Red Hat Training
A Red Hat training course is available for RHEL 8
79.2. Configuración de un cliente NFS compatible con Kerberos
Este procedimiento describe cómo configurar un cliente NFS compatible con Kerberos.
Requisitos previos
- Configuración del dominio IdM. Para obtener más información, consulte Instalación de la gestión de identidades.
- Cliente IPA instalado. Para más información, consulte Instalación de paquetes ipa-client.
Procedimiento
Si el cliente NFS sólo admite criptografía débil, como un cliente Red Hat Enterprise Linux 5, configure la siguiente entrada en el archivo
/etc/krb5.conf
del servidor para permitir la criptografía débil:allow_weak_crypto = true
- Si el cliente NFS no está inscrito como cliente en el dominio de IdM, configure las entradas de host necesarias, como se describe en Añadir entradas de host de IdM desde la CLI de IdM.
Instale el nfs-utils paquete:
root@nfs-client ~]# yum install nfs-utils
Obtenga un ticket Kerberos antes de ejecutar las herramientas IdM.
[root@nfs-client ~]# kinit admin
Ejecute la utilidad
ipa-client-automount
para configurar los ajustes de NFS:[root@nfs-client ~] ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/idmapd.conf Restarting sssd, waiting for it to become available. Started autofs
Por defecto, esto habilita el NFS seguro en el archivo
/etc/sysconfig/nfs
y establece el dominio DNS de IdM en el parámetroDomain
en el archivo/etc/idmapd.conf
.Añada las siguientes entradas al archivo
/etc/fstab
para montar los recursos compartidos NFS desde el hostnfs-server.example.com
cuando el sistema arranque:nfs-server.example.com:/export /mnt nfs4 sec=krb5p,rw nfs-server.example.com:/home /home nfs4 sec=krb5p,rw
Estos ajustes configuran Red Hat Enterprise Linux para montar el recurso compartido
/export
en el directorio/mnt
y el recurso compartido/home
en el directorio/home
.- Cree los puntos de montaje si no existen. En nuestro caso, ambos deberían existir.
Montar los recursos compartidos NFS:
[root@nfs-client ~]# mount /mnt/ [root@nfs-client ~]# mount /home
El comando utiliza la información de la entrada
/etc/fstab
.Configurar SSSD para renovar los tickets de Kerberos:
Establezca los siguientes parámetros en la sección del dominio IdM del archivo
/etc/sssd/sssd.conf
para configurar SSSD para renovar automáticamente los tickets:[domain/EXAMPLE.COM] ... krb5_renewable_lifetime = 50d krb5_renew_interval = 3600
Reinicie el SSSD:
[root@nfs-client ~]# systemctl restart sssd
El módulo pam_oddjob_mkhomedir
no admite la creación automática de directorios personales en un recurso compartido NFS. Por lo tanto, debe crear manualmente los directorios de inicio en el servidor en la raíz del recurso compartido que contiene los directorios de inicio.