4.8. 在 Red Hat Identity Management 域中使用 Kerberos 设置 NFS 客户端


如果 NFS 服务器使用 Kerberos 并注册到 Red Hat Identity Management (IdM)域中,您的客户端也必须是域的成员才能挂载共享。这可让您集中管理用户和组,并使用 Kerberos 进行身份验证、完整性保护和流量加密。

先决条件

  • NFS 客户端 注册到 Red Hat Identity Management (IdM)域中。
  • 导出的 NFS 共享使用 Kerberos。

流程

  1. 以 IdM 管理员身份获取 kerberos 票据:

    # kinit admin
  2. 检索主机主体,并将其存储在 /etc/krb5.keytab 文件中:

    # ipa-getkeytab -s idm_server.idm.example.com -p host/nfs_client.idm.example.com -k /etc/krb5.keytab

    将主机 加入到 IdM 域时,IdM 会自动创建 host 主体。

  3. 可选:显示 /etc/krb5.keytab 文件中的主体:

    # klist -k /etc/krb5.keytab
    Keytab name: FILE:/etc/krb5.keytab
    KVNO Principal
    ---- --------------------------------------------------------------------------
       6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM
       6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM
       6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM
       6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM
  4. 使用 ipa-client-automount 工具配置 IdM ID 的映射:

    # ipa-client-automount
    Searching for IPA server...
    IPA server: DNS discovery
    Location: default
    Continue to configure the system with these values? [no]: yes
    Configured /etc/idmapd.conf
    Restarting sssd, waiting for it to become available.
    Started autofs
  5. 挂载导出的 NFS 共享,例如:

    # mount -o sec=krb5i server.idm.example.com:/nfs/projects/ /mnt/

    -o sec 选项指定 Kerberos 安全方法。

验证

  1. 以具有写入挂载的共享的 IdM 用户身份登录。
  2. 获取Kerberos ticket:

    $ kinit
  3. 在共享中创建文件,例如:

    $ touch /mnt/test.txt
  4. 列出目录以验证该文件是否已创建:

    $ ls -l /mnt/test.txt
    -rw-r--r--. 1 admin users 0 Feb 15 11:54 /mnt/test.txt
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.