Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
34.3. Kerberos 対応の NFS サーバーの設定
- Red Hat Enterprise Linux 5 クライアントなど、すべての NFS クライアントが弱い暗号化しか対応しない場合は、以下を行います。
- IdM サーバーの Kerberos 設定を更新し、弱い暗号化タイプ
des-cbc-crc
を有効にします。$ ldapmodify -x -D "cn=directory manager" -w password -h ipaserver.example.com -p 389 dn: cn=REALM_NAME,cn=kerberos,dc=example,dc=com changetype: modify add: krbSupportedEncSaltTypes krbSupportedEncSaltTypes: des-cbc-crc:normal - add: krbSupportedEncSaltTypes krbSupportedEncSaltTypes: des-cbc-crc:special - add: krbDefaultEncSaltTypes krbDefaultEncSaltTypes: des-cbc-crc:special
- NFS サーバーで、NFS サーバーの
/etc/krb5.conf
ファイルに次のエントリーを追加して、弱い暗号化サポートを有効にします。allow_weak_crypto = true
- Kerberos チケットを取得します。
[root@nfs-server ~]# kinit admin
- NFS ホストマシンが IdM ドメインにクライアントとして追加されていない場合は、ホストエントリーを作成します。「ホストエントリーの追加」を参照してください。
- NFS サービスエントリーを作成します。
[root@nfs-server ~]# ipa service-add nfs/nfs-server.example.com
詳細は、「サービスエントリーおよびキータブの追加と編集」 を参照してください。 /etc/krb5.keytab
ファイルに鍵を保存する次のipa-getkeytab
コマンドを使用して、NFS サーバーの NFS サービスキータブを取得します。[root@nfs-server ~]# ipa-getkeytab -s ipaserver.example.com -p nfs/nfs-server.example.com -k /etc/krb5.keytab
NFS クライアントのいずれかが弱い暗号化のみに対応している場合は、さらに-e des-cbc-crc
オプションをコマンドに追加して、DES 暗号化キータブを要求します。- サービスエントリーをチェックして、NFS サービスが IdM で適切に設定されていることを keytab で確認します。
[root@nfs-server ~]# ipa service-show nfs/nfs-server.example.com Principal name: nfs/nfs-server.example.com@IDM.EXAMPLE.COM Principal alias: nfs/nfs-server.example.com@IDM.EXAMPLE.COM Keytab: True Managed by: nfs-server.example.com
- nfs-utils パッケージをインストールします。
[root@nfs-server ~]# yum install nfs-utils
ipa-client-automount
ユーティリティーを実行して NFS 設定を設定します。[root@nfs-server ~] ipa-client-automount Searching for IPA server... IPA server: DNS discovery Location: default Continue to configure the system with these values? [no]: yes Configured /etc/sysconfig/nfs Configured /etc/idmapd.conf Started rpcidmapd Started rpcgssd Restarting sssd, waiting for it to become available. Started autofs
デフォルトでは、このコマンドはセキュアな NFS を有効にし、/etc/idmapd.conf
ファイルのDomain
パラメーターを IdM DNS ドメインに設定します。別のドメインを使用する場合は、--idmap-domain domain_name
パラメーターを使用して指定します。- システムの起動時に
nfs-idmapd
サービスが自動的に開始するように設定します。# systemctl enable nfs-idmapd
/etc/exports
ファイルを編集して、krb5p
Kerberos セキュリティー設定で共有を追加します。/export *(rw,sec=krb5:krb5i:krb5p) /home *(rw,sec=krb5:krb5i:krb5p)
この例では、Kerberos 認証が有効になっている読み取り/書き込みモードで/export
ディレクトリーおよび/home
ディレクトリーを共有します。- 共有ディレクトリーを再エクスポートします。
[root@nfs-server ~]# exportfs -rav
- 必要に応じて、NFS サーバーを NFS クライアントとして設定します。「Kerberos 対応の NFS クライアントの設定」を参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。