NFS文件的存儲

#####################
#########nfs#########
#####################

NFS概念

網絡文件系統（NFS）是Unix系統和網絡附加存儲文件管理器常用的網絡文件系統，允許多個客戶端通過網絡共享文件訪問。它可用於提供對共享二進制目錄的訪問，也可用於允許用戶在同一工作組中從不同客戶端訪問其文件。
NFS協議有多個版本：Linux支持版本4、版本3和版本2, 而大多數系統管理員熟悉的是NFSv3。默認情況下，該協議並不安全，但是更新的版本（如NFSv4

）提供了對更安全的身份驗證的支持，甚至可以通過kerberos進行加密。

1.啓用服務

reset desktop server

[root@server2 ~]# systemctl start firewalld.service

yum install nfs-utils -y

systemctl enable nfs-server.service

systemctl start nfs-server.service

firewall-cmd --permanent --add-service=nfs

firewall-cmd --permanent --add-service=rpc-bind

firewall-cmd --permanent --add-service=mountd

[root@server2 ~]# firewall-cmd --reload

success

[root@server2 ~]# firewall-cmd --list-all

public (default, active)

  interfaces: eth0

  sources:

  services: dhcpv6-client mountd nfs rpc-bind ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

 

[kiosk@foundation2 ~]$ showmount -e 172.25.2.11    ##顯示nfs服務器的輸出清單

Export list for 172.25.2.11:

 

 

2.共享目錄

[root@server2 ~]# systemctl start nfs-server

mkdir /public                                   ##創建共享目錄

chmod 777 /public

vim /etc/exports           #man 5 exports

要共享的系統目錄   共享方式

/public  *(sync)                               ##public共享給所有人並數據同步

/public  172.25.0.0/24(sync)        ##public共享給172.25.0.0/24網段

/public  *.example.com(sync)      ##public共享給example.com域的所有主機

/public  172.25.0.11(ro,sync)  172.25.0.250(rw,sync)  ##public共享給11是隻讀，250是讀寫

/public  *(rync,no_root_squash)                                      ##public共享給所有人，當客戶端使用root掛載不轉換用戶身份

/public  *(rync,anonuid=1001,anongid=1000)              ##public共享給所有人以1001爲uid，1000爲gid

 

exportfs -rv  ##配置文件生效

 

測試：

[root@desktop2 ~]# showmount -e 172.25.2.11

[root@desktop2 ~]# mount 172.25.2.11:/public /mnt

 

3.利用kerberos保護nfs輸出

 Kerberos協議：Kerberos協議主要用於計算機網絡的身份鑑別(Authentication), 其特點是用戶只需輸入一次身份驗證信息就可以憑藉此驗證獲得的票據(ticket-granting ticket)訪問多個服務，即SSO(Single Sign On)。由於在每個Client和Service之間建立了共享密鑰，使得該協議具有相當的安全性。

1>在server上

yum install sssd krb5-workstation authconfig-gtk -y

authconfig-gtk

開啓kerberos認證，得到ldap用戶

 

wget http://172.25.254.254/pub/keytabs/server2.keytab -O /etc/krb5.keytab     ##下載kerberos認證文件

[root@server2 ~]# ktutil          ##讀keytab文件

ktutil:  rkt /etc/krb5.keytab

ktutil:  list

 

systemctl restart nfs-secure-server

systemctl enable nfs-secure-server

 

vim /etc/exports

/public   (rw,sec=krb5p)          ##允許擁有證書的用戶訪問

exportfs -rv

 

2>在desktop上

yum install sssd krb5-workstation authconfig-gtk -y

authconfig-gtk

開啓kerberos認證，得到ldap用戶

 

wget http://172.25.254.254/pub/keytabs/desktop2.keytab -O /etc/krb5.keytab

[root@desktop2 ~]# ktutil

ktutil:  rkt /etc/krb5.keytab

ktutil:  list

 

systemctl start nfs-secure

systemctl enable nfs-secure

[root@desktop2 ~]# vim /etc/hosts      ##做本地解析

172.25.2.11  server2.example.com

[root@desktop2 ~]# mount 172.25.2.11:/public /mnt -o sec=krb5p     ##用krb5p的方式掛載

[root@desktop2 ~]# su - student

[student@desktop2 ~]$ su - ldapuser1     ##必須從普通用戶進入，輸一次密碼進入

Password:

-bash-4.2$ cd /mnt

-bash-4.2$ ls

file