5.3. Configuração de um servidor e cliente NFS para usar o Kerberos
Kerberos é um sistema de autenticação de rede que permite que clientes e servidores se autentiquem uns aos outros usando criptografia simétrica e um terceiro de confiança, o KDC. A Red Hat recomenda o uso do Gerenciamento de Identidade (IdM) para a configuração do Kerberos.
Pré-requisitos
-
O Centro de Distribuição de Chaves Kerberos (
KDC) está instalado e configurado.
Procedimento
-
Criar o
nfs/hostname.domain@REALMprincipal no lado do servidor NFS. -
Criar o
host/hostname.domain@REALMprincipal tanto do lado do servidor como do lado do cliente. - Adicione as chaves correspondentes às fichas-chave para o cliente e o servidor.
-
Criar o
No lado do servidor, use a opção
sec=para habilitar os sabores de segurança desejados. Para habilitar todos os sabores de segurança, bem como as montagens não criptográficas:/exportar *(seg=sys:krb5:krb5i:krb5p)
Os sabores de segurança válidos para usar com a opção
sec=são:-
sys: sem proteção criptográfica, o padrão -
krb5: somente autenticação -
krb5i: proteção da integridade -
krb5p: proteção de privacidade
-
No lado do cliente, adicionar
sec=krb5(ousec=krb5i, ousec=krb5p, dependendo da configuração) às opções de montagem:# mount -o sec=krb5 server:/exportar /mnt
Recursos adicionais
- Se você precisar escrever arquivos como raiz no compartilhamento NFS protegido por Kerberos e manter a propriedade raiz nesses arquivos, veja https://access.redhat.com/articles/4040141. Note que esta configuração não é recomendada.
- Para mais informações sobre a configuração do NFS, consulte as páginas de manual exports(5) e nfs(5).
