Cómo configurar servidores NFS con Kerberos

Este procedimiento utiliza los siguientes parámetros de configuración:

• Nombre de dominio = EXAMPLE.COM

• Nombre de dominio DNS = example.com

• Servidor NFS = denver.example.com

• Principal admin = kws/admin

Antes de empezar

Debe asumir el rol root en el servidor NFS. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

El KDC maestro está configurado. Los relojes se sincronizan, como se describe en Sincronización de relojes entre clientes Kerberos y KDC. Para probar completamente el proceso, necesita varios clientes.

1. Configure el servidor NFS como un cliente Kerberos.

   Siga las instrucciones en Configuración de clientes Kerberos.

2. Agregue el principal del servicio NFS.

   Use el comando kadmin.

   denver # /usr/sbin/kadmin -p kws/admin
   Enter password: xxxxxxxx
   kadmin: 

   1. Cree el principal del servicio NFS.

      Tenga en cuenta que cuando la instancia de principal es un nombre de host, el FQDN se debe especificar en letras minúsculas, independientemente de si el nombre de dominio está en mayúsculas o minúsculas en el servicio de nombres.

      Repita este paso para cada interfaz única en el sistema que pueda ser utilizada para acceder a datos de NFS. Si un host tiene varias interfaces con nombres únicos, cada nombre único debe tener su propio principal de servicio NFS.

      kadmin: addprinc -randkey nfs/denver.example.com
      Principal "nfs/denver.example.com" created.
      kadmin:

   2. Agregue el principal de servicio NFS del servidor al archivo keytab del servidor.

      Repita este paso para cada principal de servicio único que creó en el Step a.

      kadmin: ktadd nfs/denver.example.com
      Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode
      with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode
      with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc
      mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
      kadmin:

   3. Salga de kadmin.

      kadmin: quit

3. Cree asignaciones de credenciales GSS especiales si es necesario.

   Normalmente, el servicio Kerberos genera asignaciones adecuadas entre las credenciales GSS y los UID de UNIX. La asignación predeterminada se describe en Asignación de credenciales GSS a credenciales UNIX. Si la asignación predeterminada no es suficiente, consulte Cómo crear y modificar una tabla de credenciales para obtener más información.

4. Comparta el sistema de archivos NFS con modos de seguridad de Kerberos.

   Para obtener más información, consulte Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos.