Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

18.3. Kerberized NFS サーバーの設定

Identity Management を使用して Kerberized NFS サーバーを設定できますが、Red Hat Enterprise Linux で実行する必要はありません。

18.3.1. Kerberized NFS サーバーの設定

  1. IdM ユーティリティを実行する前に、Kerberos チケットを取得します。
    [user@server ~]$ kinit admin
  2. NFS ホストマシンが IdM ドメインにクライアントとして追加されていない場合は、「ホストエントリーを追加する他の例」の説明に従って GUI でホストエントリーを作成するか、以下のようなコマンドを実行します。
    [user@server ~]$ ipa host-add --ip-address 192.0.2.10 nfs-server.example.org
  3. IdM ドメインに NFS サービスエントリーを作成します。以下に例を示します。
    [user@server ~]$ ipa service-add nfs/nfs-server.example.com
  4. ipa-getkeytab コマンドを使用して、NFS サーバーの NFS サービスキータブを生成します。
    NFS サーバーは、IdM ドメインの Red Hat Enterprise Linux マシンまたは別の Unix マシン上にある場合があります。Red Hat Enterprise Linux マシンでは、NFS サーバーマシンで ipa-getkeytab コマンドを実行できます。それ以外の場合は、IdM ドメインの Red Hat Enterprise Linux マシンで ipa-getkeytab コマンドを実行してから、NFS サーバーにコピーする必要があります。
    ipa-getkeytab コマンドが NFS サーバーで実行されている場合は、キーをホストキータブに直接保存します。たとえば、以下のようになります。
    [user@server ~]$ ipa-getkeytab -s server.example.com -p nfs/nfs-server.example.com -k /etc/krb5.keytab
    Red Hat Enterprise Linux マシンでは、必要なのはそれだけです。
    別のシステムにコピーするキーを生成する場合は、鍵を生成しますが、その鍵はホストのキータブに保存されません。キーは、NFS サーバーにコピーした後にキーをキータブに個別に追加する必要があります。
    1. キータブを一時ファイルに保存します。以下に例を示します。
      [user@server ~]$ ipa-getkeytab -s server.example.com -p nfs/nfs-server.example.com -k /root/nfs-server.keytab
    2. キータブを NFS サーバーにコピーします。
    3. ファイルのパーミッションを 0700 に設定します。
    4. サービスキーをキータブファイルに追加します。
      [root@nfs-server ~]#  ( echo rkt /root/nfs-server.keytab; echo wkt /etc/krb5.keytab ) | ktutil
    注記
    NFS サービスがキータブで IdM で適切に設定されていることを確認するには、次のコマンドを実行してサービスエントリーを確認します。
    [user@server ~]$ ipa service-show nfs/ipaclient2.example.com
    Principal: NFS/ipaclient2.example.com@EXAMPLE.COM
    Keytab: True
  5. NFS パッケージをインストールします。以下に例を示します。
    [root@nfs-server ~]# yum install nfs-utils
  6. 弱い暗号化サポートを設定します。ドメインのクライアント (Red Hat Enterprise Linux 5 クライアントなど) が DES などの古い暗号化オプションを使用する場合は、NFS クライアントごとに必要です。
    1. 以下の行を追加して krb5.conf ファイルを編集して、弱い暗号化を有効にします。
      allow_weak_crypto = true
    2. IdM サーバーの Kerberos 設定を更新して、DES 暗号化タイプに対応します。
      [user@ipaserver ~]$ ldapmodify -x -D "cn=directory manager" -w password -h ipaserver.example.com -p 389
      
      dn: cn=EXAMPLEREALM,cn=kerberos,dc=example,dc=com
      changetype: modify
      add: krbSupportedEncSaltTypes
      krbSupportedEncSaltTypes: des-cbc-crc:normal
      -
      add: krbSupportedEncSaltTypes
      krbSupportedEncSaltTypes: des-cbc-crc:special
      -
      add: krbDefaultEncSaltTypes
      krbDefaultEncSaltTypes: des-cbc-crc:special
  7. ipa-client-automount コマンドを実行して、NFS 設定を構成します。
    デフォルトでは、これにより /etc/sysconfig/nfs ファイルでセキュアな NFS が有効になり、/etc/idmapd.conf ファイルの Domain パラメーターで IdM DNS ドメインが設定されます。
    注記
    サーバーが IdM ドメインのメンバーではない場合は (ipa-client パッケージがインストールされていない)、この手順を手動で行う必要があります。詳細は、ストレージ管理ガイドの NFS 設定セクションを参照してください。
  8. /etc/exports ファイルを編集し、Kerberos 情報を追加します。
    /export  *(rw,sec=krb5:krb5i:krb5p)
  9. NFS サーバーおよび関連サービスを再起動します。
    [root@nfs-server ~]# service nfs restart
    [root@nfs-server ~]# service rpcsvcgssd restart
  10. NFS サーバーを NFS クライアントとして設定する場合は、「Kerberized NFS クライアントの設定」を参照してください。