34.4. 设置 Kerberos 感知 NFS 客户端
- 如果 NFS 客户端只支持弱加密(如 Red Hat Enterprise Linux 5 客户端),请在服务器的
/etc/krb5.conf
文件中设置以下条目以允许弱加密:allow_weak_crypto = true
- 如果 NFS 客户端没有注册为 IdM 域中的客户端,请设置所需的主机条目,如 第 12.3 节 “添加主机条目” 所述。
- 安装 nfs-utils 软件包:
[root@nfs-client ~]# yum install nfs-utils
- 在运行 IdM 工具前获取 Kerberos 票据。
[root@nfs-client ~]# kinit admin
- 运行 ipa-client-automount 工具来配置 NFS 设置:
[root@nfs-client ~] ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/sysconfig/nfs Configured /etc/idmapd.conf Started rpcidmapd Started rpcgssd Restarting sssd, waiting for it to become available. Started autofs
默认情况下,这会在/etc/sysconfig/nfs
文件中启用安全 NFS,并在/etc/idmapd.conf
文件中的Domain
参数中设置 IdM DNS 域。 - 将服务配置为在系统引导时自动启动:
[root@nfs-client ~]# systemctl enable rpc-gssd.service [root@nfs-client ~]# systemctl enable rpcbind.service
- 在
/etc/fstab
文件中添加下列条目,以便在系统引导时从nfs-server.example.com
主机挂载 NFS 共享:nfs-server.example.com:/export /mnt nfs4 sec=krb5p,rw nfs-server.example.com:/home /home nfs4 sec=krb5p,rw
这些设置将 Red Hat Enterprise Linux 配置为将/export
共享挂载到/mnt
,将/home
共享挂载到/home
目录。 - 如果挂载点不存在,则进行创建:
# mkdir -p /mnt/ # mkdir -p /home
- 挂载 NFS 共享:
[root@nfs-client ~]# mount /mnt/ [root@nfs-client ~]# mount /home
命令使用/etc/fstab
条目中的信息。 - 配置 SSSD 以续订 Kerberos 票据:
- 在
/etc/sssd/sssd.conf
文件的 IdM 域部分中设置以下参数,以配置 SSSD 以自动更新票据:[domain/EXAMPLE.COM] ... krb5_renewable_lifetime = 50d krb5_renew_interval = 3600
- 重启 SSSD:
[root@nfs-client ~]# systemctl restart sssd
重要
pam_oddjob_mkhomedir
模块不支持在 NFS 共享上自动创建主目录。因此,您必须在包含主目录的共享根目录中手动在服务器上创建主目录。