5.11. 在 Red Hat Identity Management 域中使用 Kerberos 设置 NFS 服务器
如果您使用 Red Hat Identity Management (IdM),您可以将 NFS 服务器加入到 IdM 域中。这可让您集中管理用户和组,并使用 Kerberos 进行身份验证、完整性保护和流量加密。
先决条件
- NFS 服务器已在 Red Hat Identity Management (IdM)域中 注册。
- NFS 服务器正在运行并配置了。
流程
以 IdM 管理员身份获取 kerberos 票据:
# kinit admin
创建
nfs/<FQDN>
; 服务主体:# ipa service-add nfs/nfs_server.idm.example.com
从 IdM 检索
nfs
服务主体,并将其存储在/etc/krb5.keytab
文件中:# ipa-getkeytab -s idm_server.idm.example.com -p nfs/nfs_server.idm.example.com -k /etc/krb5.keytab
可选:显示
/etc/krb5.keytab
文件中的主体:# klist -k /etc/krb5.keytab Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM 1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM 1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM 1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM 7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM 7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM 7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM 7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM
默认情况下,当您将主机加入到 IdM 域时,IdM 客户端会将主机主体添加到
/etc/krb5.keytab
文件中。如果缺少主机主体,请使用ipa-getkeytab -s idm_server.idm.example.com -p host/nfs_server.idm.example.com -k /etc/krb5.keytab
命令添加它。使用
ipa-client-automount
工具来配置 IdM ID 的映射:# ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/idmapd.conf Restarting sssd, waiting for it to become available. Started autofs
更新
/etc/exports
文件,并将 Kerberos 安全方法添加到客户端选项。例如:/nfs/projects/ 192.0.2.0/24(rw,sec=krb5i)
如果您希望客户端可以从多个安全方法中选择,请使用冒号指定它们:
/nfs/projects/ 192.0.2.0/24(rw,sec=krb5:krb5i:krb5p)
重新载入导出的文件系统:
# exportfs -r