通过此过程,客户机可以使用 root ID 特权访问要求 Kerberos 验证的 NFS 文件系统。特别是,使用如下选项共享 NFS 文件系统时:–o sec=krb5,root=client1.example.com。
denver # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
此主体用于对要求 Kerberos 验证的 NFS 挂载的文件系统提供 root 等效访问权限。root 主体应具有两个组成部分。第二个组成部分应该是 Kerberos 客户机系统的主机名,以避免创建领域范围的 root 主体。请注意,当主体实例为主机名时,无论名称服务中的域名是大写还是小写,都必须以小写字母指定 FQDN。
kadmin: addprinc -randkey root/client.example.com Principal "root/client.example.com" created. kadmin:
如果客户机需要对使用 NFS 服务挂载的文件系统有 root 访问权限,则必须执行此步骤。如果需要非交互式 root 访问权限(例如以 root 用户身份运行 cron 作业),也必须执行该步骤。
kadmin: ktadd root/client.example.com Entry for principal root/client.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal root/client.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal root/client.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit