18.3.2. Kerberized NFS クライアントの設定
- IdM ツールを実行する前に、Kerberos チケットを取得します。
[user@server ~]$ kinit admin
- NFS クライアントが IdM ドメインのクライアントとして登録されていない場合は、「ホストエントリーを追加する他の例」の説明に従って GUI で必要なホストエントリーを設定するか 、以下のようなコマンドを実行します。
[user@server ~]$ ipa host-add --ip-address 192.0.2.20 nfs-client.example.org
- この ipa-getkeytab ユーティリティーを使用して、NFS クライアントの NFS サービスキータブを生成します。NFS クライアントは、IdM ドメインの Red Hat Enterprise Linux マシンまたは別の Unix マシン上にある場合があります。Red Hat Enterprise Linux マシンでは、NFS クライアントマシンで ipa-getkeytab コマンドを実行できます。それ以外の場合は、IdM ドメインの Red Hat Enterprise Linux マシンで ipa-getkeytab コマンドを実行してから、NFS サーバーにコピーする必要があります。ipa-getkeytab コマンドが NFS クライアントで実行している場合は、キーをホストキータブに直接保存します。たとえば、以下のようになります。
[user@server ~]$ ipa-getkeytab -k /etc/krb5.keytab -s ipa-server.example.org -p nfs/nfs-client-server.example.com@EXAMPLE.COM
Red Hat Enterprise Linux マシンでは、必要なのはそれだけです。別のシステムにコピーするキーを生成する場合は、鍵を生成しますが、その鍵はホストのキータブに保存されません。キーは、NFS サーバーにコピーした後にキーをキータブに個別に追加する必要があります。- キータブを一時ファイルに保存します。以下に例を示します。
[user@server ~]$ ipa-getkeytab -s ipa-server.example.org -p host/nfs-client-server.example.com@EXAMPLE.COM -k /root/nfs-client.keytab
- キータブを NFS クライアントにコピーします。
- ファイルのパーミッションを
0700
に設定します。 - サービスキーをキータブファイルに追加します。
[root@nfs-client-server ~]# ( echo rkt /root/nfs-client.keytab; echo wkt /etc/krb5.keytab ) | ktutil
- ipa-client-automount コマンドを実行して、NFS 設定を構成します。デフォルトでは、これにより
/etc/sysconfig/nfs
ファイルでセキュアな NFS が有効になり、/etc/idmapd.conf
ファイルのDomain
パラメーターで IdM DNS ドメインが設定されます。注記クライアントが IdM ドメインのメンバーではない場合は (ipa-client パッケージがインストールされていない)、この手順を手動で行う必要があります。詳細は、ストレージ管理ガイドの NFS 設定セクションを参照してください。 - GSS デーモンを起動します。
[root@nfs-client-server ~]# service rpcgssd start [root@nfs-client-server ~]# service rpcbind start [root@nfs-client-server ~]# service rpcidmapd start
- ディレクトリーをマウントします。
[root@nfs-client-server ~]# echo "$NFSSERVER:/this /mnt/this nfs4 sec=krb5i,rw,proto=tcp,port=2049" >>/etc/fstab [root@nfs-client-server ~]# mount -av