Capítulo 79. Usando montagem automática na IdM
Automount é uma forma de gerenciar, organizar e acessar diretórios através de múltiplos sistemas. O programa Automount monta automaticamente um diretório sempre que o acesso a ele é solicitado. Isto funciona bem dentro de um domínio IdM, pois permite que diretórios sobre clientes dentro do domínio sejam compartilhados facilmente. Isto é especialmente importante com os diretórios residenciais dos usuários.
Na IdM, a montagem automática funciona com o diretório interno LDAP e também com os serviços DNS, se configurados.
79.1. Configuração de um servidor NFS Kerberos-aware
Este procedimento descreve como configurar um servidor NFS Kerberos sensível à Kerberos.
Pré-requisitos
- Criação do domínio IdM. Para mais informações, consulte Instalando o Gerenciamento de Identidade.
- Cliente IPA instalado. Para mais informações, consulte Instalando pacotes ipa-cliente.
Procedimento
Se algum de seus clientes NFS suportar apenas criptografia fraca, como os clientes do Red Hat Enterprise Linux 5:
Atualizar a configuração do servidor IdM Kerberos para permitir o fraco tipo de criptografia
des-cbc-crc
:$ ldapmodify -x -D "cn=directory manager" -w password -h ipaserver.example.com -p 389 dn: cn=REALM_NAME,cn=kerberos,dc=example,dc=com changetype: modify add: krbSupportedEncSaltTypes krbSupportedEncSaltTypes: des-cbc-crc:normal - add: krbSupportedEncSaltTypes krbSupportedEncSaltTypes: des-cbc-crc:special - add: krbDefaultEncSaltTypes krbDefaultEncSaltTypes: des-cbc-crc:special
No servidor NFS, adicione a seguinte entrada ao arquivo
/etc/krb5.conf
do servidor NFS permitir um fraco suporte a criptografia:allow_weak_crypto = verdadeiro
Obter um bilhete Kerberos:
[root@nfs-server ~]# kinit admin
- Se a máquina host NFS não tiver sido adicionada como cliente ao domínio IdM, crie a entrada host. Veja Adicionando entradas de host IdM da IdM CLI.
Criar a entrada de serviço NFS:
[root@nfs-server ~]# ipa service-add nfs/nfs-server.example.com
Recupere uma tabela de chaves de serviço NFS para o servidor NFS usando o seguinte comando
ipa-getkeytab
que salva as chaves no arquivo/etc/krb5.keytab
:[root@nfs-server ~]# ipa-getkeytab -s ipaserver.example.com -p nfs/nfs-server.example.com -k /etc/krb5.keytab
Se algum de seus clientes NFS suportar apenas criptografia fraca, além disso, passe a opção
-e des-cbc-crc
para o comando para solicitar uma tabela de chaves criptografadas por DES.Verificar se o serviço NFS foi configurado corretamente na IdM, com sua tabela de chaves, verificando a entrada do serviço:
[root@nfs-server ~]# ipa service-show nfs/nfs-server.example.com Principal name: nfs/nfs-server.example.com@IDM.EXAMPLE.COM Principal alias: nfs/nfs-server.example.com@IDM.EXAMPLE.COM Keytab: True Managed by: nfs-server.example.com
Instale o nfs-utils pacote:
[root@nfs-server ~]# yum instalar nfs-utils
Execute o utilitário
ipa-client-automount
para configurar as configurações do NFS:[root@nfs-server ~] ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/idmapd.conf Restarting sssd, waiting for it to become available. Started autofs
Por padrão, este comando permite o NFS seguro e define o parâmetro
Domain
no arquivo/etc/idmapd.conf
para o domínio DNS do IdM. Se você usar um domínio diferente, especifique-o usando o--idmap-domain domain_name
parâmetro.Edite o arquivo
/etc/exports
e adicione ações com a configuração de segurançakrb5p
Kerberos:/export *(rw,sec=krb5:krb5i:krb5p) /home *(rw,sec=krb5:krb5i:krb5p)
Este exemplo compartilha os diretórios
/export
e/home
em modo de leitura-escrita com a autenticação Kerberos habilitada.Reinicie e ative o nfs-server:
[root@nfs-server ~]# systemctl restart nfs-server [root@nfs-server ~]# systemctl enable nfs-server
Reexportar os diretórios compartilhados:
[root@nfs-server ~]# exporttfs -rav
- Opcionalmente, configure o servidor NFS como um cliente NFS. Ver Seção 79.2, “Estabelecimento de um cliente NFS Kerberos”.