#####################
#########nfs#########
#####################
NFS概念
網絡文件系統(NFS)是Unix系統和網絡附加存儲文件管理器常用的網絡文件系統,允許多個客戶端通過網絡共享文件訪問。它可用於提供對共享二進制目錄的訪問,也可用於允許用戶在同一工作組中從不同客戶端訪問其文件。NFS協議有多個版本:Linux支持版本4、版本3和版本2, 而大多數系統管理員熟悉的是NFSv3。默認情況下,該協議並不安全,但是更新的版本(如NFSv4
)提供了對更安全的身份驗證的支持,甚至可以通過kerberos進行加密。
1.啓用服務
reset desktop server
[root@server2 ~]# systemctl start firewalld.service
yum install nfs-utils -y
systemctl enable nfs-server.service
systemctl start nfs-server.service
firewall-cmd --permanent --add-service=nfs
firewall-cmd --permanent --add-service=rpc-bind
firewall-cmd --permanent --add-service=mountd
[root@server2 ~]# firewall-cmd --reload
success
[root@server2 ~]# firewall-cmd --list-all
public (default, active)
interfaces: eth0
sources:
services: dhcpv6-client mountd nfs rpc-bind ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[kiosk@foundation2 ~]$ showmount -e 172.25.2.11 ##顯示nfs服務器的輸出清單
Export list for 172.25.2.11:
2.共享目錄
[root@server2 ~]# systemctl start nfs-server
mkdir /public ##創建共享目錄
chmod 777 /public
vim /etc/exports #man 5 exports
要共享的系統目錄 共享方式
/public *(sync) ##public共享給所有人並數據同步
/public 172.25.0.0/24(sync) ##public共享給172.25.0.0/24網段
/public *.example.com(sync) ##public共享給example.com域的所有主機
/public 172.25.0.11(ro,sync) 172.25.0.250(rw,sync) ##public共享給11是隻讀,250是讀寫
/public *(rync,no_root_squash) ##public共享給所有人,當客戶端使用root掛載不轉換用戶身份
/public *(rync,anonuid=1001,anongid=1000) ##public共享給所有人以1001爲uid,1000爲gid
exportfs -rv ##配置文件生效
測試:
[root@desktop2 ~]# showmount -e 172.25.2.11
[root@desktop2 ~]# mount 172.25.2.11:/public /mnt
3.利用kerberos保護nfs輸出
Kerberos協議:Kerberos協議主要用於計算機網絡的身份鑑別(Authentication), 其特點是用戶只需輸入一次身份驗證信息就可以憑藉此驗證獲得的票據(ticket-granting ticket)訪問多個服務,即SSO(Single Sign On)。由於在每個Client和Service之間建立了共享密鑰,使得該協議具有相當的安全性。
1>在server上
yum install sssd krb5-workstation authconfig-gtk -y
authconfig-gtk
開啓kerberos認證,得到ldap用戶
wget http://172.25.254.254/pub/keytabs/server2.keytab -O /etc/krb5.keytab ##下載kerberos認證文件
[root@server2 ~]# ktutil ##讀keytab文件
ktutil: rkt /etc/krb5.keytab
ktutil: list
systemctl restart nfs-secure-server
systemctl enable nfs-secure-server
vim /etc/exports
/public (rw,sec=krb5p) ##允許擁有證書的用戶訪問
exportfs -rv
2>在desktop上
yum install sssd krb5-workstation authconfig-gtk -y
authconfig-gtk
開啓kerberos認證,得到ldap用戶
wget http://172.25.254.254/pub/keytabs/desktop2.keytab -O /etc/krb5.keytab
[root@desktop2 ~]# ktutil
ktutil: rkt /etc/krb5.keytab
ktutil: list
systemctl start nfs-secure
systemctl enable nfs-secure
[root@desktop2 ~]# vim /etc/hosts ##做本地解析
172.25.2.11 server2.example.com
[root@desktop2 ~]# mount 172.25.2.11:/public /mnt -o sec=krb5p ##用krb5p的方式掛載
[root@desktop2 ~]# su - student
[student@desktop2 ~]$ su - ldapuser1 ##必須從普通用戶進入,輸一次密碼進入
Password:
-bash-4.2$ cd /mnt
-bash-4.2$ ls
file