Show Table of Contents
33.3. Kerberos 対応の NFS サーバーの設定
Identity Management を使って Kerberos 対応の NFS サーバーを設定することができます。
注記
NFS サーバーは Red Hat Enterprise Linux 上で稼働する必要はありません。
33.3.1. Kerberos 対応の NFS サーバーの設定
- IdM ツールを実行する前に Kerberos チケットを取得します。
[jsmith@server ~]$ kinit admin
- NFS ホストマシンが IdM ドメインにクライアントとして追加されていない場合は、ホストエントリーを作成します。「ホストエントリーの追加」 を参照してください。
- IdM ドメインで NFS サービスエントリーを作成します。例を示します。
[jsmith@server ~]$ ipa service-add nfs/nfs-server.example.com
詳細は、「サービスエントリーおよび Keytab の追加と編集」 を参照してください。 ipa-getkeytabコマンドで NFS サーバー用の NFS サービス keytab を作成し、キーをホスト keytab に直接保存します。例を示します。[jsmith@server ~]$ ipa-getkeytab -s ipaserver.example.com -p nfs/nfs-server.example.com -k /etc/krb5.keytab
注記
サービスエントリーをチェックして、NFS サービスが IdM で適切に設定されていることを keytab で確認します。[jsmith@server ~]$ ipa service-show nfs/nfs-server.example.com Principal: NFS/nfs-server.example.com@EXAMPLE.COM Keytab: True
注記
この手順では、ipa-getkeytabが実行可能な Red Hat Enterprise Linux または UNIX システム上で、NFS サーバーが稼働していることを想定しています。NFS サーバーがipa-getkeytabを実行できないシステム上で稼働している場合は、システムツールを使って keytab を作成します。これには、以下の 2 つを実行する必要があります。- キーは
/root(またはそれに相当する) ディレクトリー内で作成する必要があります。
- NFS パッケージをインストールします。
[root@nfs-server ~]# yum install nfs-utils
- weak crypto のサポートを設定します。これは、ドメイン内の いずれかの クライアント (Red Hat Enterprise Linux 5 クライアントのような) が DES といった古い暗号化オプションを使用する場合に、すべての NFS クライアントで必要になります。
krb5.confファイルを編集して、weak crypto を許可します。[root@nfs-server ~]# vim /etc/krb5.conf allow_weak_crypto = true
- IdM サーバーの Kerberos 設定を更新し、DES 暗号化タイプに対応させます。
[jsmith@ipaserver ~]$ ldapmodify -x -D "cn=directory manager" -w password -h ipaserver.example.com -p 389 dn: cn=EXAMPLEREALM,cn=kerberos,dc=example,dc=com changetype: modify add: krbSupportedEncSaltTypes krbSupportedEncSaltTypes: des-cbc-crc:normal - add: krbSupportedEncSaltTypes krbSupportedEncSaltTypes: des-cbc-crc:special - add: krbDefaultEncSaltTypes krbDefaultEncSaltTypes: des-cbc-crc:special
ipa-client-automountコマンドを実行して NFS 設定を設定します。デフォルトでは、/etc/sysconfig/nfsファイル内でセキュアな NFS が有効になり、IdM DNS ドメインを/etc/idmapd.confファイル内のDomainパラメーターに設定します。/etc/exportsファイルを編集して、Kerberos 情報を追加します。/export *(rw,sec=krb5:krb5i:krb5p)
- NFS サーバーと関連サービスを再起動します。
[root@nfs-server ~]# systemctl restart nfs.service [root@nfs-server ~]# systemctl restart nfs-server.service [root@nfs-server ~]# systemctl restart nfs-secure.service [root@nfs-server ~]# systemctl restart nfs-secure-server.service
- 「Kerberos 対応の NFS クライアントの設定」 の説明にしたがって、NFS サーバーを NFS クライアントとして設定します。
33.3.2. Kerberos 対応の NFS クライアントの設定
- IdM ツールを実行する前に Kerberos チケットを取得します。
[jsmith@server ~]$ kinit admin
- NFS クライアントが IdM ドメインにクライアントとして登録されていない場合は、「ホストエントリーの追加」 にあるように必要なホストエントリーを作成します。
ipa-client-automountコマンドを実行して NFS 設定を設定します。デフォルトでは、/etc/sysconfig/nfsファイル内でセキュアな NFS が有効になり、IdM DNS ドメインを/etc/idmapd.confファイル内のDomainパラメーターに設定します。- GSS デーモンを起動します。
[root@nfs-client-server ~]# systemctl start rpc-gssd.service [root@nfs-client-server ~]# systemctl start rpcbind.service [root@nfs-client-server ~]# systemctl start nfs-idmapd.service
- ディレクトリーをマウントします。
[root@nfs-client-server ~]# echo "$NFSSERVER:/this /mnt/this nfs4 sec=krb5i,rw,proto=tcp,port=2049" >>/etc/fstab [root@nfs-client-server ~]# mount -av
- クライアントシステム上の SSSD がホームディレクトリーを管理し、Kerberos チケットを更新するように設定します。
--enablemkhomedirオプションで SSSD を有効にします。[root@nfs-client-server ~]# authconfig --update --enablesssd --enablesssdauth --enablemkhomedir
- OpenSSH クライアントを再起動します。
[root@nfs-client-server ~]# systemctl restart sssh.service
- SSSD 設定ファイルの IdM ドメインセクションを編集し、keytab 更新オプションを設定します。
[root@nfs-client-server ~]# vim /etc/sssd/sssd.conf [domain/EXAMPLE.COM] cache_credentials = True krb5_store_password_if_offline = True ipa_domain = example.com id_provider = ipa auth_provider = ipa ...
krb5_renewable_lifetime = 50dkrb5_renew_interval = 3600 - SSSD を再起動します。
[root@nfs-client-server ~]# systemctl restart sssd.service
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.