Red Hat Training

A Red Hat training course is available for RHEL 8

第 92 章 在 IdM 中使用自动挂载

自动挂载是在多个系统间管理、组织和访问目录的一种方式。每当请求访问目录时,自动挂载程序都会自动挂载该目录。这在 IdM 域中正常工作,因为它允许轻松共享域中客户端上的目录。这对于用户主目录尤为重要。

在 IdM 中,自动挂载可用于内部 LDAP 目录,也可用于 DNS 服务(如果已配置)。

92.1. 设置 Kerberos 感知的 NFS 服务器

这个步骤描述了如何设置 Kerberos 感知的 NFS 服务器。

流程

  1. 如果您的任何 NFS 客户端只支持弱加密,如 Red Hat Enterprise Linux 5 客户端:

    1. 更新 IdM 服务器 Kerberos 配置,以启用弱的 des-cbc-crc 加密类型:

      $ ldapmodify -x -D "cn=directory manager" -w password -h ipaserver.example.com -p 389
      
      dn: cn=REALM_NAME,cn=kerberos,dc=example,dc=com
      changetype: modify
      add: krbSupportedEncSaltTypes
      krbSupportedEncSaltTypes: des-cbc-crc:normal
      -
      add: krbSupportedEncSaltTypes
      krbSupportedEncSaltTypes: des-cbc-crc:special
      -
      add: krbDefaultEncSaltTypes
      krbDefaultEncSaltTypes: des-cbc-crc:special
    2. 在 NFS 服务器中,将以下条目添加到 NFS 服务器的 /etc/krb5.conf 文件中启用弱加密支持:

      allow_weak_crypto = true
      警告

      RHEL6 之前的 NFS 客户端需要启用 des-cbc-crc 弱加密类型。DES 仅处理 56 位密钥,其设计不足以满足现代计算能力。因此 DES 现在被视为弱加密。只有在需要支持旧 NFS 客户端时才执行前两个步骤;请考虑停用或升级客户端。

  2. 获取 Kerberos ticket:

    [root@nfs-server ~]# kinit admin
  3. 如果 NFS 主机计算机尚未作为客户端添加到 IdM 域,请创建主机条目。请参阅从 IdM CLI 添加 IdM 主机条目
  4. 创建 NFS 服务条目:

    [root@nfs-server ~]# ipa service-add nfs/nfs-server.example.com
  5. 使用以下 ipa-getkeytab 命令检索 NFS 服务器的 NFS 服务 keytab,该命令可将密钥保存在 /etc/krb5.keytab 文件中:

    [root@nfs-server ~]# ipa-getkeytab -s ipaserver.example.com -p nfs/nfs-server.example.com -k /etc/krb5.keytab

    如果您的任何 NFS 客户端只支持弱加密,还要将 -e des-cbc-crc 选项传递给 命令以请求 DES 加密的 keytab。

  6. 通过检查服务条目,验证在 IdM 中是否已正确配置了 NFS 服务(使用其 keytab):

    [root@nfs-server ~]# ipa service-show nfs/nfs-server.example.com
      Principal name: nfs/nfs-server.example.com@IDM.EXAMPLE.COM
      Principal alias: nfs/nfs-server.example.com@IDM.EXAMPLE.COM
      Keytab: True
      Managed by: nfs-server.example.com
  7. 安装 nfs-utils 软件包:

    [root@nfs-server ~]# yum install nfs-utils
  8. 运行 ipa-client-automount 工具来配置 NFS 设置:

    [root@nfs-server ~] ipa-client-automount
    Searching for IPA server...
    IPA server: DNS discovery
    Location: default
    Continue to configure the system with these values? [no]: yes
    Configured /etc/idmapd.conf
    Restarting sssd, waiting for it to become available.
    Started autofs

    默认情况下,这个命令启用安全 NFS,并将 /etc/idmapd.conf 文件中的 Domain 参数设置为 IdM DNS 域。如果您使用不同的域,请使用 --idmap-domain domain_name 参数指定它。

  9. 编辑 /etc/exports 文件并使用 krb5p Kerberos 安全设置添加共享:

    /export  *(rw,sec=krb5:krb5i:krb5p)
    /home  *(rw,sec=krb5:krb5i:krb5p)

    这个示例在启用了 Kerberos 身份验证的情况下以读写模式共享 /export 和 /home 目录。

  10. 重启并启用 nfs-server:

    [root@nfs-server ~]# systemctl restart nfs-server
    [root@nfs-server ~]# systemctl enable nfs-server
  11. 重新导出共享目录:

    [root@nfs-server ~]# exportfs -rav
  12. (可选)将 NFS 服务器配置为 NFS 客户端。请参阅 第 92.2 节 “设置 Kerberos 感知的 NFS 客户端”