6.3.3.6.2. NFS クライアントの設定
以下の手順を実行して、NFS クライアントを設定します。
注記
Red Hat Enterprise Linux のセキュリティー保護のために NFS-clients を設定する方法は、『Red Hat Enterprise Linux 7 Storage Administration Guide』 の 『Section 8.8.2』 NFS Security を参照してください。
- 以下のパッケージをインストールします。
# yum install nfs-utils # yum install rpcbind
- kerberos プリンシパルを作成し、クライアント側の krb5.keytab に追加します。以下に例を示します。
# kadmin # kadmin: addprinc -randkey host/<host_name>@EXAMPLE.COM # kadmin: ktadd host/<host_name>@EXAMPLE.COM
# kadmin Authenticating as principal root/admin@EXAMPLE.COM with password. Password for root/admin@EXAMPLE.COM: kadmin: addprinc -randkey host/<host_name>@EXAMPLE.COM WARNING: no policy specified for host/<host_name>@EXAMPLE.COM; defaulting to no policy Principal "host/<host_name>@EXAMPLE.COM" created. kadmin: ktadd host/<host_name>@EXAMPLE.COM Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab. Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab. Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type des3-cbc-sha1 added to keytab FILE:/etc/krb5.keytab. Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type arcfour-hmac added to keytab FILE:/etc/krb5.keytab. Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type camellia256-cts-cmac added to keytab FILE:/etc/krb5.keytab. Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type camellia128-cts-cmac added to keytab FILE:/etc/krb5.keytab. Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type des-hmac-sha1 added to keytab FILE:/etc/krb5.keytab. Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type des-cbc-md5 added to keytab FILE:/etc/krb5.keytab.
- nfs-client.target サービスのステータスを確認し、起動していない場合は起動します。
# systemctl status nfs-client.target # systemctl start nfs-client.target # systemctl enable nfs-client.target
- 非特権ユーザーを作成し、作成されるユーザーが中央のユーザーデータベースを介して UID に対して解決できるようにします。以下に例を示します。
# useradd guest
注記このユーザーのユーザー名は、NFS-server にあるものと同じである必要があります。 - kerberos セキュリティータイプを指定してボリュームをマウントします。
# mount -t nfs -o sec=krb5 <host_name>:/testvolume /mnt
root ですべてのアクセスが付与される必要があります。以下に例を示します。マウントポイントにディレクトリーを作成し、root としてその他の操作がすべて成功する必要があります。# mkdir <directory name>
- ゲストユーザーとしてログインします。
# su - guest
kerberos チケットがないと、/mnt へのすべてのアクセスは拒否される必要があります。以下に例を示します。# su guest # ls ls: cannot open directory .: Permission denied
- ゲストの kerberos チケットを取得し、/mnt にアクセスします。
# kinit Password for guest@EXAMPLE.COM: # ls <directory created>
重要このチケットでは、一部のアクセスが /mnt にアクセスできる必要があります。"guest" にアクセスできないディレクトリーが NFS-server にある場合は、正しく動作するはずです。