4.8. 在 Red Hat Enterprise Linux Identity Management 域中使用 Kerberos 设置 NFS 客户端

流程

1. 以 IdM 管理员身份获取 kerberos 票据：

   # kinit admin

   Copy to Clipboard Toggle word wrap

2. 检索主机主体，并将其存储在 /etc/krb5.keytab 文件中：

   # ipa-getkeytab -s idm_server.idm.example.com -p host/nfs_client.idm.example.com -k /etc/krb5.keytab

   Copy to Clipboard Toggle word wrap

   在将主机加入到 IdM 域时，IdM 自动创建 host 主体。

3. 可选：显示 /etc/krb5.keytab 文件中的主体：

   # klist -k /etc/krb5.keytab
   Keytab name: FILE:/etc/krb5.keytab
   KVNO Principal
   ---- --------------------------------------------------------------------------
      6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM
      6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM
      6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM
      6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM

   Copy to Clipboard Toggle word wrap

4. 使用 ipa-client-automount 工具配置 IdM ID 的映射：

   # ipa-client-automount
   Searching for IPA server...
   IPA server: DNS discovery
   Location: default
   Continue to configure the system with these values? [no]: yes
   Configured /etc/idmapd.conf
   Restarting sssd, waiting for it to become available.
   Started autofs

   Copy to Clipboard Toggle word wrap

5. 挂载导出的 NFS 共享，例如：

   # mount -o sec=krb5i server.idm.example.com:/nfs/projects/ /mnt/

   Copy to Clipboard Toggle word wrap

   -o sec 选项指定 Kerberos 安全方法。

验证

1. 以对挂载的共享具有写权限的 IdM 用户身份登录。

2. 获取 Kerberos 票据：

   $ kinit

   Copy to Clipboard Toggle word wrap

3. 在共享上创建一个文件，例如：

   $ touch /mnt/test.txt

   Copy to Clipboard Toggle word wrap

4. 列出目录，以验证文件是否已创建：

   $ ls -l /mnt/test.txt
   -rw-r--r--. 1 admin users 0 Feb 15 11:54 /mnt/test.txt

   Copy to Clipboard Toggle word wrap