79.2. Estabelecimento de um cliente NFS Kerberos
Este procedimento descreve como criar um cliente NFS com consciência de kerberos.
Pré-requisitos
- Criação do domínio IdM. Para mais informações, consulte Instalando o Gerenciamento de Identidade.
- Cliente IPA instalado. Para mais informações, consulte Instalando pacotes ipa-cliente.
Procedimento
Se os clientes NFS suportam apenas criptografia fraca, como um cliente Red Hat Enterprise Linux 5, defina a seguinte entrada no arquivo
/etc/krb5.conf
do servidor para permitir uma criptografia fraca:allow_weak_crypto = verdadeiro
- Se o cliente NFS não estiver registrado como cliente no domínio IdM, configure as entradas de host necessárias, conforme descrito em Adicionar entradas de host IdM da IdM CLI.
Instale o nfs-utils pacote:
[root@nfs-client ~]# yum instalar nfs-utils
Obter um bilhete Kerberos antes de executar as ferramentas IdM.
[root@nfs-client ~]# kinit admin
Execute o utilitário
ipa-client-automount
para configurar as configurações do NFS:[root@nfs-client ~] ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/idmapd.conf Restarting sssd, waiting for it to become available. Started autofs
Por padrão, isto permite o NFS seguro no arquivo
/etc/sysconfig/nfs
e define o domínio DNS IdM no parâmetroDomain
no arquivo/etc/idmapd.conf
.Adicione as seguintes entradas ao arquivo
/etc/fstab
para montar as ações do NFS do hostnfs-server.example.com
quando o sistema iniciar:nfs-server.example.com:/export /mnt nfs4 sec=krb5p,rw nfs-server.example.com:/home /home nfs4 sec=krb5p,rw
Estas configurações configuram o Red Hat Enterprise Linux para montar o compartilhamento
/export
no diretório/mnt
e o compartilhamento/home
no diretório/home
.- Criar os pontos de montagem, se eles não existirem. Em nosso caso, ambos deveriam existir.
Montar as ações da NFS:
[root@nfs-client ~]# mount /mnt/ [root@nfs-client ~]# mount /home
O comando utiliza as informações da entrada
/etc/fstab
.Configurar o SSSD para renovar os bilhetes da Kerberos:
Defina os seguintes parâmetros na seção de domínio IdM do arquivo
/etc/sssd/sssd.conf
para configurar o SSSD para renovar automaticamente os bilhetes:[domain/EXAMPLE.COM] ... krb5_renewable_lifetime = 50d krb5_renew_interval = 3600
Reinicie o SSSD:
[root@nfs-client ~]# systemctl restart sssd
O módulo pam_oddjob_mkhomedir
não suporta a criação automática de diretórios domésticos sobre uma ação da NFS. Portanto, você deve criar manualmente os diretórios home no servidor na raiz do compartilhamento que contém os diretórios home.