6.3.3.6.2. NFS クライアントの設定

以下の手順を実行して、NFS クライアントを設定します。
注記
Red Hat Enterprise Linux のセキュリティー保護のために NFS-clients を設定する方法は、『Red Hat Enterprise Linux 7 Storage Administration Guide』 の 『Section 8.8.2NFS Security を参照してください。
  1. 以下のパッケージをインストールします。
    # yum install nfs-utils
    # yum install rpcbind
  2. kerberos プリンシパルを作成し、クライアント側の krb5.keytab に追加します。以下に例を示します。
    # kadmin
    # kadmin: addprinc -randkey host/<host_name>@EXAMPLE.COM
    # kadmin: ktadd host/<host_name>@EXAMPLE.COM
    # kadmin
    Authenticating as principal root/admin@EXAMPLE.COM with password.
    Password for root/admin@EXAMPLE.COM:
    
    kadmin:  addprinc -randkey host/<host_name>@EXAMPLE.COM
    WARNING: no policy specified for host/<host_name>@EXAMPLE.COM; defaulting to no policy
    Principal "host/<host_name>@EXAMPLE.COM" created.
    
    kadmin:  ktadd host/<host_name>@EXAMPLE.COM
    Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab.
    Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab.
    Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type des3-cbc-sha1 added to keytab FILE:/etc/krb5.keytab.
    Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type arcfour-hmac added to keytab FILE:/etc/krb5.keytab.
    Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type camellia256-cts-cmac added to keytab FILE:/etc/krb5.keytab.
    Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type camellia128-cts-cmac added to keytab FILE:/etc/krb5.keytab.
    Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type des-hmac-sha1 added to keytab FILE:/etc/krb5.keytab.
    Entry for principal host/<host_name>@EXAMPLE.COM with kvno 2, encryption type des-cbc-md5 added to keytab FILE:/etc/krb5.keytab.
  3. nfs-client.target サービスのステータスを確認し、起動していない場合は起動します。
    # systemctl status nfs-client.target
    # systemctl start nfs-client.target
    # systemctl enable nfs-client.target
  4. 非特権ユーザーを作成し、作成されるユーザーが中央のユーザーデータベースを介して UID に対して解決できるようにします。以下に例を示します。
    # useradd guest
    注記
    このユーザーのユーザー名は、NFS-server にあるものと同じである必要があります。
  5. kerberos セキュリティータイプを指定してボリュームをマウントします。
    # mount -t nfs -o sec=krb5 <host_name>:/testvolume /mnt
    root ですべてのアクセスが付与される必要があります。
    以下に例を示します。
    マウントポイントにディレクトリーを作成し、root としてその他の操作がすべて成功する必要があります。
    # mkdir <directory name>
  6. ゲストユーザーとしてログインします。
    # su - guest
    kerberos チケットがないと、/mnt へのすべてのアクセスは拒否される必要があります。以下に例を示します。
    # su guest
    # ls
    ls: cannot open directory .: Permission denied
  7. ゲストの kerberos チケットを取得し、/mnt にアクセスします。
    # kinit
    Password for guest@EXAMPLE.COM:
    
    # ls
    <directory created>
    重要
    このチケットでは、一部のアクセスが /mnt にアクセスできる必要があります。"guest" にアクセスできないディレクトリーが NFS-server にある場合は、正しく動作するはずです。