34.2. 自動マウントの設定
Identity Management で自動マウントエントリー (場所やマップなど) を設定するには、既存の autofs/NFS サーバーが必要です。automount エントリーを作成しても、基礎となる
autofs
設定は作成されません。Autofs
は、LDAP または SSSD をデータストアとして使用して手動で設定するか、自動で設定することが可能です。
注記
automount の設定を変更する前に、1 人以上のユーザーに対して
/home
ディレクトリーをコマンドラインから正常にマウントできることを確認します。NFS がすでに正常に機能していることを確認すると、後で ldM 自動マウント設定エラーが発生してもトラブルシュートが容易になります。
34.2.1. NFS の自動設定
システムを IdM クライアント (設定の一部としてドメインクライアントとして設定された IdM サーバーおよびレプリカを含む) として設定すると、
autofs
を設定し、IdM ドメインを NFS ドメインとして使用し、autofs
サービスを有効にすることができます。
デフォルトでは、ipa-client-automount ユーティリティーは NFS 設定ファイル (
/etc/sysconfig/nfs
および /etc/idmapd.conf
) を自動的に設定します。また、SSSD が NFS の認証情報を管理するようにも設定します。ipa-client-automount コマンドをオプションなしで実行すると、DNS 検索スキャンが実行されて利用可能な ldM サーバーを特定し、default
という名前のデフォルトの場所を作成します。
[root@ipa-server ~]# ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/nsswitch.conf Configured /etc/sysconfig/nfs Configured /etc/idmapd.conf Started rpcidmapd Started rpcgssd Restarting sssd, waiting for it to become available. Started autofs
ldM サーバーがデフォルト以外の automount の場所を使用、作成することも可能です。
[root@server ~]# ipa-client-automount --server=ipaserver.example.com --location=boston
この ipa-client-automount ユーティリティーは、NFS の設定とともに、外部 IdM ストアにアクセスできない場合に、SSSD が自動マウントマップをキャッシュするように設定します。SSSD の設定では、以下の 2 つが実行されます。
- サービスの設定情報が SSSD 設定に追加されます。IdM ドメインエントリーには、autofs プロバイダーとマウントの場所の設定があります。
autofs_provider = ipa ipa_automount_location = default
NFS は、対応しているサービスのリスト (services = nss,pam,autofs...) に追加され、空の設定エントリー ([autofs]) が指定されます。 - Name Service Switch (NSS) サービス情報が更新され、自動マウント情報についてまず SSSD がチェックされ、次にローカルファイルがチェックされます。
automount: sss files
クライアントによる自動マウントマップのキャッシュが適切でないといった、非常に安全性の高い環境のインスタンスがいくつかあることがあります。この場合は、
--no-sssd
オプションを使用して ipa-client-automount コマンドを実行できます。これにより、必要なすべての NFS 設定ファイルが変更されますが、SSSD 設定は変更されません。
[root@server ~]# ipa-client-automount --no-sssd
--no-sssd
を使用する場合は、ipa-client-automount が更新する設定ファイルのリストが異なります。
- このコマンドにより、
/etc/sysconfig/nfs
ではなく/etc/sysconfig/autofs
が更新されます。 - このコマンドは、IdM LDAP 設定で
/etc/autofs_ldap_auth.conf
を設定します。 - このコマンドは、自動マウントマップに LDAP サービスを使用するように
/etc/nsswitch.conf
を設定します。
注記
この ipa-client-automount コマンドは 1 回のみ実行できます。設定にエラーがある場合は、設定ファイルを手動で編集する必要があります。
34.2.2. SSSD および Identity Management を使用するように autofs を手動で設定
- autofs が検索するスキーマ属性を指定するには、
/etc/sysconfig/autofs
ファイルを編集します。# # Other common LDAP naming # MAP_OBJECT_CLASS="automountMap" ENTRY_OBJECT_CLASS="automount" MAP_ATTRIBUTE="automountMapName" ENTRY_ATTRIBUTE="automountKey" VALUE_ATTRIBUTE="automountInformation"
- LDAP 設定を指定します。これには 2 通りの方法があります。最も簡単な方法は、自動マウントサービスが LDAP サーバーのその場所を自分で発見するようにすることです。
LDAP_URI="ldap:///dc=example,dc=com"
別の方法では、使用する LDAP サーバーと LDAP 検索のベース DN を明示的に設定します。LDAP_URI="ldap://ipa.example.com" SEARCH_BASE="cn=location,cn=automount,dc=example,dc=com"
注記 - autofs が IdM LDAP サーバーによるクライアント認証を許可するように
/etc/autofs_ldap_auth.conf
ファイルを編集します。authrequired
を yes に変更します。- プリンシパルを NFS クライアントサーバー用 Kerberos ホストプリンシパル host/fqdn@REALM に設定します。プリンシパル名は、GSS クライアント認証の一部として IdM ディレクトリーへの接続に使用されます。
<autofs_ldap_sasl_conf usetls="no" tlsrequired="no" authrequired="yes" authtype="GSSAPI" clientprinc="host/server.example.com@EXAMPLE.COM" />
必要に応じて klist -k を実行して、正確なホストプリンシパル情報を取得します。 - autofs を、SSSD が管理するサービスとして設定します。
- SSSD 設定ファイルを開きます。
[root@server ~]# vim /etc/sssd/sssd.conf
- autofs サービスを、SSSD が処理するサービスリストに追加します。
[sssd] services = nss,pam,
autofs
- [autofs] セクションを新規作成します。これは空白のままにしても構いません。autofs サービスのデフォルト設定は、ほとんどのインフラストラクチャーで機能します。
[nss] [pam] [sudo]
[autofs]
[ssh] [pac] - オプションとして、autofs エントリーの検索ベースを設定します。デフォルトでは、これは LDAP 検索ベースですが、
ldap_autofs_search_base
パラメーターでサブツリーを指定できます。[domain/EXAMPLE] ... ldap_search_base = "dc=example,dc=com" ldap_autofs_search_base = "ou=automount,dc=example,dc=com"
- SSSD を再起動します。
[root@server ~]# systemctl restart sssd.service
- SSSD が自動マウント設定のソースとしてリスト表示されるように、
/etc/nsswitch.conf
ファイルを確認します。automount:
sss
files - Restart autofs:
[root@server ~]# systemctl restart autofs.service
- ユーザーの
/home
ディレクトリーをリスト表示して、設定をテストします。[root@server ~]# ls /home/userName
リモートファイルシステムをマウントしない場合は、/var/log/messages
ファイルでエラーを確認します。必要に応じて、LOGGING
パラメーターをdebug
に設定して、/etc/sysconfig/autofs
ファイルのデバッグレベルを増やします。
注記
自動マウントで問題がある場合は、ldM インスタンスの 389 Directory Server アクセスログで自動マウント試行を相互参照します。ここでは、試行されたアクセス、ユーザー、および検索ベースが表示されます。
またシンプルな方法では、automount をフォアグラウンドで実行し、デバッグのログを記録します。
automount -f -dこれで LDAP のアクセスログと自動マウントのログを相互参照することなく、デバッグのログ情報が直接出力されます。
34.2.3. Solaris での Automount の設定
注記
Solaris は、Identity Management で使用されるスキーマとは異なるスキーマを autofs 設定に使用します。Identity Management は、389 Directory Server 向けに定義される 2307bis 形式の自動マウントスキーマを使用します (IdM の内部 Directory Server インスタンスで使用されます)。
- NFS サーバーが Red Hat Enterprise Linux 上で稼働している場合、Solaris マシン上で NFSv3 が最大のサポートバージョンであることを指定します。
/etc/default/nfs
ファイルを編集し、以下のパラメーターを設定します。NFS_CLIENT_VERSMAX=3
- ldapclient コマンドを使用して、LDAP を使用するようホストを設定します。
ldapclient -v manual -a authenticationMethod=none -a defaultSearchBase=dc=example,dc=com -a defaultServerList=ipa.example.com -a serviceSearchDescriptor=passwd:cn=users,cn=accounts,dc=example,dc=com -a serviceSearchDescriptor=group:cn=groups,cn=compat,dc=example,dc=com -a serviceSearchDescriptor=auto_master:automountMapName=auto.master,cn=location,cn=automount,dc=example,dc=com?one -a serviceSearchDescriptor=auto_home:automountMapName=auto_home,cn=location,cn=automount,dc=example,dc=com?one -a objectClassMap=shadow:shadowAccount=posixAccount -a searchTimelimit=15 -a bindTimeLimit=5
- 自動マウント を有効にします。
# svcadm enable svc:/system/filesystem/autofs
- 設定をテストします。
- LDAP 設定を確認します。
# ldapclient -l auto_master dn: automountkey=/home,automountmapname=auto.master,cn=location,cn=automount,dc=example,dc=com objectClass: automount objectClass: top automountKey: /home automountInformation: auto.home
- ユーザーの
/home
ディレクトリーをリスト表示します。# ls /home/userName