Kerberos対応のファイルシステムのマウント
ファイル・ストレージのKerberos対応ファイル・システムをマウントする場合は、次のシナリオを考慮してください。
Kerberos認証を使用するファイル・システムのマウントでは、ファイル・システムをマウントするユーザーに応じて、root、管理者および匿名アクセスを追加で検討する必要があります。これらのユーザーのいずれかとしてファイルシステムをマウントするには、NFS export optionsの更新が必要になることがあります。
ファイル・システムをマウントしているユーザーに関係なく、ファイル・システムのマウント時にIPアドレスのかわりにマウント・ターゲットの完全修飾ドメイン名(FQDN)を使用します。
Linuxルートユーザーとしてのファイルシステムのマウント
Linuxでは、rootユーザーがファイルシステムのマウントに使用されると、NFSクライアントはkeytabで次の順序で主体を検索します。
<HOSTNAME>$@<REALM>
root/<hostname>@<REALM>
nfs/<hostname>@<REALM>
host/<hostname>@<REALM>
NFSクライアントがこれらのプリンシパルのいずれかのチケットを取得すると、そのチケットがマウント・ターゲットに表示されます。エクスポートに対して匿名アクセスが有効になっていない場合、UIDおよびGIDにマップされているLDAPサーバーに、前述のユーザーの少なくとも1つが存在する必要があります。rootアクセスが望ましい場合は、ユーザーをUID/GID 0にマップします。
<HOSTNAME>$
、root
、nfs
またはhost
に一致するユーザーがLDAPで使用できず、匿名アクセスがエクスポートに対して有効になっていない場合、アクセス・リクエストは失敗します。klist
コマンドを使用して、これらのユーザーのいずれかがクライアントに存在することを確認します。
詳細は、LDAP Lookups and Anonymous Accessを参照してください。
Windowsユーザーとしてのファイルシステムのマウント
Windowsでは、ファイル・システムにアクセスするユーザーは、ファイル・システムをマウントするユーザーです。ファイル・システムのマウントに使用されるプリンシパルは、<username>@<REALM>
です。
ファイル・ストレージのエクスポートに管理者アクセスが必要な場合は、LDAPサーバーを使用して各ユーザーをUID/GID 0にマップします。