ამ სერიის ბოლო სტატიაში ჩვენ განვიხილეთ როგორ შევქმნათ სამბას წილი ქსელში რომელიც შეიძლება შედგებოდეს მრავალი სახის ოპერაციული სისტემისგან. ახლა, თუ თქვენ გჭირდებათ ფაილების გაზიარების დაყენება Unix– ის მსგავსი კლიენტების ჯგუფისთვის, თქვენ ავტომატურად იფიქრებთ ქსელის ფაილური სისტემა, ან NFS მოკლედ.
ამ სტატიაში ჩვენ გაგიმხელთ გამოყენების პროცესს კერბეროსზე დაფუძნებული ავტორიზაცია ამისთვის NFS აქციები. ვარაუდობენ, რომ თქვენ უკვე გაქვთ შექმნილი NFS სერვერი და კლიენტი. თუ არა, მიმართეთ დააინსტალირეთ და დააკონფიგურირეთ NFS სერვერი - რომელიც ჩამოთვლის საჭირო პაკეტებს, რომლებიც უნდა იყოს დაინსტალირებული და განმარტავს, თუ როგორ უნდა შეასრულოს პირველადი კონფიგურაცია სერვერზე შემდგომ გაგრძელებამდე.
გარდა ამისა, თქვენ მოგიწევთ ორივეს კონფიგურაცია SELinux და მეხანძრე დაუშვას ფაილების გაზიარება NFS საშუალებით.
შემდეგი მაგალითი ვარაუდობს, რომ თქვენი NFS წილი მდებარეობს /nfs ში ყუთი 2:
# semanage fcontext -a -t public_content_rw_t "/nfs(/.*)?" # restorecon -R /nfs. # setsebool -P nfs_export_all_rw ჩართულია. # setsebool -P nfs_export_all_ro ჩართულია.
(სად არის -პ დროშა მიუთითებს გადატვირთვაზე გამძლეობაზე).
და ბოლოს, არ დაგავიწყდეთ:
1. შექმენით ჯგუფი სახელწოდებით nfs და დაამატე nfsnobody მომხმარებლისთვის, შემდეგ შეცვალეთ ნებართვები /nfs დირექტორია 0770 და მისი ჯგუფის მფლობელი nfs. ამდენად, nfsnobody (რომელიც ასახულია კლიენტის მოთხოვნებზე) ექნება წერის ნებართვები წილზე) და თქვენ არ დაგჭირდებათ გამოყენება no_root_squash იმ /etc/exports ფაილი
# groupadd nfs. # usermod -a -G nfs nfsnobody. # chmod 0770 /nfs. # chgrp nfs /nfs.
2. შეცვალეთ ექსპორტის ფაილი (/etc/exports) შემდეგნაირად მხოლოდ დაშვების დაშვება ყუთი 1 გამოყენებით კერბეროსი უსაფრთხოება (წმ = krb5).
შენიშვნა: რომ ღირებულება ანონგიდური დაყენებულია GID საქართველოს nfs ჯგუფი, რომელიც ადრე შევქმენით:
ექსპორტი - დაამატეთ NFS წილი
/nfs box1 (rw, sec = krb5, anongid = 1004)
3. ხელახალი ექსპორტი (-რ) ყველა (-ა) NFS აქციები. დამატება სიტყვიერად გამომავალს (-ვ) კარგი იდეაა, რადგან ის მოგაწვდით სასარგებლო ინფორმაციას სერვერის პრობლემების აღმოსაფხვრელად, თუ რამე არასწორედ წავა:
# exportfs -arv.
4. გადატვირთეთ და ჩართეთ NFS სერვერი და მასთან დაკავშირებული სერვისები. გაითვალისწინეთ, რომ თქვენ არ გჭირდებათ ჩართვა nfs-lock და nfs-idmapd რადგან ისინი ავტომატურად დაიწყება სხვა სერვისების ჩატვირთვისას:
# systemctl გადატვირთეთ rpcbind nfs-server nfs-lock nfs-idmap. # systemctl ჩართავს rpcbind nfs- სერვერს.
ამ სახელმძღვანელოში ჩვენ გამოვიყენებთ შემდეგ სატესტო გარემოს:
შენიშვნა: რომ კერბეროსი მომსახურება გადამწყვეტი მნიშვნელობა აქვს ავტორიზაციის სქემას.
როგორც ხედავთ, NFS სერვერი და KDC ისინი ერთსა და იმავე მანქანაშია განთავსებული სიმარტივისთვის, თუმცა თქვენ შეგიძლიათ მათი დაყენება ცალკეულ მანქანებში, თუკი მეტი გაქვთ. ორივე მანქანა არის წევრი mydomain.com
დომენი.
ბოლო, მაგრამ არანაკლებ მნიშვნელოვანი, კერბეროსი მოითხოვს სახელის გადაწყვეტის მინიმუმ ძირითად სქემას და ქსელის დროის პროტოკოლი სერვისი უნდა იყოს წარმოდგენილი როგორც კლიენტში, ასევე სერვერში, რადგან Kerberos ავთენტიფიკაციის უსაფრთხოება ნაწილობრივ ემყარება ბილეთების დროის ნიშნულს.
სახელის გარჩევადობის დასადგენად, ჩვენ გამოვიყენებთ /etc/hosts ფაილი როგორც კლიენტში, ასევე სერვერზე:
მასპინძელი ფაილი - დაამატეთ DNS დომენისთვის
192.168.0.18 box1.mydomain.com ყუთი 1. 192.168.0.20 box2.mydomain.com ყუთი 2.
ში RHEL 7, ქრონიკული არის ნაგულისხმევი პროგრამა, რომლისთვისაც გამოიყენება NTP სინქრონიზაცია:
# yum დააინსტალირეთ ქრონიკა. # systemctl დაწყება ქრონიკული. # systemctl ჩართეთ chronyd.
რომ დავრწმუნდე ქრონიკული ის ფაქტიურად სინქრონიზებს თქვენი სისტემის დროს სერვერებთან, შეიძლება დაგჭირდეთ შემდეგი ბრძანების გაცემა ორჯერ ან სამჯერ და დარწმუნდით, რომ ოფსეტი ნულთან ახლოვდება:
# ქრონიკული თვალთვალი.
დასაყენებლად KDC, დააინსტალირეთ შემდეგი პაკეტები ორივეზე სერვერი და კლიენტი (გამოტოვეთ სერვერის პაკეტი კლიენტში):
# yum განახლება && yum install krb5-server krb5-workstation pam_krb5.
ინსტალაციის შემდეგ, შეცვალეთ კონფიგურაციის ფაილები (/etc/krb5.conf და /var/kerberos/krb5kdc/kadm5.acl) და შეცვალეთ ყველა შემთხვევა მაგალითი. com (მცირე და დიდი) ერთად mydomain.com
შემდეგნაირად.
ახლა შექმენით კერბეროსი მონაცემთა ბაზა (გთხოვთ გაითვალისწინოთ, რომ ამას შეიძლება გარკვეული დრო დასჭირდეს, რადგან ის მოითხოვს თქვენს სისტემაში ენტროპიის გარკვეულ დონეს. საქმის დასაჩქარებლად გავხსენი სხვა ტერმინალი და გავიქეცი ping -f localhost 30-45 წამის განმავლობაში):
# kdb5_util შექმნა -s.
შემდეგი, ჩართეთ კერბეროსი მეშვეობით ბუხარი და დაიწყე / ჩართე დაკავშირებული სერვისები.
Მნიშვნელოვანი: nfs-უსაფრთხო უნდა დაიწყოს და ჩართული იყოს კლიენტზეც:
# firewall-cmd-მუდმივი-add-service = kerberos. # systemctl დაწყება krb5kdc kadmin nfs-secure # systemctl ჩართვა krb5kdc kadmin nfs-secure
შემდეგი, გამოყენებით ქადმინი.ლოკალური ინსტრუმენტი, შექმენით ადმინისტრატორის ძირითადი root:
# kadmin.local. # addprinc root/admin.
და დაამატე კერბეროსი სერვერი მონაცემთა ბაზაში:
# addprinc -randkey host/box2.mydomain.com.
იგივეა რაც NFS მომსახურება ორივე კლიენტისთვის (ყუთი 1) და სერვერი (ყუთი 2). გთხოვთ გაითვალისწინოთ, რომ ქვემოთ მოცემულ ეკრანის სურათში დამავიწყდა ამის გაკეთება ყუთი 1 წასვლამდე:
# addprinc -randkey nfs/box2.mydomain.com. # addprinc -randkey nfs/box1.mydomain.com.
და გასვლა აკრეფით დატოვე და დააჭირეთ Enter:
შემდეგ მიიღეთ და შეინახეთ Kerberos ბილეთის მინიჭების ბილეთი root/admin– ისთვის:
# kinit root/admin. # კლიტის.
ბოლო ნაბიჯი რეალურ გამოყენებამდე კერბეროსი ინახება ა კლავიატურა ფაილი (სერვერში) პრინციპები, რომლებიც უფლებამოსილნი არიან გამოიყენონ Kerberos ავტორიზაცია:
# kadmin.local. # ktadd host/box2.mydomain.com. # ktadd nfs/box2.mydomain.com. # ktadd nfs/box1.mydomain.com.
დაბოლოს, დააინსტალირეთ წილი და ჩაწერეთ ტესტი:
# mount -t nfs4 -o sec = krb5 box2: /nfs /mnt. # ექო "გამარჯობა Tecmint.com"> /mnt/greeting.txt.
მოდი ახლა მოხსნა წილი, გადაარქვით სახელი კლავიატურა შეიტანეთ ფაილი კლიენტში (მისი სიმულაციისთვის) და სცადეთ ხელახლა დააინსტალიროთ წილი:
# umount /mnt. # mv /etc/krb5.keytab /etc/krb5.keytab.orig.
ახლა თქვენ შეგიძლიათ გამოიყენოთ NFS გაზიარება კერბეროსზე დაფუძნებული ავთენტიფიკაცია
ამ სტატიაში ჩვენ განვმარტავთ, თუ როგორ უნდა შეიქმნას NFS თან კერბეროსი ავთენტიფიკაცია ვინაიდან ამ თემას გაცილებით მეტი აქვს ვიდრე ჩვენ შეგვიძლია განვიხილოთ ერთ სახელმძღვანელოში, მოგერიდებათ შეამოწმოთ ინტერნეტი კერბეროსის დოკუმენტაცია და ვინაიდან კერბეროსი ცოტა არ იყოს სახიფათოა, ნუ დააყოვნებთ, რომ მოგვაწოდოთ ჩანაწერი ქვემოთ მოცემული ფორმის გამოყენებით, თუ რაიმე პრობლემა შეგექმნათ ან გჭირდებათ დახმარება თქვენს ტესტირებაში ან განხორციელებაში.