În ultimul articol din această serie, am analizat cum să configurați o partajare Samba într-o rețea care poate consta în mai multe tipuri de sisteme de operare. Acum, dacă trebuie să configurați partajarea de fișiere pentru un grup de clienți de tip Unix, vă veți gândi automat la Sistem de fișiere de rețea, sau NFS pe scurt.
În acest articol vă vom ghida prin procesul de utilizare Bazat pe Kerberos autentificare pentru NFS acțiuni. Se presupune că ați configurat deja un server NFS și un client. Dacă nu, vă rugăm să consultați instalați și configurați serverul NFS - care va lista pachetele necesare care trebuie instalate și va explica cum să efectuați configurațiile inițiale pe server înainte de a continua mai departe.
În plus, veți dori să configurați ambele SELinux și firewalld pentru a permite partajarea de fișiere prin NFS.
Următorul exemplu presupune că NFS share se află în /nfs în caseta2:
# semanage fcontext -a -t public_content_rw_t "/nfs(/.*)?" # restorecon -R / nfs. # setsebool -P nfs_export_all_rw on. # setsebool -P nfs_export_all_ro activat.
(unde -P pavilion indică persistența la repornire).
În cele din urmă, nu uitați să:
1. Creați un grup numit nfs și adăugați nfsnobody utilizatorul, apoi modificați permisiunile pentru /nfs director către 0770 și proprietarul grupului său să nfs. Prin urmare, nfsnobody (care este mapat la solicitările clientului) va avea permisiuni de scriere asupra partajării) și nu va trebui să utilizați no_root_squash în /etc/exports fişier.
# groupadd nfs. # usermod -a -G nfs nfsnobody. # chmod 0770 / nfs. # chgrp nfs / nfs.
2. Modificați fișierul de exporturi (/etc/exports) după cum urmează pentru a permite accesul numai de la caseta1 folosind Kerberos Securitate (sec = krb5).
Notă: că valoarea lui anongid a fost setat la GID din nfs grup pe care l-am creat anterior:
exporturi - Adăugați NFS Share
/ nfs box1 (rw, sec = krb5, anongid = 1004)
3. Reexportați (-r) toate (-A) acțiunile NFS. Adăugarea verbozității la ieșire (-v) este o idee bună, deoarece va oferi informații utile pentru depanarea serverului dacă ceva nu merge bine:
# exportfs -arv.
4. Reporniți și activați serverul NFS și serviciile conexe. Rețineți că nu trebuie să activați nfs-lock și nfs-idmapd deoarece vor fi pornite automat de celelalte servicii la pornire:
# systemctl reporniți rpcbind nfs-server nfs-lock nfs-idmap. # systemctl activează rpcbind nfs-server.
În acest ghid vom folosi următorul mediu de testare:
Notă: acea Kerberos serviciul este crucial pentru schema de autentificare.
După cum puteți vedea, NFS server și KDC sunt găzduite în aceeași mașină pentru simplitate, deși le puteți configura în mașini separate dacă aveți mai multe disponibile. Ambele mașini sunt membre ale mydomain.com
domeniu.
Ultimul, dar nu cel din urmă, Kerberos necesită cel puțin o schemă de bază pentru rezoluția numelui și fișierul Network Time Protocol serviciul să fie prezent atât în client, cât și în server, deoarece securitatea autentificării Kerberos se bazează parțial pe timestampurile biletelor.
Pentru a configura rezoluția numelui, vom utiliza fișierul /etc/hosts fișier atât în client, cât și în server:
fișier gazdă - Adăugați DNS pentru domeniu
192.168.0.18 box1.mydomain.com box1. 192.168.0.20 box2.mydomain.com box2.
În RHEL 7, cronică este software-ul implicit pentru care este utilizat NTP sincronizare:
# yum install chrony. # systemctl start chronyd. # systemctl activate chronyd.
Pentru a fi sigur cronică sincronizează timpul sistemului cu serverele de timp, poate doriți să lansați următoarea comandă de două sau trei ori și asigurați-vă că offsetul se apropie de zero:
# urmărire cronică.
Pentru a configura KDC, instalați următoarele pachete pe ambele Server și client (omiteți pachetul server din client):
# yum update && yum install krb5-server krb5-workstation pam_krb5.
După instalare, editați fișierele de configurare (/etc/krb5.conf și /var/kerberos/krb5kdc/kadm5.acl) și înlocuiți toate instanțele de example.com (minuscule și majuscule) cu mydomain.com
după cum urmează.
Acum creați fișierul Kerberos baza de date (vă rugăm să rețineți că acest lucru poate dura ceva timp, deoarece necesită un anumit nivel de entropie în sistemul dvs. Pentru a accelera lucrurile, am deschis un alt terminal și am fugit ping -f localhost timp de 30-45 de secunde):
# kdb5_util create -s.
Apoi, activați Kerberos prin firewall și porniți / activați serviciile conexe.
Important: nfs-securizat trebuie pornit și activat și pe client:
# firewall-cmd --permanent --add-service = kerberos. # systemctl start krb5kdc kadmin nfs-secure # systemctl enable krb5kdc kadmin nfs-secure
Apoi, folosind kadmin.local instrument, creați un administrator principal pentru root:
# kadmin.local. # addprinc root / admin.
Și adăugați Kerberos server către baza de date:
# addprinc -randkey host / box2.mydomain.com.
La fel cu NFS serviciu atât pentru client (caseta1) și server (caseta2). Vă rugăm să rețineți că în captura de ecran de mai jos am uitat să o fac pentru caseta1 înainte de a renunța:
# addprinc -randkey nfs / box2.mydomain.com. # addprinc -randkey nfs / box1.mydomain.com.
Și Ieșire prin tastare părăsi și apăsând Enter:
Apoi, obțineți și cacheți biletul de acordare a biletelor Kerberos pentru root / admin:
# kinit root / admin. # klist.
Ultimul pas înainte de a utiliza efectiv Kerberos stochează într-un keytab înregistrați (în server) principalele autorizate să utilizeze autentificarea Kerberos:
# kadmin.local. # ktadd host / box2.mydomain.com. # ktadd nfs / box2.mydomain.com. # ktadd nfs / box1.mydomain.com.
În cele din urmă, montați partajarea și efectuați un test de scriere:
# mount -t nfs4 -o sec = krb5 box2: / nfs / mnt. # echo „Bună ziua de la Tecmint.com”> /mnt/greeting.txt.
Haideți acum demonta parts, redenumiți fișierul keytab fișier în client (pentru a simula că nu este prezent) și încercați să montați din nou partajarea:
# umount / mnt. # mv /etc/krb5.keytab /etc/krb5.keytab.orig.
Acum puteți utiliza NFS împarte cu Bazat pe Kerberos autentificare.
În acest articol am explicat cum să configurați NFS cu Kerberos autentificare. Întrucât subiectul are mult mai mult decât putem acoperi într-un singur ghid, nu ezitați să verificați online Documentația Kerberos și, din moment ce Kerberos este un pic dificil să spunem cel puțin, nu ezitați să ne lăsați o notă folosind formularul de mai jos dacă întâmpinați orice problemă sau aveți nevoie de ajutor cu testarea sau implementarea.