Red Hat Training

A Red Hat training course is available for RHEL 8

5.11. Red Hat Identity management ドメインでの Kerberos を使用した NFS サーバーのセットアップ

Red Hat Identity management (IdM) を使用している場合は、NFS サーバーを IdM ドメインに参加させることができます。これにより、ユーザーとグループを一元管理し、認証、整合性保護、トラフィック暗号化に Kerberos を使用できるようになります。

前提条件

  • NFS サーバーは Red Hat Identity management (IdM) ドメインに 登録されます
  • NFS サーバーが実行され、設定されています。

手順

  1. IdM 管理者として Kerberos チケットを取得します。

    # kinit admin
  2. nfs/<FQDN> サービスプリンシパルを作成します。

    # ipa service-add nfs/nfs_server.idm.example.com
  3. IdM から nfs サービスプリンシパルを取得し、/etc/krb5.keytab ファイルに保存します。

    # ipa-getkeytab -s idm_server.idm.example.com -p nfs/nfs_server.idm.example.com -k /etc/krb5.keytab
  4. オプション: /etc/krb5.keytab ファイル内のプリンシパルを表示します。

    # klist -k /etc/krb5.keytab
    Keytab name: FILE:/etc/krb5.keytab
    KVNO Principal
    ---- --------------------------------------------------------------------------
       1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
       1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
       1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
       1 nfs/nfs_server.idm.example.com@IDM.EXAMPLE.COM
       7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM
       7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM
       7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM
       7 host/nfs_server.idm.example.com@IDM.EXAMPLE.COM

    デフォルトでは、ホストを IdM ドメインに参加させるときに、IdM クライアントはホストプリンシパルを /etc/krb5.keytab ファイルに追加します。ホストプリンシパルが見つからない場合は、ipa-getkeytab -s idm_server.idm.example.com -p host/nfs_server.idm.example.com -k/etc/krb5.keytab コマンドを使用して追加します。

  5. ipa-client-automount ユーティリティーを使用して、IdM ID のマッピングを設定します。

    #  ipa-client-automount
    Searching for IPA server...
    IPA server: DNS discovery
    Location: default
    Continue to configure the system with these values? [no]: yes
    Configured /etc/idmapd.conf
    Restarting sssd, waiting for it to become available.
    Started autofs
  6. /etc/exports ファイルを更新し、クライアントオプションに Kerberos セキュリティーメソッドを追加します。以下に例を示します。

    /nfs/projects/      	192.0.2.0/24(rw,sec=krb5i)

    クライアントが複数のセキュリティー方式から選択できるようにしたい場合は、コロンで区切って指定します。

    /nfs/projects/      	192.0.2.0/24(rw,sec=krb5:krb5i:krb5p)
  7. エクスポートされたファイルシステムをリロードします。

    # exportfs -r