4.8. Red Hat Identity Management ドメインで Kerberos を使用する NFS クライアントをセットアップする
NFS サーバーが Kerberos を使用し、Red Hat Identity Management (IdM) ドメインに登録されている場合、共有をマウントするにはクライアントもそのドメインのメンバーである必要があります。これにより、ユーザーとグループを一元管理し、認証、整合性保護、トラフィック暗号化に Kerberos を使用できるようになります。
前提条件
- NFS クライアントが Red Hat Identity Management (IdM) ドメインに 登録 されている。
- エクスポートされた NFS 共有が Kerberos を使用する。
手順
IdM 管理者として Kerberos チケットを取得します。
# kinit adminホストプリンシパルを取得し、
/etc/krb5.keytabファイルに保存します。# ipa-getkeytab -s idm_server.idm.example.com -p host/nfs_client.idm.example.com -k /etc/krb5.keytabホストを IdM ドメインに参加させると、IdM によって
hostプリンシパルが自動的に作成されます。オプション:
/etc/krb5.keytabファイル内のプリンシパルを表示します。# klist -k /etc/krb5.keytab Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM 6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM 6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM 6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COMipa-client-automountユーティリティーを使用して、IdM ID のマッピングを設定します。# ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/idmapd.conf Restarting sssd, waiting for it to become available. Started autofsエクスポートされた NFS 共有をマウントします。次に例を示します。
# mount -o sec=krb5i server.idm.example.com:/nfs/projects/ /mnt/-o secオプションで、Kerberos セキュリティ方式を指定します。
検証
- マウントされた共有への書き込み権限を持つ IdM ユーザーとしてログインします。
Kerberos チケットを取得します。
$ kinit共有上にファイルを作成します。次に例を示します。
$ touch /mnt/test.txtファイルが作成されたことを確認するためにディレクトリーの内容をリスト表示します。
$ ls -l /mnt/test.txt -rw-r--r--. 1 admin users 0 Feb 15 11:54 /mnt/test.txt
関連情報
