2.11. 在身份管理域中使用 Kerberos 设置 NFS 服务器

流程

1. 以 IdM 管理员身份获取 kerberos 票据：

   # kinit admin

2. 创建一个 nfs/<FQDN> 服务主体：

   # ipa service-add nfs/nfs_server.idm.example.com

3. 从 IdM 检索 nfs 服务主体，并将其存储在 /etc/krb5.keytab 文件中：

   # ipa-getkeytab -s idm_server.idm.example.com -p nfs/nfs_server.idm.example.com -k /etc/krb5.keytab

4. 可选：显示 /etc/krb5.keytab 文件中的主体：

   # klist -k /etc/krb5.keytab

   Keytab name: FILE:/etc/krb5.keytab
   KVNO Principal
   ---- --------------------------------------------------------------------------
      1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM

   默认情况下，当您将主机加入到 IdM 时，IdM 客户端会将主机主体添加到 /etc/krb5.keytab 文件中。如果缺少主机主体，请使用 ipa-getkeytab -s idm_server.idm.example.com -p host/nfs_server.idm.example.com -k /etc/krb5.keytab 命令添加它。

5. 使用 ipa-client-automount 工具配置 IdM ID 的映射。

   1. 如果客户端不在 IdM DNS 域中，请使用 the- domain 选项指定 IdM 部署的主 DNS 域。或者，使用 the-server 选项指定要连接的 IdM 服务器：

      # ipa-client-automount --domain idm.example.com

      --domain 选项会触发 DNS 发现来确定要使用的 IdM 服务器。

   2. 如果客户端已在 IdM DNS 域中，请运行不带 a- domain 选项的命令 ：

      # ipa-client-automount

      Searching for IPA server...
      IPA server: DNS discovery
      Location: default
      Continue to configure the system with these values? [no]: yes
      Configured /etc/idmapd.conf
      Restarting sssd, waiting for it to become available.
      Started autofs

6. 更新 /etc/exports 文件，并将 Kerberos 安全方法添加到客户端选项中。例如：

   /nfs/projects/      	192.0.2.0/24(rw,sec=krb5i)

   如果您希望客户端可以从多个安全方法中选择，请使用冒号分割它们：

   /nfs/projects/      	192.0.2.0/24(rw,sec=krb5:krb5i:krb5p)

7. 重新载入导出的文件系统：

   # exportfs -r