此过程使用以下配置参数:
领域名称 = EXAMPLE.COM
DNS 域名 = example.com
NFS 服务器 = denver.example.com
admin 主体 = kws/admin
开始之前
您必须承担 NFS 服务器上的 root 角色。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
已配置主 KDC。时钟已同步,如同步 KDC 与 Kerberos 客户机的时钟中所述。要完全测试此过程,需要多个客户机。
请按照配置 Kerberos 客户机中的说明操作。
使用 kadmin 命令。
denver # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
请注意,当主体实例为主机名时,无论名称服务中的域名是大写还是小写,都必须以小写字母指定 FQDN。
对系统上可能用于访问 NFS 数据的每个唯一接口重复此步骤。如果主机有多个接口都具有唯一名称,则每个唯一名称必须具有自己的 NFS 服务主体。
kadmin: addprinc -randkey nfs/denver.example.com Principal "nfs/denver.example.com" created. kadmin:
对Step a 中创建的每个唯一服务主体重复此步骤。
kadmin: ktadd nfs/denver.example.com Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
通常,Kerberos 服务生成 GSS 凭证与 UNIX UID 之间的适当映射。缺省映射在将 GSS 凭证映射到 UNIX 凭证中有介绍。如果缺省映射不满足要求,请参见如何创建和修改凭证表了解更多信息。
有关更多信息,请参见如何设置使用多种 Kerberos 安全模式的安全 NFS 环境。