Red Hat Training

A Red Hat training course is available for RHEL 8

110.3. 在 IdM 中导出 NFS 共享

作为身份管理(IdM)系统管理员,您可以使用 NFS 服务器通过网络与 IdM 用户共享目录。

先决条件

流程

  1. 创建您要导出的目录:

    # mkdir -p /exports/project
  2. 给所有者和组授予读、写和执行目录的权限:

    # chmod 770 /exports/project
  3. 添加 GSID 粘贴位,以便该目录中创建的任何文件的组所有权都被设为目录所有者的组所有权:

    # chmod g+s /exports/project
  4. 创建一个 IdM 组,其成员将能够访问该目录。IdM 组的示例是 developers

    # ipa group-add developers
  5. /exports/project 目录的组所有权更改为 developers,以便组中的每个 IdM 用户都可以访问它:

    # chgrp developers /exports/project
  6. 向组中添加一个 IdM 用户。示例用户为 idm_user

    # ipa group-add-member developers --users=idm_user
  7. 在目录中创建一个包含以下内容的文件:

    # echo "this is a read-write file" > /exports/project/rw_file
  8. 将以下信息添加到 /etc/exports.d/ 目录中的一个文件中:

    • 您要导出哪个目录
    • 如何对用户进行身份验证以访问目录中的文件
    • 您希望用户对目录中的文件具有哪些权限

      # echo "/exports/project *(sec=krb5,rw)" > /etc/exports.d/project.exports

      sec=krb5 使用 Kerberos V5 协议而不是本地 UNIX UID 和 GID 来验证用户。

    或者,使用 sec=krb5isec=krb5p

    sec=krb5i
    使用 Kerberos V5 进行用户身份验证,并使用安全校验和对 NFS 操作执行完整性检查以防止数据篡改。
    sec=krb5p
    使用 Kerberos V5 进行用户身份验证、完整性检查并加密 NFS 流量,以防止流量嗅探。这是最安全的设置,但它也会涉及最大的性能开销。
  9. 重新导出所有目录,将保存在 /var/lib/nfs/etab 中的主导出表与 /etc/exports/etc/exports.d 下的文件文件同步:

    # exportfs -r
  10. 显示适合 /etc/exports 的当前导出列表:

    # exportfs -s
    /exports/project  *(sync,wdelay,hide,no_subtree_check,sec=krb5p,rw,secure,root_squash,no_all_squash)

其它资源

  • 有关 krb5 方法的详情,请查看 nfs 手册页。