Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

34.2. 自動マウントの設定

Identity Management では、場所やマップなどの自動マウントエントリーを設定するには、既存の autofs/NFS サーバーが必要です。automount エントリーを作成しても、基礎となる autofs 設定は作成されません。Autofs は、LDAP または SSSD をデータストアとして使用して手動で設定するか、自動的に設定することができます。
注記
自動マウント設定を変更する前に、少なくとも 1 人のユーザーをテストする前に、コマンドラインから /home ディレクトリーを正常にマウントできます。NFS が適切に機能していれば、後で IdM 自動マウント設定エラーのトラブルシューティングが容易になります。

34.2.1. NFS の自動設定

システムを IdM クライアントとして構成します。設定の一部としてドメインクライアントとして設定された IdM サーバーおよびレプリカが含まれる IdM サーバーおよびレプリカは、autofs を設定し、IdM ドメインを NFS ドメインとして使用し、autofs サービスを有効にすることができます。
デフォルトでは、ipa-client-automount ユーティリティーは、NFS 設定ファイル /etc/sysconfig/nfs および /etc/idmapd.conf を自動的に設定します。また、SSSD が NFS の認証情報を管理するようにも設定します。ipa-client-automount コマンドがオプションなしで実行すると、DNS 検出スキャンが実行され、利用可能な IdM サーバーを特定し、default という名前のデフォルトの場所を作成します
[root@ipa-server ~]# ipa-client-automount
Searching for IPA server...
IPA server: DNS discovery
Location: default
Continue to configure the system with these values? [no]: yes
Configured /etc/nsswitch.conf
Configured /etc/sysconfig/nfs
Configured /etc/idmapd.conf
Started rpcidmapd
Started rpcgssd
Restarting sssd, waiting for it to become available.
Started autofs
ldM サーバーがデフォルト以外の automount の場所を使用、作成することも可能です。
[root@server ~]# ipa-client-automount --server=ipaserver.example.com --location=boston
ipa-client-automount ユーティリティーは、NFS の設定とともに、外部 IdM ストアにアクセスできなくなると、SSSD が自動マウントマップをキャッシュするように設定します。SSSD を設定すると、以下の 2 つが実行されます。
  • サービスの設定情報が SSSD 設定に追加されます。IdM ドメインエントリーには、autofs プロバイダーとマウントの場所の設定があります。
    autofs_provider = ipa
    ipa_automount_location = default
    NFS は、対応しているサービスのリスト(services = nss,pam,autofs...)に追加され、空の設定エントリー([autofs])が指定されます。
  • Name Service Switch(NSS)サービス情報が更新され、SSSD が自動マウント情報について最初に確認してから、ローカルファイルがチェックされます。
    automount: sss files
クライアントによる自動マウントマップのキャッシュが適切でないといった、非常に安全な環境など、一部のインスタンスが存在する可能性があります。この場合は、ipa-client-automount コマンドに --no-sssd オプションを指定して実行できます。このオプションでは、必要なすべての NFS 設定ファイルが変更されますが、SSSD 設定は変更されません。
[root@server ~]# ipa-client-automount --no-sssd
--no-sssd を使用すると、ipa-client-automount が更新した設定ファイルのリストは異なります。
  • このコマンドは、/etc/sysconfig/nfs の代わりに /etc/sysconfig/autofs を更新します
  • このコマンドは、IdM LDAP 設定で /etc/autofs_ldap_auth.conf を設定します。
  • このコマンドは、自動マウントマップに LDAP サービスを使用するように /etc/nsswitch.conf を設定します。
注記
ipa-client-automount コマンドは、一度だけ実行できます。設定にエラーがある場合は、設定ファイルを手動で編集する必要があります。

34.2.2. SSSD および Identity Management を使用するように autofs を手動で設定

  1. autofs が検索するスキーマ属性を指定するには、/etc/sysconfig/autofs ファイルを編集します。
    #
    # Other common LDAP naming
    #
    MAP_OBJECT_CLASS="automountMap"
    ENTRY_OBJECT_CLASS="automount"
    MAP_ATTRIBUTE="automountMapName"
    ENTRY_ATTRIBUTE="automountKey"
    VALUE_ATTRIBUTE="automountInformation"
    
  2. LDAP 設定を指定します。これには 2 通りの方法があります。最も簡単な方法は、自動マウントサービスが LDAP サーバーのその場所を自分で発見するようにすることです。
    LDAP_URI="ldap:///dc=example,dc=com"
    別の方法では、使用する LDAP サーバーと LDAP 検索のベース DN を明示的に設定します。
    LDAP_URI="ldap://ipa.example.com"
    SEARCH_BASE="cn=location,cn=automount,dc=example,dc=com"
    注記
    location のデフォルト値は default です。追加の場所が追加されると「ロケーションの設定」)、クライアントがその場所を使用するように向けることができます。
  3. autofs が IdM LDAP サーバーによるクライアント認証を許可するように、/etc/autofs_ldap_auth.conf ファイルを編集します。
    • authrequired を yes に変更します。
    • プリンシパルを NFS クライアントサーバー用 Kerberos ホストプリンシパル host/fqdn@REALM に設定します。プリンシパル名は、GSS クライアント認証の一部として IdM ディレクトリーへの接続に使用されます。
    <autofs_ldap_sasl_conf
         usetls="no"
         tlsrequired="no"
         authrequired="yes"
         authtype="GSSAPI"
         clientprinc="host/server.example.com@EXAMPLE.COM"
         />
    必要に応じて、klist -k を実行して、実際のホストプリンシパル情報を取得します。
  4. autofs を、SSSD が管理するサービスとして設定します。
    1. SSSD 設定ファイルを開きます。
      [root@server ~]# vim /etc/sssd/sssd.conf
    2. autofs サービスを、SSSD が処理するサービス一覧に追加します。
      [sssd]
      services = nss,pam,autofs
    3. 新しい [autofs] セクションを作成します。これは空白のままにしても構いません。autofs サービスのデフォルト設定は、ほとんどのインフラストラクチャーで機能します。
      [nss]
      
      [pam]
      
      [sudo]
      
      [autofs]
      
      [ssh]
      
      [pac]
    4. オプションとして、autofs エントリーの検索ベースを設定します。デフォルトでは、これは LDAP 検索ベースですが、ldap_autofs_search_base パラメーターでサブツリーを指定できます。
      [domain/EXAMPLE]
      ...
      ldap_search_base = "dc=example,dc=com"
      ldap_autofs_search_base = "ou=automount,dc=example,dc=com"
  5. SSSD を再起動します。
    [root@server ~]# systemctl restart sssd.service
  6. /etc/nsswitch.conf ファイルを確認して、SSSD が自動マウント設定のソースとしてリストされていることを確認します。
    automount: sss files
  7. Restart autofs:
    [root@server ~]# systemctl restart autofs.service
  8. ユーザーの /home ディレクトリーを一覧表示して、設定をテストします。
    [root@server ~]# ls /home/userName
    リモートファイルシステムをマウントしない場合は、/var/log/messages ファイルでエラーの有無を確認します。必要に応じて、LOGGING パラメーターを debug に設定して、/etc/sysconfig/autofs ファイルのデバッグレベルを増やします
注記
自動マウントで問題がある場合は、ldM インスタンスの 389 Directory Server アクセスログで自動マウント試行を相互参照します。これは、試行されたアクセス、ユーザー、および検索ベースを表示します。
また、automount をフォアグラウンドで実行し、デバッグのログを記録します。
automount -f -d
これで LDAP のアクセスログと自動マウントのログを相互参照することなく、デバッグのログ情報が直接出力されます。

34.2.3. Solaris での Automount の設定

注記
Solaris は、Identity Management で使用されるスキーマとは異なるスキーマを autofs 構成に使用します。Identity Management は 389 Directory Server 向けに定義される 2307bis 形式の自動マウントスキーマを使用します(IdM の内部 Directory Server インスタンスで使用されます)。
  1. NFS サーバーが Red Hat Enterprise Linux 上で稼働している場合、Solaris マシン上で NFSv3 が最大のサポートバージョンであることを指定します。/etc/default/nfs ファイルを編集し、以下のパラメーターを設定します。
    NFS_CLIENT_VERSMAX=3
    
  2. ldapclient コマンドを使用して、LDAP を使用するようホストを設定します。
    ldapclient -v manual -a authenticationMethod=none
        -a defaultSearchBase=dc=example,dc=com
        -a defaultServerList=ipa.example.com
        -a serviceSearchDescriptor=passwd:cn=users,cn=accounts,dc=example,dc=com
        -a serviceSearchDescriptor=group:cn=groups,cn=compat,dc=example,dc=com
        -a serviceSearchDescriptor=auto_master:automountMapName=auto.master,cn=location,cn=automount,dc=example,dc=com?one
        -a serviceSearchDescriptor=auto_home:automountMapName=auto_home,cn=location,cn=automount,dc=example,dc=com?one
        -a objectClassMap=shadow:shadowAccount=posixAccount
        -a searchTimelimit=15
        -a bindTimeLimit=5
    
  3. 自動マウントを有効にします
    # svcadm enable svc:/system/filesystem/autofs
  4. 設定をテストします。
    1. LDAP 設定を確認します。
      # ldapclient -l auto_master
      
      dn: automountkey=/home,automountmapname=auto.master,cn=location,cn=automount,dc=example,dc=com
      objectClass: automount
      objectClass: top
      automountKey: /home
      automountInformation: auto.home
      
    2. ユーザーの /home ディレクトリーを一覧表示します。
      # ls /home/userName

このページには機械翻訳が使用されている場合があります (詳細はこちら)。