如何在Linux客戶端配置基于Kerberos 身份驗(yàn)證的NFS服務(wù)器

2015-11-17 16:10 作者：admin 瀏覽量：

　　假設(shè)你已經(jīng)配置好了一個(gè) NFS 服務(wù)器和一個(gè)客戶端。如果還沒有，你先需要在服務(wù)器上進(jìn)行初始化配置。（IT外包）

　　另外，你可能還需要配置 SELinux 和 firewalld 以允許通過 NFS 進(jìn)行文件共享。

　　下面的例子假設(shè)你的NFS共享目錄在 box2 的 /nfs：

　　# semanage fcontext -a -t public_content_rw_t "/nfs(/.*)?"# restorecon -R /nfs# setsebool -P nfs_export_all_rw on# setsebool -P nfs_export_all_ro on

　　(其中 -P 標(biāo)記指示重啟持久有效)。

　　最后，別忘了：

　　創(chuàng)建 NFS 組并配置 NFS 共享目錄1、 新建一個(gè)名為 nfs 的組并給它添加用戶 nfsnobody，然后更改 /nfs 目錄的權(quán)限為 0770，組屬主為 nfs。于是，nfsnobody(對(duì)應(yīng)請(qǐng)求用戶)在共享目錄有寫的權(quán)限，你就不需要在 /etc/exports 文件中使用 norootsquash(LCTT 譯注：設(shè)為 root_squash 意味著在訪問 NFS 服務(wù)器上的文件時(shí)，客戶機(jī)上的 root 用戶不會(huì)被當(dāng)作 root 用戶來對(duì)待)。

　　# groupadd nfs# usermod -a -G nfs nfsnobody# chmod 0770 /nfs# chgrp nfs /nfs

　　2、 像下面那樣更改 export 文件(/etc/exports)只允許從 box1 使用 Kerberos 安全驗(yàn)證的訪問(sec=krb5)。

　　注意：anongid 的值設(shè)置為之前新建的組 nfs 的 GID：

　　exports – 添加 NFS 共享

　　/nfs box1(rw,sec=krb5,anongid=1004)

　　3、 再次 exprot(-r)所有(-a)NFS 共享。為輸出添加詳情(-v)是個(gè)好主意，因?yàn)樗峁┝税l(fā)生錯(cuò)誤時(shí)解決問題的有用信息：

　　# exportfs -arv

　　4、 重啟并啟用 NFS 服務(wù)器以及相關(guān)服務(wù)。注意你不需要啟動(dòng) nfs-lock 和 nfs-idmapd，因?yàn)橄到y(tǒng)啟動(dòng)時(shí)其它服務(wù)會(huì)自動(dòng)啟動(dòng)它們：

　　# systemctl restart rpcbind nfs-server nfs-lock nfs-idmap# systemctl enable rpcbind nfs-server（IT運(yùn)維）

　　測(cè)試環(huán)境和其它前提要求在這篇指南中我們使用下面的測(cè)試環(huán)境：

　　客戶端機(jī)器 [box1: 192.168.0.18]

　　NFS / Kerberos 服務(wù)器 [box2: 192.168.0.20] (也稱為密鑰分發(fā)中心，簡(jiǎn)稱 KDC)。

　　注意：Kerberos 服務(wù)是至關(guān)重要的認(rèn)證方案。

　　正如你看到的，為了簡(jiǎn)便，NFS 服務(wù)器和 KDC 在同一臺(tái)機(jī)器上，當(dāng)然如果你有更多可用機(jī)器你也可以把它們安裝在不同的機(jī)器上。兩臺(tái)機(jī)器都在 mydomain.com 域。

　　最后同樣重要的是，Kerberos 要求客戶端和服務(wù)器中至少有一個(gè)域名解析的基本方式和網(wǎng)絡(luò)時(shí)間協(xié)議服務(wù)，因?yàn)?Kerberos 身份驗(yàn)證的安全一部分基于時(shí)間戳。

　　為了配置域名解析，我們?cè)诳蛻舳撕头?wù)器中編輯 /etc/hosts 文件：

　　host 文件 – 為域添加 DNS

　　192.168.0.18 box1.mydomain.com box1192.168.0.20 box2.mydomain.com box2

　　在 RHEL 7 中，chrony 是用于 NTP 同步的默認(rèn)軟件：

　　# yum install chrony# systemctl start chronyd# systemctl enable chronyd

　　為了確保 chrony 確實(shí)在和時(shí)間服務(wù)器同步你系統(tǒng)的時(shí)間，你可能要輸入下面的命令兩到三次，確保時(shí)間偏差盡可能接近 0：

　　# chronyc tracking

　　用 Chrony 同步服務(wù)器時(shí)間安裝和配置 Kerberos要設(shè)置 KDC，首先在客戶端和服務(wù)器安裝下面的軟件包(客戶端不需要 server 軟件包)：

　　# yum update && yum install krb5-server krb5-workstation pam_krb5

　　安裝完成后，編輯配置文件(/etc/krb5.conf 和 /var/kerberos/krb5kdc/kadm5.acl)，像下面那樣用 mydomain.com 替換所有 example.com。

　　下一步，確保 Kerberos 能功過防火墻并啟動(dòng)/啟用相關(guān)服務(wù)。（IT外包服務(wù)）

　　重要：客戶端也必須啟動(dòng)和啟用 nfs-secure：

　　# firewall-cmd --permanent --add-service=kerberos# systemctl start krb5kdc kadmin nfs-secure # systemctl enable krb5kdc kadmin nfs-secure

　　現(xiàn)在創(chuàng)建 Kerberos 數(shù)據(jù)庫(請(qǐng)注意這可能會(huì)需要一點(diǎn)時(shí)間，因?yàn)樗鼤?huì)和你的系統(tǒng)進(jìn)行多次交互)。為了加速這個(gè)過程，我打開了另一個(gè)終端并運(yùn)行了 ping -f localhost 30 到 45 秒)：

　　# kdb5_util create -s

　　創(chuàng)建 Kerberos 數(shù)據(jù)庫下一步，使用 kadmin.local 工具為 root 創(chuàng)建管理權(quán)限：

　　# kadmin.local# addprinc root/admin

　　添加 Kerberos 服務(wù)器到數(shù)據(jù)庫：

　　# addprinc -randkey host/box2.mydomain.com

　　在客戶端(box1)和服務(wù)器(box2)上對(duì) NFS 服務(wù)同樣操作。請(qǐng)注意下面的截圖中在退出前我忘了在 box1 上進(jìn)行操作：

　　# addprinc -randkey nfs/box2.mydomain.com# addprinc -randkey nfs/box1.mydomain.com

　　輸入 quit 和回車鍵退出：

　　添加 Kerberos 到 NFS 服務(wù)器為 root/admin 獲取和緩存票據(jù)授權(quán)票據(jù)ticket-granting ticket：

　　# kinit root/admin# klist

　　緩存 Kerberos真正使用 Kerberos 之前的最后一步是保存被授權(quán)使用 Kerberos 身份驗(yàn)證的規(guī)則到一個(gè)密鑰表文件(在服務(wù)器中)：

　　# kdadmin.local# ktadd host/box2.mydomain.com# ktadd nfs/box2.mydomain.com# ktadd nfs/box1.mydomain.com

　　最后，掛載共享目錄并進(jìn)行一個(gè)寫測(cè)試：

　　# mount -t nfs4 -o sec=krb5 box2:/nfs /mnt# echo "Hello from Tecmint.com" > /mnt/greeting.txt

　　掛載 NFS 共享現(xiàn)在讓我們卸載共享，在客戶端中重命名密鑰表文件(模擬它不存在)然后試著再次掛載共享目錄：

　　# umount /mnt# mv /etc/krb5.keytab /etc/krb5.keytab.orig

　　掛載/卸載 Kerberos NFS 共享現(xiàn)在你可以使用基于 Kerberos 身份驗(yàn)證的 NFS 共享了。

　　艾銻無限是中國領(lǐng)先IT外包服務(wù)商，專業(yè)為企業(yè)提供IT運(yùn)維外包、電腦維護(hù)、網(wǎng)絡(luò)維護(hù)、網(wǎng)絡(luò)布線、辦公設(shè)備維護(hù)、服務(wù)器維護(hù)、數(shù)據(jù)備份恢復(fù)、門禁監(jiān)控、網(wǎng)站建設(shè)等多項(xiàng)IT服務(wù)外包,服務(wù)熱線：400-650-7820 聯(lián)系電話：010-62684652 咨詢QQ2050684097；1548853602 地址：北京市海淀區(qū)北京科技會(huì)展2號(hào)樓16D,用心服務(wù)每一天，為企業(yè)的發(fā)展提升更高的效率，創(chuàng)造更大的價(jià)值。

　　更多的IT外包信息盡在艾銻無限http://jdsheng.cn