34.3. 设置 Kerberos 感知 NFS 服务器


  1. 如果您的任何 NFS 客户端只支持弱加密,如 Red Hat Enterprise Linux 5 客户端:
    1. 更新 IdM 服务器 Kerberos 配置,以启用弱 des-cbc-crc 加密类型:
      $ ldapmodify -x -D "cn=directory manager" -w password -h ipaserver.example.com -p 389
      
      dn: cn=REALM_NAME,cn=kerberos,dc=example,dc=com
      changetype: modify
      add: krbSupportedEncSaltTypes
      krbSupportedEncSaltTypes: des-cbc-crc:normal
      -
      add: krbSupportedEncSaltTypes
      krbSupportedEncSaltTypes: des-cbc-crc:special
      -
      add: krbDefaultEncSaltTypes
      krbDefaultEncSaltTypes: des-cbc-crc:special
    2. 在 NFS 服务器中,在 NFS 服务器的 /etc/krb5.conf 文件中添加以下条目以启用弱加密支持:
      allow_weak_crypto = true
  2. 获取Kerberos ticket:
    [root@nfs-server ~]# kinit admin
  3. 如果 NFS 主机计算机尚未作为客户端添加到 IdM 域,请创建主机条目。请参阅 第 12.3 节 “添加主机条目”
  4. 创建 NFS 服务条目:
    [root@nfs-server ~]# ipa service-add nfs/nfs-server.example.com
  5. 使用以下 ipa-getkeytab 命令为 NFS 服务器检索 NFS 服务 keytab,该命令可将密钥保存在 /etc/krb5.keytab 文件中:
    [root@nfs-server ~]# ipa-getkeytab -s ipaserver.example.com -p nfs/nfs-server.example.com -k /etc/krb5.keytab
    如果您的任何 NFS 客户端只支持弱加密,还会将 -e des-cbc-crc 选项传递给 命令,以请求 DES 加密 keytab。
  6. 通过检查服务条目,在 IdM 中使用 keytab 验证 NFS 服务是否已正确配置:
    [root@nfs-server ~]# ipa service-show nfs/nfs-server.example.com
      Principal name: nfs/nfs-server.example.com@IDM.EXAMPLE.COM
      Principal alias: nfs/nfs-server.example.com@IDM.EXAMPLE.COM
      Keytab: True
      Managed by: nfs-server.example.com
  7. 安装 nfs-utils 软件包:
    [root@nfs-server ~]# yum install nfs-utils
  8. 运行 ipa-client-automount 工具来配置 NFS 设置:
    [root@nfs-server ~] ipa-client-automount
    Searching for IPA server...
    IPA server: DNS discovery
    Location: default
    Continue to configure the system with these values? [no]: yes
    Configured /etc/sysconfig/nfs
    Configured /etc/idmapd.conf
    Started rpcidmapd
    Started rpcgssd
    Restarting sssd, waiting for it to become available.
    Started autofs
    默认情况下,这个命令启用安全 NFS 并将 /etc/idmapd.conf 文件中的 Domain 参数设置为 IdM DNS 域。如果您使用不同的域,请使用 --idmap-domain domain_name 参数指定它。
  9. nfs-idmapd 服务配置为在系统引导时自动启动:
    # systemctl enable nfs-idmapd
  10. 编辑 /etc/exports 文件并使用 krb5p Kerberos 安全设置添加共享:
    /export  *(rw,sec=krb5:krb5i:krb5p)
    /home  *(rw,sec=krb5:krb5i:krb5p)
    这个示例在启用了 Kerberos 身份验证时以读写模式共享 /export/home 目录。
  11. 重新导出共享目录:
    [root@nfs-server ~]# exportfs -rav
  12. (可选)将 NFS 服务器配置为 NFS 客户端。请参阅 第 34.4 节 “设置 Kerberos 感知 NFS 客户端”
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.