34.3. Kerberos 対応の NFS サーバーの設定

  1. Red Hat Enterprise Linux 5 クライアントなど、すべての NFS クライアントが弱い暗号化しか対応しない場合は、以下を行います。
    1. IdM サーバーの Kerberos 設定を更新し、弱い暗号化タイプ des-cbc-crc を有効にします。
      $ ldapmodify -x -D "cn=directory manager" -w password -h ipaserver.example.com -p 389
      
      dn: cn=REALM_NAME,cn=kerberos,dc=example,dc=com
      changetype: modify
      add: krbSupportedEncSaltTypes
      krbSupportedEncSaltTypes: des-cbc-crc:normal
      -
      add: krbSupportedEncSaltTypes
      krbSupportedEncSaltTypes: des-cbc-crc:special
      -
      add: krbDefaultEncSaltTypes
      krbDefaultEncSaltTypes: des-cbc-crc:special
    2. NFS サーバーで、NFS サーバーの /etc/krb5.conf ファイルに次のエントリーを追加して、弱い暗号化サポートを有効にします。
      allow_weak_crypto = true
  2. Kerberos チケットを取得します。
    [root@nfs-server ~]# kinit admin
  3. NFS ホストマシンが IdM ドメインにクライアントとして追加されていない場合は、ホストエントリーを作成します。「ホストエントリーの追加」を参照してください。
  4. NFS サービスエントリーを作成します。
    [root@nfs-server ~]# ipa service-add nfs/nfs-server.example.com
  5. /etc/krb5.keytab ファイルに鍵を保存する次の ipa-getkeytab コマンドを使用して、NFS サーバーの NFS サービスキータブを取得します。
    [root@nfs-server ~]# ipa-getkeytab -s ipaserver.example.com -p nfs/nfs-server.example.com -k /etc/krb5.keytab
    NFS クライアントのいずれかが弱い暗号化のみに対応している場合は、さらに -e des-cbc-crc オプションをコマンドに追加して、DES 暗号化キータブを要求します。
  6. サービスエントリーをチェックして、NFS サービスが IdM で適切に設定されていることを keytab で確認します。
    [root@nfs-server ~]# ipa service-show nfs/nfs-server.example.com
      Principal name: nfs/nfs-server.example.com@IDM.EXAMPLE.COM
      Principal alias: nfs/nfs-server.example.com@IDM.EXAMPLE.COM
      Keytab: True
      Managed by: nfs-server.example.com
  7. nfs-utils パッケージをインストールします。
    [root@nfs-server ~]# yum install nfs-utils
  8. ipa-client-automount ユーティリティーを実行して NFS 設定を設定します。
    [root@nfs-server ~] ipa-client-automount
    Searching for IPA server...
    IPA server: DNS discovery
    Location: default
    Continue to configure the system with these values? [no]: yes
    Configured /etc/sysconfig/nfs
    Configured /etc/idmapd.conf
    Started rpcidmapd
    Started rpcgssd
    Restarting sssd, waiting for it to become available.
    Started autofs
    デフォルトでは、このコマンドはセキュアな NFS を有効にし、/etc/idmapd.conf ファイルの Domain パラメーターを IdM DNS ドメインに設定します。別のドメインを使用する場合は、--idmap-domain domain_name パラメーターを使用して指定します。
  9. システムの起動時に nfs-idmapd サービスが自動的に開始するように設定します。
    # systemctl enable nfs-idmapd
  10. /etc/exports ファイルを編集して、krb5p Kerberos セキュリティー設定で共有を追加します。
    /export  *(rw,sec=krb5:krb5i:krb5p)
    /home  *(rw,sec=krb5:krb5i:krb5p)
    この例では、Kerberos 認証が有効になっている読み取り/書き込みモードで /export ディレクトリーおよび /home ディレクトリーを共有します。
  11. 共有ディレクトリーを再エクスポートします。
    [root@nfs-server ~]# exportfs -rav
  12. 必要に応じて、NFS サーバーを NFS クライアントとして設定します。「Kerberos 対応の NFS クライアントの設定」を参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。