Pesquisar

79.2. Estabelecimento de um cliente NFS Kerberos

download PDF

Este procedimento descreve como criar um cliente NFS com consciência de kerberos.

Pré-requisitos

Procedimento

  1. Se os clientes NFS suportam apenas criptografia fraca, como um cliente Red Hat Enterprise Linux 5, defina a seguinte entrada no arquivo /etc/krb5.conf do servidor para permitir uma criptografia fraca:

    allow_weak_crypto = verdadeiro
  2. Se o cliente NFS não estiver registrado como cliente no domínio IdM, configure as entradas de host necessárias, conforme descrito em Adicionar entradas de host IdM da IdM CLI.
  3. Instale o nfs-utils pacote:

    [root@nfs-client ~]# yum instalar nfs-utils
  4. Obter um bilhete Kerberos antes de executar as ferramentas IdM.

    [root@nfs-client ~]# kinit admin
  5. Execute o utilitário ipa-client-automount para configurar as configurações do NFS:

    [root@nfs-client ~] ipa-client-automount
    Searching for IPA server...
    IPA server: DNS discovery
    Location: default
    Continue to configure the system with these values? [no]: yes
    Configured /etc/idmapd.conf
    Restarting sssd, waiting for it to become available.
    Started autofs

    Por padrão, isto permite o NFS seguro no arquivo /etc/sysconfig/nfs e define o domínio DNS IdM no parâmetro Domain no arquivo /etc/idmapd.conf.

  6. Adicione as seguintes entradas ao arquivo /etc/fstab para montar as ações do NFS do host nfs-server.example.com quando o sistema iniciar:

    nfs-server.example.com:/export  /mnt   nfs4  sec=krb5p,rw
    nfs-server.example.com:/home    /home  nfs4  sec=krb5p,rw

    Estas configurações configuram o Red Hat Enterprise Linux para montar o compartilhamento /export no diretório /mnt e o compartilhamento /home no diretório /home.

  7. Criar os pontos de montagem, se eles não existirem. Em nosso caso, ambos deveriam existir.
  8. Montar as ações da NFS:

    [root@nfs-client ~]# mount /mnt/
    [root@nfs-client ~]# mount /home

    O comando utiliza as informações da entrada /etc/fstab.

  9. Configurar o SSSD para renovar os bilhetes da Kerberos:

    1. Defina os seguintes parâmetros na seção de domínio IdM do arquivo /etc/sssd/sssd.conf para configurar o SSSD para renovar automaticamente os bilhetes:

      [domain/EXAMPLE.COM]
      ...
      krb5_renewable_lifetime = 50d
      krb5_renew_interval = 3600
    2. Reinicie o SSSD:

      [root@nfs-client ~]# systemctl restart sssd
Importante

O módulo pam_oddjob_mkhomedir não suporta a criação automática de diretórios domésticos sobre uma ação da NFS. Portanto, você deve criar manualmente os diretórios home no servidor na raiz do compartilhamento que contém os diretórios home.

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.