Red Hat Training

A Red Hat training course is available for RHEL 8

92.2. 设置 Kerberos 感知的 NFS 客户端

这个步骤描述了如何设置 kerberos 感知 NFS 客户端。

流程

  1. 如果 NFS 客户端只支持弱加密(如 Red Hat Enterprise Linux 5 客户端),请在服务器的 /etc/krb5.conf 文件中设置以下条目以允许弱加密:

    allow_weak_crypto = true
  2. 如果 NFS 客户端没有注册为 IdM 域中的客户端,请设置所需的主机条目,如从 IdM CLI 添加 IdM 主机条目所述
  3. 安装 nfs-utils 软件包:

    [root@nfs-client ~]# yum install nfs-utils
  4. 在运行 IdM 工具前获取 Kerberos 票据。

    [root@nfs-client ~]# kinit admin
  5. 运行 ipa-client-automount 工具来配置 NFS 设置:

    [root@nfs-client ~] ipa-client-automount
    Searching for IPA server...
    IPA server: DNS discovery
    Location: default
    Continue to configure the system with these values? [no]: yes
    Configured /etc/idmapd.conf
    Restarting sssd, waiting for it to become available.
    Started autofs

    默认情况下,这会在 /etc/sysconfig/nfs 文件中启用安全 NFS,并在 /etc/idmapd.conf 文件中的 Domain 参数中设置 IdM DNS 域。

  6. /etc/fstab 文件中添加以下条目,以便在系统引导时挂载 nfs-server.example.com 主机中的 NFS 共享:

    nfs-server.example.com:/export  /mnt   nfs4  sec=krb5p,rw
    nfs-server.example.com:/home    /home  nfs4  sec=krb5p,rw

    这些设置将 Red Hat Enterprise Linux 配置为将 /export 共享挂载到 /mnt,并将 /home 共享挂载到 /home 目录。

  7. 如果挂载点不存在,请创建挂载点。在我们的案例中,两者都应存在。
  8. 挂载 NFS 共享:

    [root@nfs-client ~]# mount /mnt/
    [root@nfs-client ~]# mount /home

    命令使用 /etc/fstab 条目中的信息。

  9. 配置 SSSD 以续订 Kerberos 票据:

    1. /etc/sssd/sssd.conf 文件的 IdM 域部分设置以下参数,以将 SSSD 配置为自动续订票据:

      [domain/EXAMPLE.COM]
      ...
      krb5_renewable_lifetime = 50d
      krb5_renew_interval = 3600
    2. 重启 SSSD:

      [root@nfs-client ~]# systemctl restart sssd
重要

pam_oddjob_mkhomedir 模块不支持在 NFS 共享上自动创建主目录。因此,您必须在包含主目录的共享的根目录的服务器上手动创建主目录。