NFS сервер с Kerberos авторизацией
Версия от 12:34, 19 сентября 2019; Kastet (обсуждение | вклад) (Новая страница: «На сервере, введенном в домен FreeIPA, установим nfs-server: # apt-get install nfs-server Включим SECURE_NFS:…»)
На сервере, введенном в домен FreeIPA, установим nfs-server:
# apt-get install nfs-server
Включим SECURE_NFS:
# echo 'SECURE_NFS=yes' >> /etc/sysconfig/nfs
Добавим сервис в автозапуск:
# systemctl enable --now nfs-server
На DC FreeIPA сервере добавить сервис где nfs.example.test наш nfs сервер:
# kinit admin # ipa service-add nfs/nfs.example.test
На DC FreeIPA сервере создадим пользователя и группу для доступа на nfs:
# echo 1 | ipa user-add test01 --first test --last 01 --password
# ipa group-add nfs_users --desc="NFS users"
# ipa group-add-member nfs_users --users=test01
На NFS сервере сгенерируем таблицу ключей службы NFS для сервера и сохраним в keytab:
# kinit admin # ipa-getkeytab -s ipaserver.example.test -p nfs/nfs.example.test -k /etc/krb5.keytab # klist -ket /etc/krb5.keytab
На NFS создадим каталог, дадим права на запись группе, добавим список экспорта и применим изменения:
# mkdir -p /exports/test_share/testdir # chgrp nfs_users /exports/test_share/testdir # chmod 774 /exports/test_share/testdir # echo '/exports/test_share *(rw,no_subtree_check,sec=krb5:krb5i:krb5p)' >> /etc/exports # exportfs -vra # systemctl restart nfs-server
На клиенте, введенном в домен FreeIPA, добавим в автозагрузку nfs-client и проверим доступность ресурса:
# systemctl enable --now nfs-client.target # showmount -e nfs.example.test
Создадим каталог и смонтируем nfs, добавим запись в fstab:
# mkdir /mnt/test_share # mount -o sec=krb5:krb5i:krb5p,rw nfs.example.test://exports/test_share /mnt/test_share # cat >> /etc/fstab << EOF nfs.example.test:/exports/test_share /mnt/test_share nfs rw,sec=krb5:krb5i:krb5p,nolock 1 0 EOF
Зайти доменным пользователем в систему и проверить возможность чтения/записи в каталог testdir.