2.11. 在 Red Hat Enterprise Linux Identity Management 域中设置带有 Kerberos 的 NFS 服务器

流程

1. 以 IdM 管理员身份获取 kerberos 票据：

   # kinit admin

   Copy to Clipboard

2. 创建一个 nfs/<FQDN> 服务主体：

   # ipa service-add nfs/nfs_server.idm.example.com

   Copy to Clipboard

3. 从 IdM 检索 nfs 服务主体，并将其存储在 /etc/krb5.keytab 文件中：

   # ipa-getkeytab -s idm_server.idm.example.com -p nfs/nfs_server.idm.example.com -k /etc/krb5.keytab

   Copy to Clipboard

4. 可选：显示 /etc/krb5.keytab 文件中的主体：

   # klist -k /etc/krb5.keytab
   Keytab name: FILE:/etc/krb5.keytab
   KVNO Principal
   ---- --------------------------------------------------------------------------
      1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM
      7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM

   Copy to Clipboard

   默认情况下，当您将主机加入到 IdM 域时，IdM 客户端会将主机主体添加到 /etc/krb5.keytab 文件中。如果缺少主机主体，请使用 ipa-getkeytab -s idm_server.idm.example.com -p host/nfs_server.idm.example.com -k /etc/krb5.keytab 命令添加它。

5. 使用 ipa-client-automount 工具配置 IdM ID 的映射：

   #  ipa-client-automount
   Searching for IPA server...
   IPA server: DNS discovery
   Location: default
   Continue to configure the system with these values? [no]: yes
   Configured /etc/idmapd.conf
   Restarting sssd, waiting for it to become available.
   Started autofs

   Copy to Clipboard

6. 更新 /etc/exports 文件，并将 Kerberos 安全方法添加到客户端选项中。例如：

   /nfs/projects/      	192.0.2.0/24(rw,sec=krb5i)

   Copy to Clipboard

   如果您希望客户端可以从多个安全方法中选择，请使用冒号分割它们：

   /nfs/projects/      	192.0.2.0/24(rw,sec=krb5:krb5i:krb5p)

   Copy to Clipboard

7. 重新载入导出的文件系统：

   # exportfs -r

   Copy to Clipboard