如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统

通过此过程，客户机可以使用 root ID 权限访问要求 Kerberos 验证的 NFS 文件系统。特别是，可以访问使用以下选项共享的 NFS 文件系统：-o sec=krb5,root=client1.sun.com。

1. 成为超级用户。

2. 启动 kadmin。

   可以使用 SEAM Administration Tool 添加主体，如如何创建新的 Kerberos 主体中所述。为此，必须使用在配置主 KDC 时创建的一个 admin 主体名称登录。不过，以下示例说明如何使用命令行添加所需的主体。

   denver # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:

   1. 为 NFS 客户机创建 root 主体。

      此主体用于对要求 Kerberos 验证的已挂载 NFS 的文件系统提供 root 等效访问权限。为了避免创建领域范围的 root 主体，root 主体应是由两个部分组成的主体（第二个组成部分为 Kerberos 客户机系统的主机名）。请注意，主体实例为主机名时，无论 /etc/resolv.conf 文件中的域名是大写还是小写，都必须以小写字母指定 FQDN。

      kadmin: addprinc -randkey root/client.example.com Principal "root/client.example.com" created. kadmin:

   2. 将 root 主体添加到服务器的密钥表文件中。

      如果添加了 root 主体，则必须执行此步骤，以便客户机对使用 NFS 服务挂载的文件系统拥有 root 访问权限。如果需要非交互 root 访问权限（例如，以 root 身份运行 cron 作业），也必须执行此步骤。

      kadmin: ktadd root/client.example.com Entry for principal root/client.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal root/client.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal root/client.example.com with kvno 3, encryption type ARCFOUR with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal root/client.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:

   3. 退出 kadmin。

      kadmin: quit