34.4. Kerberos 対応の NFS クライアントのセットアップ
- NFS クライアントが Red Hat Enterprise Linux 5 クライアントなどの弱い暗号化のみに対応している場合は、サーバーの
/etc/krb5.conf
ファイルに次のエントリーを設定して、弱い暗号化を許可します。allow_weak_crypto = true
- NFS クライアントが IdM ドメインのクライアントとして登録されていない場合は、「ホストエントリーの追加」の説明に従って必要なホストエントリーを設定します。
- nfs-utils パッケージをインストールします。
[root@nfs-client ~]# yum install nfs-utils
- IdM ツールを実行する前に、Kerberos チケットを取得します。
[root@nfs-client ~]# kinit admin
- ipa-client-automount ユーティリティーを実行して、NFS 設定を設定します。
[root@nfs-client ~] ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/sysconfig/nfs Configured /etc/idmapd.conf Started rpcidmapd Started rpcgssd Restarting sssd, waiting for it to become available. Started autofs
デフォルトでは、これにより/etc/sysconfig/nfs
ファイルでセキュアな NFS が有効になり、/etc/idmapd.conf
ファイルのDomain
パラメーターで IdM DNS ドメインが設定されます。 - システムの起動時に自動起動するようにサービスを設定します。
[root@nfs-client ~]# systemctl enable rpc-gssd.service [root@nfs-client ~]# systemctl enable rpcbind.service
/etc/fstab
ファイルに次のエントリーを追加して、システムの起動時にnfs-server.example.com
ホストから NFS 共有をマウントします。nfs-server.example.com:/export /mnt nfs4 sec=krb5p,rw nfs-server.example.com:/home /home nfs4 sec=krb5p,rw
この設定により、Red Hat Enterprise Linux が/export
共有を/mnt
に、/home
共有を/home
ディレクトリーにマウントするように設定されます。- マウントポイントが存在しない場合は作成します。
# mkdir -p /mnt/ # mkdir -p /home
- NFS 共有をマウントします。
[root@nfs-client ~]# mount /mnt/ [root@nfs-client ~]# mount /home
このコマンドは、/etc/fstab
エントリーからの情報を使用します。 - Kerberos チケットを更新するように SSSD を設定します。
/etc/sssd/sssd.conf
ファイルの IdM ドメインセクションで次のパラメーターを設定して、SSSD がチケットを自動的に更新するように設定します。[domain/EXAMPLE.COM] ... krb5_renewable_lifetime = 50d krb5_renew_interval = 3600
- SSSD を再起動します。
[root@nfs-client ~]# systemctl restart sssd
重要
pam_oddjob_mkhomedir
モジュールは、NFS 共有でのホームディレクトリーの自動作成に対応していません。したがって、ホームディレクトリーを含む共有のルートにあるサーバーに、ホームディレクトリーを手動で作成する必要があります。