18.3. Kerberized NFS サーバーの設定
Identity Management を使用して Kerberized NFS サーバーを設定できますが、Red Hat Enterprise Linux で実行する必要はありません。
18.3.1. Kerberized NFS サーバーの設定
- IdM ユーティリティを実行する前に、Kerberos チケットを取得します。
[user@server ~]$ kinit admin
- NFS ホストマシンが IdM ドメインにクライアントとして追加されていない場合は、「ホストエントリーを追加する他の例」の説明に従って GUI でホストエントリーを作成するか、以下のようなコマンドを実行します。
[user@server ~]$ ipa host-add --ip-address 192.0.2.10 nfs-server.example.org
- IdM ドメインに NFS サービスエントリーを作成します。以下に例を示します。
[user@server ~]$ ipa service-add nfs/nfs-server.example.com
詳細は「サービスエントリーおよびキータブの追加と編集」を参照してください。 ipa-getkeytab
コマンドを使用して、NFS サーバーの NFS サービスキータブを生成します。NFS サーバーは、IdM ドメインの Red Hat Enterprise Linux マシンまたは別の Unix マシン上にある場合があります。Red Hat Enterprise Linux マシンでは、NFS サーバーマシンで ipa-getkeytab コマンドを実行できます。それ以外の場合は、IdM ドメインの Red Hat Enterprise Linux マシンで ipa-getkeytab コマンドを実行してから、NFS サーバーにコピーする必要があります。ipa-getkeytab コマンドが NFS サーバーで実行されている場合は、キーをホストキータブに直接保存します。たとえば、以下のようになります。[user@server ~]$ ipa-getkeytab -s server.example.com -p nfs/nfs-server.example.com -k /etc/krb5.keytab
Red Hat Enterprise Linux マシンでは、必要なのはそれだけです。別のシステムにコピーするキーを生成する場合は、鍵を生成しますが、その鍵はホストのキータブに保存されません。キーは、NFS サーバーにコピーした後にキーをキータブに個別に追加する必要があります。- キータブを一時ファイルに保存します。以下に例を示します。
[user@server ~]$ ipa-getkeytab -s server.example.com -p nfs/nfs-server.example.com -k /root/nfs-server.keytab
- キータブを NFS サーバーにコピーします。
- ファイルのパーミッションを
0700
に設定します。 - サービスキーをキータブファイルに追加します。
[root@nfs-server ~]# ( echo rkt /root/nfs-server.keytab; echo wkt /etc/krb5.keytab ) | ktutil
注記NFS サービスがキータブで IdM で適切に設定されていることを確認するには、次のコマンドを実行してサービスエントリーを確認します。[user@server ~]$ ipa service-show nfs/ipaclient2.example.com Principal: NFS/ipaclient2.example.com@EXAMPLE.COM Keytab: True
- NFS パッケージをインストールします。以下に例を示します。
[root@nfs-server ~]# yum install nfs-utils
- 弱い暗号化サポートを設定します。ドメインのクライアント (Red Hat Enterprise Linux 5 クライアントなど) が DES などの古い暗号化オプションを使用する場合は、NFS クライアントごとに必要です。
- 以下の行を追加して
krb5.conf
ファイルを編集して、弱い暗号化を有効にします。allow_weak_crypto = true
- IdM サーバーの Kerberos 設定を更新して、DES 暗号化タイプに対応します。
[user@ipaserver ~]$ ldapmodify -x -D "cn=directory manager" -w password -h ipaserver.example.com -p 389 dn: cn=EXAMPLEREALM,cn=kerberos,dc=example,dc=com changetype: modify add: krbSupportedEncSaltTypes krbSupportedEncSaltTypes: des-cbc-crc:normal - add: krbSupportedEncSaltTypes krbSupportedEncSaltTypes: des-cbc-crc:special - add: krbDefaultEncSaltTypes krbDefaultEncSaltTypes: des-cbc-crc:special
- ipa-client-automount コマンドを実行して、NFS 設定を構成します。デフォルトでは、これにより
/etc/sysconfig/nfs
ファイルでセキュアな NFS が有効になり、/etc/idmapd.conf
ファイルのDomain
パラメーターで IdM DNS ドメインが設定されます。注記サーバーが IdM ドメインのメンバーではない場合は (ipa-client パッケージがインストールされていない)、この手順を手動で行う必要があります。詳細は、ストレージ管理ガイドの NFS 設定セクションを参照してください。 /etc/exports
ファイルを編集し、Kerberos 情報を追加します。/export *(rw,sec=krb5:krb5i:krb5p)
- NFS サーバーおよび関連サービスを再起動します。
[root@nfs-server ~]# service nfs restart [root@nfs-server ~]# service rpcsvcgssd restart
- NFS サーバーを NFS クライアントとして設定する場合は、「Kerberized NFS クライアントの設定」を参照してください。