freeipa管理nfs構成
前の文章の中でipa+nfsが昨日なくて、鍵の問題で、数日のドキュメントを探してテストして、やっとできて、具体的には以下の通りです:
5、client.dadi.com上の構成:
1、ldap追加鍵タイプの変更
cat << EOF >/tmp/nfs_add_des.ldif
dn: cn=DADI.COM,cn=kerberos,dc=dadi,dc=com
changetype: modify
add: krbSupportedEncSaltTypes
krbSupportedEncSaltTypes: des-cbc-crc:normal
-
add: krbSupportedEncSaltTypes
krbSupportedEncSaltTypes: des-cbc-crc:special
-
add: krbDefaultEncSaltTypes
krbDefaultEncSaltTypes: des-cbc-crc:special
EOF
sed -i 's/^ $//g' /tmp/nfs_add_des.ldif
ldapmodify -x -D "cn=directory manager" -w 111111 -h ipa.dadi.com -p 389 -f /tmp/nfs_add_des.ldif
vi /etc/krb5.conf
[libdefaults]
allow_weak_crypto = true
supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal
/etc/init.d/krb5kdc restart2、nfsホスト情報を追加する:
kinit admin
ipa host-add nfs3.dadi.com
ipa service-add nfs/nfs3.dadi.com3、ユーザーログインldap mount nfsキー値を追加する:
## fsm /home
ipa automountkey-add default auto.home --key=fsm --info=-fstype=nfs4,rw,sec=krb5i,proto=tcp,vers=4 nfs3.dadi.com:/export/fsm
Automount Maps default
ipa automountlocation-add dmz
ipa automountmap-find dmz
ipa automountmap-add dmz auto.home
ipa automountkey-add dmz auto.master --key=/home --info=auto.home
ipa automountkey-add dmz auto.home --key=fsm --info=-fstype=nfs4,rw,sec=krb5i,proto=tcp,vers=4 nfs3.dadi.com:/export/fsm4、インストール構成nfsサーバー:
yum -y install ipa-client nfs-utils ipa-admintools openldap-clients
ipa-client-install --mkhomedir --no-ntp --domain=dadi.com --server=ipa.dadi.com --no-sssd -p admin
ipa.dadi.com :
kinit admin
ipa-getkeytab -s ipa.dadi.com -p host/nfs3.dadi.com -k /tmp/krb5.keytab
ipa-getkeytab -s ipa.dadi.com -p nfs/nfs3.dadi.com -k /tmp/krb5.keytab -e des-cbc-crc
scp /tmp/krb5.keytab nfs3.dadi.com:/tmp
nfs3.dadi.com keytab:
rm -f /etc/krb5.keytab
( echo rkt /tmp/krb5.keytab; echo wkt /etc/krb5.keytab) |ktutil
###
klist -etk
perl -npe 's/#SECURE_NFS="yes"/SECURE_NFS="yes"/g' -i /etc/sysconfig/nfs
cat << EOF > /etc/exports
/export *(rw,sec=sys:krb5:krb5i:krb5p)
EOF
mkdir /export/fsm && cp /etc/skel/.bash* /export/fsm && chmod 700 /export/fsm && chown -R fsm:fsm /export/fsm
service rpcidmapd start
service nfs start
service rpcsvcgssd start
service rpcgssd start
chkconfig rpcgssd on
chkconfig rpcsvcgssd on
chkconfig nfs on
chkconfig rpcidmapd on
vi /etc/krb5.conf
[libdefaults]
allow_weak_crypto = true5、client.dadi.com上の構成:
kinit adminipa-getkeytab -s ipa.dadi.com -p nfs/client.dadi.com -k /etc/krb5.keytab -e des-cbc-crc
vi /etc/krb5.conf [libdefaults] allow_weak_crypto = true
ipa-client-automount --location=default -S --server=ipa.dadi.com
:
ipa-client-automount --uninstall
chkconfig rpcgssd on
service rpcgssd start
service rpcidmapd start
chkconfig rpcidmapd on
ipa service-show nfs/client.dadi.com
Principal: nfs/[email protected]
Keytab: True
Managed by: client.dadi.com6、ログインテスト:
#ssh -l fsm client.dadi.com
#df -mhFilesystem Size Used Avail Use% Mounted on
nfs3.dadi.com:/export/fsm 51G 180M 49G 1% /home/fsm
mount ,
#mount
nfs3.dadi.com:/export/fsm on /home/fsm type nfs (rw,sec=krb5i,vers=4,addr=192.88.50.51,clientaddr=192.88.50.49)7、その他:
/etc/sysconfig/autofs ldap
LDAP_URI=ldap://ipa.dadi.com ldap://ipa1.dadi.com参照ドキュメント:
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/kerb-nfs.html
http://www.miljan.org/main/2010/10/18/freeipa-and-automount-nis-maps/