为 Linux 客户端设置具有基于 Kerberos 的身份验证的 NFS 服务器为 Linux 客户端设置具有基于 Kerberos 的身份验证的 NFS 服务器为 Linux 客户端设置具有基于 Kerberos 的身份验证的 NFS 服务器为 Linux 客户端设置具有基于 Kerberos 的身份验证的 NFS 服务器
  • 业务
  • 目标
  • 支持
  • 登录
找到的结果: {phrase} (显示: {results_count} 共: {results_count_total})
显示: {results_count} 共: {results_count_total}

加载更多搜索结果...

搜索范围
模糊匹配
搜索标题
搜索内容

为 Linux 客户端设置具有基于 Kerberos 的身份验证的 NFS 服务器

发表 admin at 2025年2月28日
类别
  • 未分类
标签

为了向 Linux 客户端提供安全的文件共享环境,建立适当的安全机制来保护文件的完整性和可信度,必须使用基于 Kerberos 的身份验证来配置 NFS 服务器。首先安装和配置 NFS 服务器软件。之后,在服务器和客户端上启用 Kerberos 身份验证即可实现安全连接和身份验证。创建密钥表和主体是为了实现对 NFS 服务器的安全访问。然后,在 NFS 导出设置中,会列出共享目录。通过修改防火墙规则,可以接受 NFS 和 Kerberos 流量并保持连接。在此设置中,Linux 客户端可以安全地访问和共享来自 NFS 服务器的文件,并且 Kerberos 身份验证为文件共享提供可靠且安全的设置。

使用的方法

  • 使用配置管理工具实现自动化

  • 手动配置方式

使用配置管理工具实现自动化

通过使用配置管理工具进行自动化,可以使使用基于 Kerberos 的身份验证的 Linux 客户端的 NFS 服务器设置变得更加简单。通过使用脚本化剧本(使用 Ansible、Puppet 或 Chef 等工具)自动执行安装和设置任务,可以保证 NFS 服务器和客户端系统的最佳配置。

这些脚本或剧本包含有关设置 NFS 导出、Kerberos 领域、主体和密钥表以及安装必要的 NFS 和 Kerberos 软件包的说明。他们还可以控制如何在服务器和客户端激活 Kerberos 身份验证。此外,通过使用配置管理工具控制防火墙规则,可以允许 NFS 和 Kerberos 流量。

在设置管理系统的帮助下,整个设置过程可以自动化,保持一致性并减少体力劳动。通过简化 NFS 服务器和客户端配置的快速部署和维护,提高了 Linux 系统中通过 Kerberos 进行身份验证的 NFS 文件共享的效率和可靠性。

算法

  • 下载 NFS 服务器软件- 使用软件包管理工具在服务器上设置必要的 NFS 服务器软件。

sudo apt-get install nfs-kernel-server

sudo yum install nfs-utils

  • 在服务器上下载 Kerberos 软件包。

  • 创建 Kerberos 客户端和服务器设置。

sudo apt-get install krb5-kdc krb5-admin-server

sudo yum install krb5-server krb5-libs krb5-workstation

sudo nano /etc/krb5.conf

  • 生成密钥表和 Kerberos 主体 −

    要为 NFS 服务器和客户端建立 Kerberos 主体,请使用 Kerberos 管理工具(“kadmin”或“kadmin.local”)。

    创建密钥表以进行安全身份验证。

sudo kadmin.local -q "addprinc -randkey nfs/serverhostname.domain.com"

sudo kadmin.local -q "addprinc -randkey nfs/clienthostname.domain.com"

sudo kadmin.local -q "ktadd nfs/serverhostname.domain.com"
sudo kadmin.local -q "ktadd nfs/clienthostname.domain.com"

  • 配置 NFS 导出,这本质上是一种在“/etc/exports”文档中替换 NFS 导出配置以指定要与客户端共享的目录的方法;此外,下面记录了 NFS 导出配置的命令,以便您可以自行帮助。

sudo nano /etc/exports
# Add entries like:
# /shared-directory clienthostname.domain.com(rw,sync)

sudo exportfs -a

  • 为服务器和客户端设置 Kerberos 身份验证 −

    将 NFS 服务器上的 Kerberos 身份验证设置更改为“krb5”。

    配置 Kerberos 以进行 NFS 客户端身份验证。

sudo nano /etc/default/nfs-kernel-server
NEED_GSSD=yes

sudo nano /etc/idmapd.conf
# Set "Domain = domain.com"

  • 开始 NFS 服务 −

    启动 NFS 服务器以及 nfs-server、rpcbind 和 nfs-secure 服务。

sudo systemctl start nfs-server
sudo systemctl start rpcbind
sudo systemctl start nfs-secure

  • 修改防火墙规则以允许 NFS 和 Kerberos 流量。设置防火墙规则。

sudo ufw allow nfs
sudo ufw allow 2049
sudo ufw allow kerberos

  • 测试和验证 - 确定 NFS 服务器是否可访问和运行。

    使用Kerberos身份验证确保Linux客户端可以信任地访问和共享NFS服务器。

sudo systemctl status nfs-server

sudo mount -t nfs serverhostname.domain.com:/shared-directory /mnt

手动配置方式

手动配置方法需要为 Linux 客户端物理设置具有基于 Kerberos 的验证的 NFS 服务器。首先,使用捆绑管理工具来引入NFS服务器程序。此时,共享注册表包含在“/etc/exports”记录中,该记录记录 NFS 交易。在服务器和客户端上,Kerberos 已经设置并引入。 “kadmin”或“kadmin.local”等程序用于形成 Kerberos 主体和密钥表以进行安全验证。必须更改设置记录才能使 NFS 服务器备份 Kerberos 确认。

此外,还讨论了“nfs-server”、“rpcbind”和“nfs-secure”等值得注意的服务的发布。最后,升级后的防火墙规则目前允许 NFS 和 Kerberos 活动。这种安排构建了一个安全的文件共享环境,Linux 客户端可以在该环境中访问 NFS 服务器并在其中交易记录,同时通过使用 Kerberos 确认来保护信息的机密性和敏感度。

算法

  • 安装NFS服务器软件需要使用包管理工具。

sudo apt update
sudo apt install nfs-kernel-server

sudo yum install nfs-utils

  • 要定义共享目录并设置 NFS 导出,请编辑“/etc/exports”文件。

sudo nano /etc/exports

/path/to/shared/directory client_ip(rw,sync)

  • 在客户端和服务器系统上设置和配置 Kerberos。

  • 要创建 Kerberos 主体和密钥表,请使用“kadmin”或“kadmin.local”等程序。

sudo kadmin.local -q "addprinc -randkey nfs/server.example.com"

sudo kadmin.local -q "addprinc -randkey nfs/client.example.com"

sudo kadmin.local -q "ktadd -k /etc/krb5.keytab nfs/server.example.com"
sudo kadmin.local -q "ktadd -k /etc/krb5.keytab nfs/client.example.com"

  • 更改 NFS 服务器的“/etc/nfs.conf”或“/etc/sysconfig/nfs”设置文件以允许 Kerberos 身份验证。

sudo nano /etc/nfs.conf

KRPCSVCD_OPTS="-N 2"

  • 另一个步骤涉及设置所需的服务,例如“rpcbind”、“nfs-secure”等等,以下是相同的终端命令。

sudo systemctl start nfs-server
sudo systemctl start rpcbind
sudo systemctl start nfs-secure

  • 修改防火墙规则以允许来自 Kerberos 和 NFS 的流量。

sudo ufw allow nfs
sudo ufw allow kerberos

sudo firewall-cmd --permanent --zone=public --add-service=nfs
sudo firewall-cmd --permanent --zone=public --add-service=kerberos
sudo firewall-cmd --reload

  • 客户端获取 Kerberos 票证以向 NFS 服务器进行身份验证。

sudo kinit -kt /etc/krb5.keytab nfs/server.example.com

sudo kinit -kt /etc/krb5.keytab nfs/client.example.com

  • 要挂载 NFS,您应该在客户端计算机上共享目录并进一步使用正确的挂载指令。

sudo mount -t nfs server.example.com:/path/to/shared/directory /mnt/nfs

  • 通过获取对 NFS 服务器、客户端文件以及传输文件的访问权限,您还可以验证设置。

echo "This is a test file" | sudo tee /mnt/nfs/test.txt

ls /path/to/shared/directory

结论

需要进行设置才能在 Linux 上形成带有 Kerberos 客户端确认的安全 NFS 服务器。通过使用编排管理设备进行计算机化或使用手动编排方法,主席可以保证共享数据的隐私性和准确性。建立NFS服务器计算机系统、启动Kerberos验证、设置密钥表和主体、建立NFS发送、定义防火墙规则以及安排NFS发送都是此准备工作的关键步骤。 Linux客户端利用Kerberos确认可以安全地共享NFS服务器上的记录,为记录共享提供可靠、安全的环境。这一行动方针不仅促进了 Linux 客户端上的高效通信,而且保证了信息保密和安全。

©2015-2025 Norria support@norria.com