec=krb5
utilise le protocole Kerberos V5 au lieu des UID et GID UNIX locaux pour authentifier les utilisateurs.
Vous pouvez également utiliser
sec=krb5i
ousec=krb5p
:sec=krb5i
- utilise Kerberos V5 pour l'authentification des utilisateurs et effectue un contrôle d'intégrité des opérations NFS à l'aide de sommes de contrôle sécurisées afin d'empêcher la falsification des données.
sec=krb5p
- utilise Kerberos V5 pour l'authentification des utilisateurs, le contrôle d'intégrité et le chiffrement du trafic NFS afin d'empêcher le reniflage du trafic. Il s'agit du paramètre le plus sûr, mais c'est aussi celui qui entraîne le plus de surcoût en termes de performances.
Réexporter tous les répertoires, en synchronisant la table d'exportation principale conservée dans
/var/lib/nfs/etab
avec/etc/exports
et les fichiers sous/etc/exports.d
:# exportfs -r
Affichez la liste d'exportation actuelle adaptée à
/etc/exports
:# exportfs -s /exports/project *(sync,wdelay,hide,no_subtree_check,sec=krb5p,rw,secure,root_squash,no_all_squash)
Ressources supplémentaires
-
Pour plus d'informations sur les méthodes de
krb5
, voir la page de manuelnfs
.