如何配置 Kerberos NFS 服务器

在此过程中，将使用以下配置参数：

• 领域名称 = EXAMPLE.COM

• DNS 域名 = example.com

• NFS 服务器 = denver.example.com

• admin 主体 = kws/admin

1. 完成配置 Kerberos NFS 服务器的先决条件。

   必须配置主 KDC。要完全测试此过程，需要多个客户机。

2. （可选的）安装 NTP 客户机或其他时钟同步机制。

   安装和使用网络时间协议 (Network Time Protocol, NTP) 并非必需。但是，要成功验证，每个时钟必须处于 krb5.conf 文件的 libdefaults 部分中定义的缺省时间内。有关 NTP 的信息，请参见同步 KDC 和 Kerberos 客户机的时钟。

3. 启动 kadmin。

   可以使用 SEAM Administration Tool 添加主体，如如何创建新的 Kerberos 主体中所述。为此，必须使用在配置主 KDC 时创建的一个 admin 主体名称登录。不过，以下示例说明如何使用命令行添加所需的主体。

   denver # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:

   1. 创建服务器的 NFS 服务主体。

      请注意，主体实例为主机名时，无论 /etc/resolv.conf 文件中的域名是大写还是小写，都必须以小写字母指定 FQDN。

      对系统上可能用于访问 NFS 数据的每个唯一接口重复此步骤。如果主机有多个接口具有唯一名称，则每个唯一名称必须具有自己的 NFS 服务主体。

      kadmin: addprinc -randkey nfs/denver.example.com Principal "nfs/denver.example.com" created. kadmin:

   2. 将服务器的 NFS 服务主体添加到服务器的密钥表文件中。

      对步骤 a 中创建的每个唯一服务主体重复此步骤。

      kadmin: ktadd nfs/denver.example.com Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs denver.example.com with kvno 3, encryption type ARCFOUR with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:

   3. 退出 kadmin。

      kadmin: quit

4. （可选的）如果需要，可创建特殊 GSS 凭证映射。

   通常，Kerberos 服务在 GSS 凭证和 UNIX UID 之间生成相应的映射。缺省映射在将 GSS 凭证映射到 UNIX 凭证中介绍。如果缺省映射不满足要求，请参见如何创建凭证表以获取更多信息。

5. 使用 Kerberos 安全模式共享 NFS 文件系统。

   有关更多信息，请参见如何使用多种 Kerberos 安全模式设置安全的 NFS 环境。