Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

34.4. Kerberos 対応の NFS クライアントのセットアップ

  1. NFS クライアントが Red Hat Enterprise Linux 5 クライアントなどの弱い暗号化のみに対応している場合は、サーバーの /etc/krb5.conf ファイルに次のエントリーを設定して、弱い暗号化を許可します。
    allow_weak_crypto = true
  2. NFS クライアントが IdM ドメインのクライアントとして登録されていない場合は、「ホストエントリーの追加」の説明に従って必要なホストエントリーを設定します。
  3. nfs-utils パッケージをインストールします。
    [root@nfs-client ~]# yum install nfs-utils
  4. IdM ツールを実行する前に、Kerberos チケットを取得します。
    [root@nfs-client ~]# kinit admin
  5. ipa-client-automount ユーティリティーを実行して、NFS 設定を設定します。
    [root@nfs-client ~] ipa-client-automount
    Searching for IPA server...
    IPA server: DNS discovery
    Location: default
    Continue to configure the system with these values? [no]: yes
    Configured /etc/sysconfig/nfs
    Configured /etc/idmapd.conf
    Started rpcidmapd
    Started rpcgssd
    Restarting sssd, waiting for it to become available.
    Started autofs
    デフォルトでは、これにより /etc/sysconfig/nfs ファイルでセキュアな NFS が有効になり、/etc/idmapd.conf ファイルの Domain パラメーターで IdM DNS ドメインが設定されます。
  6. システムの起動時に自動起動するようにサービスを設定します。
    [root@nfs-client ~]# systemctl enable rpc-gssd.service
    [root@nfs-client ~]# systemctl enable rpcbind.service
  7. /etc/fstab ファイルに次のエントリーを追加して、システムの起動時に nfs-server.example.com ホストから NFS 共有をマウントします。
    nfs-server.example.com:/export  /mnt          nfs4  sec=krb5p,rw
    nfs-server.example.com:/home    /home  nfs4  sec=krb5p,rw
    この設定により、Red Hat Enterprise Linux が /export 共有を /mnt に、/home 共有を /home ディレクトリーにマウントするように設定されます。
  8. マウントポイントが存在しない場合は作成します。
    # mkdir -p /mnt/
    # mkdir -p /home
  9. NFS 共有をマウントします。
    [root@nfs-client ~]# mount /mnt/
    [root@nfs-client ~]# mount /home
    このコマンドは、/etc/fstab エントリーからの情報を使用します。
  10. Kerberos チケットを更新するように SSSD を設定します。
    1. /etc/sssd/sssd.conf ファイルの IdM ドメインセクションで次のパラメーターを設定して、SSSD がチケットを自動的に更新するように設定します。
      [domain/EXAMPLE.COM]
      ...
      krb5_renewable_lifetime = 50d
      krb5_renew_interval = 3600
    2. SSSD を再起動します。
      [root@nfs-client ~]# systemctl restart sssd
重要
pam_oddjob_mkhomedir モジュールは、NFS 共有でのホームディレクトリーの自動作成に対応していません。したがって、ホームディレクトリーを含む共有のルートにあるサーバーに、ホームディレクトリーを手動で作成する必要があります。