4.8. 在 Red Hat Identity Management 域中使用 Kerberos 设置 NFS 客户端
如果 NFS 服务器使用 Kerberos 并注册到 Red Hat Identity Management (IdM)域中,您的客户端也必须是域的成员才能挂载共享。这可让您集中管理用户和组,并使用 Kerberos 进行身份验证、完整性保护和流量加密。
先决条件
- NFS 客户端 注册到 Red Hat Identity Management (IdM)域中。
- 导出的 NFS 共享使用 Kerberos。
流程
以 IdM 管理员身份获取 kerberos 票据:
# kinit admin
检索主机主体,并将其存储在
/etc/krb5.keytab
文件中:# ipa-getkeytab -s idm_server.idm.example.com -p host/nfs_client.idm.example.com -k /etc/krb5.keytab
在
将主机
加入到 IdM 域时,IdM 会自动创建 host 主体。可选:显示
/etc/krb5.keytab
文件中的主体:# klist -k /etc/krb5.keytab Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM 6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM 6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM 6 host/nfs_client.idm.example.com@IDM.EXAMPLE.COM
使用
ipa-client-automount
工具配置 IdM ID 的映射:# ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/idmapd.conf Restarting sssd, waiting for it to become available. Started autofs
挂载导出的 NFS 共享,例如:
# mount -o sec=krb5i server.idm.example.com:/nfs/projects/ /mnt/
-o sec
选项指定 Kerberos 安全方法。
验证
- 以具有写入挂载的共享的 IdM 用户身份登录。
获取Kerberos ticket:
$ kinit
在共享中创建文件,例如:
$ touch /mnt/test.txt
列出目录以验证该文件是否已创建:
$ ls -l /mnt/test.txt -rw-r--r--. 1 admin users 0 Feb 15 11:54 /mnt/test.txt
其它资源