Konfigurera NFS-servrar för SEAM

NFS-tjänster använder UNIX-användar-ID:n för att identifiera användare och kan inte använda principaler direkt. För att kunna översätta principalen till ett användar-ID måste en referenstabell som avbildar användarprincipaler på UNIX-användar-ID:n skapas. Nedanstående procedurer fokuseras på de uppgifter som är nödvändiga för att konfigurera en NFS-server för SEAM, administrera referenstabellen och initiera Kerberos säkerhetslägen för NFS-monterade filsystem. Tabellen nedan beskriver de uppgifter som behandlas i det här avsnittet.

Så här konfigurerar du NFS-servrar för SEAM

Den här proceduren förutsätter att programvaran för huvud-KDC:n har konfigurerats. Du behöver flera klienter för att kunna prova processen fullt ut. Följande konfigureringsparametrar används:

användarkategori = ACME.COM




DNS-domän = acme.com




NFS-server = denver.acme.com




principal för admin = kws/admin

1. Förutsättningar för att konfigurera en NFS-server för SEAM.

   Klientprogramvaran för SEAM måste vara installerad.

2. Valfritt: Installera en NTP-klient eller någon annan klocksynkroniseringsmekanism.

   Mer information om NTP finns i "Synkronisera klockor mellan KDC:er och SEAM-klienter"

3. Starta kadmin.

   Hur man lägger till en principal med Administrationsverktyget för SEAM förklaras i "Så här skapar du en ny principal". I exemplet nedan visas hur du lägger till de erfordrade principalerna från kommandoraden. Du måste logga in med ett av de principalnamn för admin som du skapade när du konfigurerade huvud-KDC:n.

   denver # /usr/krb5/sbin/kadmin -p kws/admin Ange lösenord: <Skriv lösenord för kws/admin> kadmin:

   1. Skapa NFS-tjänstprincipalen för servern.

      kadmin: addprinc -randkey nfs/denver.acme.com Principalen "nfs/denver.acme.com" har skapats. kadmin:

   2. Valfritt: Skapa en root-principal för NFS-servern.

      kadmin: addprinc root/denver.acme.com Ange lösenord för principalen root/denver.acme.com@ACME.COM: <skriv lösenordet> Ange lösenord för principalen root/denver.acme.com@ACME.COM på nytt: <skriv det igen> Principalen "root/denver.acme.com@ACME.COM" har skapats. kadmin:

   3. Lägg till serverns NFS-tjänstprincipal till keytab-filen för servern.

      kadmin: ktadd nfs/denver.acme.com kadmin: En post för principalen nfs/denver.acme.com med kvno 3, krypteringstyp DES-CBC-CRC har lagts till i keytab-filen WRFILE:/etc/krb5/krb5.keytab kadmin: avsluta

   4. Avsluta kadmin

      kadmin: avsluta

4. Skapa tabellen gsscred.

   Mer information finns i "Så här skapar du en referenstabell".

5. Dela NFS-filsystemet med användning av Kerberos säkerhetslägen.

   Mer information finns i "Så här installerar du en säker NFS-miljö med flera Kerberos-säkerhetslägen".

6. På varje klient: Verifiera både användar- och root-principalerna.

   Mer information finns i "Ställa in root-verifiering för montering av NFS-filsystem".

Så här ändrar du fjärrmekanismen för tabellen gsscred

1. Bli superanvändare på NFS-servern.

2. Redigera /etc/gss/gsscred.conf och ändra mekanismen.

   Du kan använda en av följande fjärrmekanismer: files, xfn_files, xfn_nis, xfn_nisplus eller xfn. Fördelarna med var och en av dessa mekanismer behandlas i "Använda tabellen gsscred".

Så här skapar du en referenstabell

Referenstabellen gsscred används av en NFS-server för att avbilda SEAM-principaler på ett användar-ID. Denna tabell måste skapas eller göras tillgänglig för att NFS-klienter ska kunna montera filsystem från en NFS-server som använder Kerberos-verifiering.

1. Bli superanvändare på lämplig server.

   Vilken server du ska köra kommandot på och under vilket ID du gör det beror på vilken fjärrmekanism som har valts för att stödja gsscred-tabellen. Du måste anta identiteten root för alla mekanismer utom xfn_nisplus.

   Om din fjärrmekanism är...	gör du så här...
   filer	Kör på NFS-servern
   xfn	Välj värd baserat på standardinställningen i filen xfn
   xfn_files	Kör på NFS-servern
   xfn_nis	Kör på NIS-huvudservern
   xfn_nisplus	Kör var som helst så länge du har behörighet att ändra NIS+-data.

2. Valfritt: Om /var/fn inte existerar och du vill använda ett xfn-alternativ skapar du en ursprunglig XFN-databas.

   # fnselect files # fncreate -t org -o org//

3. Skapa referenstabellen med gsscred.

   Kommandot samlar information från alla källor som listats i posten passwd i /etc/nsswitch.conf. Du kan tillfälligt behöva ta bort posten files om du inte vill att de lokala lösenordsposterna ska inkluderas i referenstabellen. Se även gsscred(1M)Mer information finns i

   # gsscred -m kerberos_v5 -a

Så här lägger du till en post i referenstabellen

Den här proceduren förutsätter att gsscred-tabellen redan har installerats på NFS-servern.

1. Bli superanvändare på en NFS-server.

2. Lägg till en post i tabellen med gsscred.

   # gsscred -m [mech] -n [name] -u [uid] -a

   mech	Den säkerhetsmekanism som ska användas.
   name	Användarens principalnamn som det definierats i KDC:n
   uid	Användarens ID som det definierats i lösenordsdatabasen.
   -a	Lägger till användar-ID:t till principalnamnavbildningen.

Exempel - Ändra en post i referenstabellen

Följande exempel lägger till en post för en användare med namnet lisa vilket har avbildats på användar-ID 3736. Användar-ID:t tas från lösenordsfilen om det inte tagits med på kommandoraden.

# gsscred -m kerberos_v5 -n lisa -u 3736 -a

Så här installerar du en säker NFS-miljö med flera Kerberos-säkerhetslägen

1. Bli superanvändare på NFS-servern.

2. Redigera filen /etc/dfs/dfstab och lägg till sec= alternativet med önskade säkerhetslägen till respektive post.

   # share -F nfs -o [läge] [filsystem]

   läge	De säkerhetslägen som ska användas vid delning. Vid användning av flera säkerhetslägen används det första läget i listan som standard av autofs.
   filsystem	Sökvägen till det filsystem som ska delas.

   Alla klienter som försöker komma åt filer från det namngivna filsystemet behöver Kerberos-verifiering. För att filåtkomsten ska bli komplett bör både användarprincipalen och root-principalen på NFS-klienten vara verifierade.

3. Kontrollera att NFS-tjänsten körs på servern.

   Om det här är första gången du använder kommandot share är det troligt att bakgrundsprogrammen för NFS inte körs. Följande kommandosekvens stoppar bakgrundsprogrammen och startar om dem.

   # /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start

4. Valfritt: Om autofs används redigerar du data i auto_master för att välja ett annat säkerhetsläge än det som är standard.

   Du behöver inte följa den här proceduren om du inte använder autofs för att komma åt filsystemet eller om standardvalet av säkerhetsläge kan accepteras.

   /home auto_home -nosuid,sec=krbi

5. Valfritt: Kör kommandot mount manuellt för att komma åt filsystemet i ett läge skiljt från standardläget.

   Som alternativ kan du ange säkerhetsläget med kommandot mount men då utnyttjas inte funktionen för automatisk montering:

   # mount -F nfs -o sec=krb5p /export/home

Exempel - Dela ett filsystem med ett Kerberos-säkerhetsläge

I det här exemplet krävs Kerberos-verifiering innan åtkomst ges till filer.

# share -F nfs -o sec=krb5 /export/home

Exempel - Dela ett filsystem med flera Kerberos-säkerhetslägen

I det här exemplet har alla tre säkerhetslägena i Kerberos valts. Om inget säkerhetsläge har angetts när en monteringsbegäran görs kommer det första läget i listan att användas för alla NFS V3-klienter (krb5 i det här fallet). Mer information finns i "Ändringar i kommandot share.".

# share -F nfs -o sec=krb5:krb5i:krb5p /export/home