xml地图|网站地图|网站标签 [设为首页] [加入收藏]

[转]凯雷德HEL7上计划NFS服务

原稿地址:http://380531251.blog.51cto.com/7297595/1659865

1.课程目的

 

  • 叩问哪些是NFS及其效用;

  • 掌握NFS的配置;

  • 掌握NFS的验证;

  • 可以预知独立明白、灵活运用NFS。

 

 

 

2.NFS概述

 

NFS(Network Files System卡塔尔(قطر‎,网络文件系统是壹玖柒捌年由SUN发展出来在UNIX&Linux系统间实现磁盘文件分享的大器晚成种方法。它是黄金时代种文件系统合同:支持应用程序在客商端通过互联网存取坐落于服务器磁盘中的数据。NFS的中央尺度是让区别的客商端及服务器通过后生可畏组RPCs分享相符的文件系统,它独立于操作系统,允许分裂硬件及操作系统的系统一起举办文件的分享。

                                                                                                           

尽管NFS能够在网络中张开文件分享,但NFS在策画时并未有提供数据传输的功效。要求依赖RPC(Remote Procedure Calls,远程进度调用卡塔尔(قطر‎。RPC定义了黄金年代种进度间通过网络开展相互影响通信的建制,它同意客商端进度经过互联网向远程服务进度央浼服务,而没有必要理解服务器底层的通讯公约详细音信。

 

当三个RPC连接创设起来阶段,客户端建设布局进度调用,将调用参数发送到远程服务器进度,并听候相应。央求到达时,服务器通过顾客端央求的劳务,调用钦命的顺序。并将结果重回客户端。当RPC调用甘休,客户端程序将一连展开下一步的通讯操作。

 

NFS注重RPC与外表通讯,为保障NFS服务通常职业,其须求在RPC注册相应的服务端口新闻,那样顾客端向服务器的RPC提交访谈有些服务的伸手时,服务器能力够科学作出相应。

 

注册NFS服务时,需求先开启RPC,技艺作保NFS注册成功。况兼只要RPC服务重新起动,其保存的音讯将遗失,需另行启航NFS服务以登记端口音讯,不然客户端将不能访谈NFS服务器。

 

 

 

3.NFS主配置文件介绍

 

NFS的主配置文件路线为:/etc/exports。默认为空,要求手动增多配置参数。

 

主配置文件书写格式:

共享目录     [客户端(参数)]

 

说明:

  • 分享目录:域分享目录的骨子里路线(要动用相对路线卡塔尔国;

  • 客商端:定义顾客端匹配时能够动用FQDN、IP地址、网段、DNS区域。客商端相配原则表示方法如下:

NFS客户端相称

客商端钦赐方法

示例

满意示例的顾客端

IP内定单后生可畏主机

客户端IP地址为(192.168.1.1)

点名网段

顾客端所在网段为192.168.1.0/24

域名单意气风发主机

Nfs.example.com

客户端FQDN为nfs.example.com

域名钦命范围

*.example.com

客户端FQDN的DNS后缀为example.com

持有主机

*

其它访谈NFS服务器的客商端

 

  • 参数:对满意顾客端相称原则的客商端进行连锁安顿。可用参数如下(在这之中无名客户指的是nfsnobody卡塔尔国:

NFS参数

参数

说明

ro

设置共享为只读,缺省选项

rw

设置共享为读写

root_squash

当源计算机(NFS客户端)当前用户是root时,将被映射为目标计算机(NFS服务器)的匿名用户

no_root_squash

当源计算机(NFS客户端)当前用户是root时,将被映射为目标计算机(NFS服务器)的root用户

all_squash

将所有用户映射为目标计算机(NFS服务器)的匿名用户,NFS缺省选项

anonuid

设置匿名用户的UID

anongid

设置匿名用户的GID

sync

保持数据同步,同时将数据写入内存和硬盘,缺省选项

async

先将数据保存在内存,然后写入硬盘,效率更高,但可能造成数据丢失

secure

NFS客户端必须使用NFS保留端口(1024以下的端口),缺省选项

insecure

允许NFS客户端不使用保留端口(1024以下的端口)

wdelay

如果NFS服务器怀疑有另一个相关的写请求正在处理或马上就要达到,NFS服务器将延迟提交写请求到磁盘,这就允许使用一个操作提交多个写请求到磁盘,可以改善性能,缺省选项

nowdelay

设置了async时该选项无效,NFS服务器将每次写操作写入磁盘

 

 

 

4.NFS劳务配置

 

Redhat Linux中,NFS暗中同意是已经安装的,所以在试验中,只需运转服务就能够,不用再设置NFS服务。

 

 

4.1.服务的开发银行

 

翻开服务情况

[root@server30 ~]# systemctl status nfs-service.service

nfs-server.service - NFS Server

   Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)

   Active: inactive (dead)

缺省从不运维,所以要先运行服务。

 

[root@server30 ~]# systemctl enable nfs-server.service

//开启下次系统重启自动加载

ln -s '/usr/lib/systemd/system/nfs-server.service' '/etc/systemd/system/nfs.target.wants/nfs-server.service'

[root@server30 ~]# systemctl  restart  nfs-server.service      

[root@server30 ~]# systemctl status nfs

nfs-server.service - NFS Server

   Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; enabled)

   Active: active (exited) since Mon 2015-05-18 13:47:51 CST; 4s ago

  Process: 2035 ExecStart=/usr/sbin/rpc.nfsd $RPCNFSDARGS $RPCNFSDCOUNT (code=exited, status=0/SUCCESS)

  Process: 2031 ExecStartPre=/usr/sbin/exportfs -r (code=exited, status=0/SUCCESS)

  Process: 2030 ExecStartPre=/usr/libexec/nfs-utils/scripts/nfs-server.preconfig (code=exited, status=0/SUCCESS)

Main PID: 2035 (code=exited, status=0/SUCCESS)

   CGroup: /system.slice/nfs-server.service

 

May 18 13:47:51 server30.example.com systemd[1]: Started NFS Server.

 

 

4.2.只读分享目录

 

例:将server30.example.com(172.16.30.130卡塔尔(قطر‎上的/public目录通过nfs分享出去,让desktop30.example.com(172.16.30.30卡塔尔(英语:State of Qatar)能访问到,何况挂载到地方的public目录,唯有可读权限。

 

----------------------------------------------------server端设置-----------------------------------------------

[root@server30 ~]# mkdir /public

[root@server30 ~]# ls  -ld  /public

drwxr-xr-x. 2 root root 6 May 18 14:07 /public/

//创建共享目录

[root@server30 ~]# cd /public/

[root@server30 public]# touch freeit.txt

[root@server30 public]# ls

freeit.txt

//创建一个文件验证

[root@server30 ~]# vim /etc/exports

/public         172.16.30.130/24(ro,sync)

[root@server30 ~]# systemctl restart nfs-server.service

--------------------------------------------------服务端防火墙允许NFS-------------------------------------

[root@server30 public]# firewall-cmd --list-all

public (default, active)

  interfaces: eno16777736

  sources:

  services: dhcpv6-client ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

//默认不允许NFS*rpc-bind服务

[root@server30 public]# firewall-cmd --add-service=nfs --permanent

success

[root@server30 public]# firewall-cmd --add-service=rpc-bind  --permanent   

success

[root@server30 public]# firewall-cmd --reload

success

[root@server30 public]# firewall-cmd --list-all

public (default, active)

  interfaces: eno16777736

  sources:

  services: dhcpv6-client nfs rpc-bind ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

------------------------------------------------客户端设置--------------------------------------------------------
[root@desktop30 ~]# mkdir /public

[root@desktop30 ~]# mount -t nfs 172.16.30.130:/public /public/

[root@desktop30 ~]# df

Filesystem            1K-blocks    Used Available Use% Mounted on

/dev/mapper/rhel-root   5109760 3021156   2088604  60% /

devtmpfs                 496096       0    496096   0% /dev

tmpfs                    505404      80    505324   1% /dev/shm

tmpfs                    505404    7168    498236   2% /run

tmpfs                    505404       0    505404   0% /sys/fs/cgroup

/dev/sda1                201388  106036     95352  53% /boot

172.16.30.130:/public   5109760 3021440   2088320  60% /public

[root@desktop30 ~]# cd /public/

[root@desktop30 public]# ls

freeit.txt

[root@desktop30 public]# touch gyh

touch: cannot touch ‘gyh’: Read-only file system

如上:ls查看能够看出内容,不过touch时提醒只读权限,不可能创制。

 

在配置NFS共享目录完结后,须求重新起动NFS服务,或许经过命令:exports –ar命令使配置生效。也可以透过查阅/var/lib/nfs/etab文件展现NFS分享目录的持有参数(包蕴持有鲜明安插及未显明布署而利用缺省值的参数卡塔尔。

 

查看/var/lib/nfs/etab文件

[root@server30 ~]# cat /var/lib/nfs/etab

/public 172.16.30.0/24(ro,sync,wdelay,hide,nocrossmnt,secure,root_squash,no_all_squash,no_subtree_check,secure_locks,acl,anonuid=65534,anongid=65534,sec=sys,ro,secure,root_squash,no_all_squash)

 

 

4.3.可写分享目录

 

例:接着上个实验,本有的来商讨对分享目录的写权限操作。现扩大供给,desktop30挂载server30的/public目录后,能够成立文件或目录。具体操作如下:

 

第生龙活虎,改善server30上的NFS配置,改ro为rw,让共享出去的公文对访谈者可写

[root@server30 ~]# vim /etc/exports

/public         172.16.30.30/24(rw,sync)

 

重启服务

[root@server30 ~]# systemctl restart nfs-server.service

 

与Samba相符,分享出去的目录在布署文件中安装可写之外,服务器端的地点文件也要给其可写权限,不然固然配置文件中给了可写参数,顾客端挂载之后仍旧未有写权限,二者是必须的,所以,下边包车型地铁布局正是要给服务端的本地分享出去的文本写权限,为便于起见,直接给其777的权限

[root@server30 ~]# chmod  777 /public

[root@server30 ~]# ls -ld /public

drwxrwxrwx. 2 root root 23 May 18 14:12 /public

 

接下去顾客端挂载验证

[root@desktop30 ~]# mount -t nfs 172.16.30.130:/public /public/

[root@desktop30 ~]# df

Filesystem            1K-blocks    Used Available Use% Mounted on

/dev/mapper/rhel-root   5109760 3021512   2088248  60% /

devtmpfs                 496096       0    496096   0% /dev

tmpfs                    505404      80    505324   1% /dev/shm

tmpfs                    505404    7168    498236   2% /run

tmpfs                    505404       0    505404   0% /sys/fs/cgroup

/dev/sda1                201388  106036     95352  53% /boot

172.16.30.130:/public   5109760 3021824   2087936  60% /public

[root@desktop30 ~]# cd /public/

[root@desktop30 public]# ls

freeit.txt

[root@desktop30 public]# touch gyh.txt

[root@desktop30 public]# ls

freeit.txt  gyh.txt

//创建成功,此时具有写权限。

 

 

4.4.客户访问权限

 

同为文件分享服务,NFS对拜望顾客的垄断未有萨姆ba的成效强大,不过基本也可知足平常职业对NFS的需求。NFS中,与拜访客户的决定相关的参数首要有:root_squash、no_root_squash、all_squash、anonuid、anongid。下边看多少个例子(本有的实验依旧用上部分的推行蒙受卡塔尔国:

 

 

例1:查看客商端登入时服务器缺省映射为丰盛客户

[root@desktop30 public]# ll

total 0

-rw-r--r--. 1 root      root      0 May 18 14:12 freeit.txt

-rw-r--r--. 1 nfsnobody nfsnobody 0 May 18 16:12 gyh.txt

如上:【可写分享目录】实验中开创的文件gyh.txt暗中认可的客户和组为nfsnobody。此为缺省参数all_squash的功用,也正是说,不管客商端以什么位置登入到协和的系统,缺省都映射为nfsnobody。

 

 

例2:no_root_squash参数:客商端以本地root身份登入服务器时,也存有root顾客权限

[root@server30 ~]# vim /etc/exports

/public         172.16.30.30/24(rw,no_root_squash,sync)

~                                                                

[root@server30 ~]# systemctl restart nfs-server.service

如上,用户端以本地root客户登入时,服务器在那参数的效应下把其映射为劳动器端的root客商。

 

例3:anonuid&anongid参数:无论客商端以什么地点登陆,缺省都映射为钦命客商的UID和钦赐组的GID。

-------------------------------------------------服务器端设置----------------------------------------------

[root@server30 ~]# id user1

uid=1001(user1) gid=1001(user1) groups=1001(user1)

[root@server30 ~]# vim /etc/exports

/public         172.16.30.30/24(rw,anonuid=1001,anongid=1001,sync)

[root@server30 ~]# systemctl restart nfs-server.service

-------------------------------------------------客户端验证------------------------------------------------

[root@desktop30 public]# touch 456.txt

[root@desktop30 public]# ll

total 0

-rw-r--r--. 1 root      root      0 May 18 17:08 123.txt

-rw-r--r--. 1      1001      1001 0 May 18 17:17 456.txt

-rw-r--r--. 1 root      root      0 May 18 14:12 freeit.txt

-rw-r--r--. 1 nfsnobody nfsnobody 0 May 18 16:12 gyh.txt

 

 

4.5.NFS的kerberos验证

 

本有的以难点的花样来试验。

 

题目:

  • 先是片段:首要为server端配置

  • 在Server30上配置NFS,以读写的法子分享/protected,能被example.com内顾客访谈;

  • 访问/protected须要经过kerberos安全加密,能够接纳此链接密钥:;

  • 目录/protected应该包蕴名称叫project具备人造guest2000的子目录且顾客guest2002能以读写方式访问/protected/project;

 

  • 其次部分:首要为顾客端配置

  • 在desktop30上挂载来自于server30的nfs共享,/protected挂载在目录/mnt/nfssecure,并运用安全的艺术,密钥链接为:;

  • 挂载为运营时自动挂载;

  • 客商guest二零零零能在/mnt/nfssecure/project上创办文件。

 

 

率先片段:server端的铺排

 

主配置文件增加分享资源

[root@server30 ~]# vim /etc/exports

/public         172.16.30.30/24(rw,anonuid=1001,anongid=1001)

/protected      172.16.30.0/24(rw,sec=krb5p)

~                                                            

[root@server30 ~]# mkdir /protected

//创建共享目录

 

 

配备kerberos验证,必要增添服务器到ldap域中,使用kerberos服务器验证。kerberos验证也须求安装几个工具,然后做增多到LDAP的操作。如下:

[root@server30 ~]# yum -y install authconfig* sssd* krb5*

Loaded plugins: langpacks, product-id, subscription-manager

This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.

base                                                     | 4.1 kB     00:00    

(1/2): base/group_gz                                       | 134 kB   00:00    

(2/2): base/primary_db                                     | 3.4 MB   00:00    

Package authconfig-6.2.8-8.el7.x86_64 already installed and latest version

Package sssd-client-1.11.2-65.el7.x86_64 already installed and latest version

Package krb5-libs-1.11.3-49.el7.x86_64 already installed and latest version

Resolving Dependencies

[root@server30 ~]# authconfig-gtk

//此命令打开验证配置界面,如下:

 图片 1

①选择[identity*authentication],举行身份验证配置

②选拔【ldap】,出席到ldap域实行认证

③填写ldap的DN,

④填写ldap的门路,要以ldap伊始,//前边为ldap服务器的主机名

⑤此处要勾选

⑥点击这里,弹出如下分界面,填写证书的密钥链接,下载证书

 

图片 2

①填写链接:

②点击【ok】完结证书链设置

图片 3

①基于难点供给,这里要筛选kerberos验证办法

②填写认证服务的kerberos Realm(域卡塔尔(英语:State of Qatar)

③此处的勾选要去掉,不然不能够张开下一步操作

④填写认证服务的kerberos KDC

⑤填写认证服务的kerberos Admin Server

⑥点击【Apply】完结认证配置

 

 

NFS的本子有不菲,Redhat Linux7中的NFS使用版本为4.2,kerberos验证为其故意的认证措施,所以要指明NFS版本,在/etc/sysconfig/nfs配置文件中增加:

[root@server30 ~]# vim /etc/sysconfig/nfs

  1 #

  2 # Optinal options passed to rquotad

  3 RPCRQUOTADOPTS=""

  4 #

  5 # Optional arguments passed to in-kernel lockd

  6 #LOCKDARG=

  7 # TCP port rpc.lockd should listen on.

  8 #LOCKD_TCPPORT=32803

  9 # UDP port rpc.lockd should listen on.

10 #LOCKD_UDPPORT=32769

11 #

12 # Optional arguments passed to rpc.nfsd. See rpc.nfsd(8)

13 RPCNFSDARGS="-V 4.2"

14 # Number of nfs server processes to be started.

15 # The default is 8.

16 RPCNFSDCOUNT=8

17 # Set V4 grace period in seconds

18 #NFSD_V4_GRACE=90

19 #

20 # Optional arguments passed to rpc.mountd. See rpc.mountd(8)

21 RPCMOUNTDOPTS=""

22 #

23 # Optional arguments passed to rpc.statd. See rpc.statd(8)

24 STATDARG=""

25 #

26 # Optional arguments passed to rpc.idmapd. See rpc.idmapd(8)

27 RPCIDMAPDARGS=""

28 #

29 # Optional arguments passed to rpc.gssd. See rpc.gssd(8)

30 RPCGSSDARGS=""

31 # Enable usage of gssproxy. See gssproxy-mech(8).

32 GSS_USE_PROXY="no"

33 #

34 # Optional arguments passed to rpc.svcgssd. See rpc.svcgssd(8)

35 RPCSVCGSSDARGS=""

36 #

37 # Optional arguments passed to blkmapd. See blkmapd(8)

38 BLKMAPDARGS=""

如上:只需在第13行增添-V 4.2即可。

 

 

Kerberos验证,必要服务器和客商端的年月上无法有太大的异样,所以,为了保障时间规范,还要钦赐NTP服务器,如下:

[root@server30 ~]# vim /etc/chrony.conf

  1 # Use public servers from the pool.ntp.org project.

  2 # Please consider joining the pool (http://www.pool.ntp.org/join.html).

  3 #server 0.rhel.pool.ntp.org iburst

  4 #server 1.rhel.pool.ntp.org iburst

  5 #server 2.rhel.pool.ntp.org iburst

  6 #server 3.rhel.pool.ntp.org iburst

  7 server ldap.example.com iburst

……

 

[root@server30 ~]# systemctl restart chronyd.service

如上,将原有的第4、5、6行注释掉,然后增加第7行内容,内定NTP服务器。最终不要遗忘重启chronyd.service服务。

 

 

下载用于kerberos验证的密钥

[root@server30 ~]# wget -O /etc/krb5.keytab http://ldap.example.com/pub/server30.keytab

--2015-05-18 18:31:57--  http://ldap.example.com/pub/server30.keytab

Resolving ldap.example.com (ldap.example.com)... 172.16.30.254

Connecting to ldap.example.com (ldap.example.com)|172.16.30.254|:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 3026 (3.0K)

Saving to: ‘/etc/krb5.keytab’

 

100%[======================================>] 3,026       --.-K/s   in 0s     

 

2015-05-18 18:31:57 (230 MB/s) - ‘/etc/krb5.keytab’ saved [3026/3026]

 

[root@server30 ~]# ls /etc/krb5.keytab

/etc/krb5.keytab

 

 

依靠难题要求,在分享能源下开创project目录,并安装guest二〇〇一为其具备者

[root@server30 ~]# mkdir /protected/project

[root@server30 ~]# id guest2001

uid=2001(guest2001) gid=2001(guest2001) groups=2001(guest2001)

[root@server30 ~]# chown guest2001 /protected/project/

[root@server30 ~]# ll /protected/

total 0

drwxr-xr-x. 2 guest2001 root 6 May 18 18:34 project

注:guest二〇〇〇是参预ldap域后收获的客户,私下认可本地没有。

 

最终,对于服务的重启,不独有要重启nfs服务,同期也要重启nfs的其它八个用于安全申明的劳务,如下:

[root@server30 ~]# systemctl enable  nfs-server.service nfs-secure-server.service  nfs-secure.service

ln -s '/usr/lib/systemd/system/nfs-secure-server.service' '/etc/systemd/system/nfs.target.wants/nfs-secure-server.service'

ln -s '/usr/lib/systemd/system/nfs-secure.service' '/etc/systemd/system/nfs.target.wants/nfs-secure.service'

[root@server30 ~]# systemctl restart  nfs-server.service nfs-secure-server.service  nfs-secure.service      

 

[root@server30 ~]# systemctl status  nfs-server.service nfs-secure-server.service  nfs-secure.service       

nfs-server.service - NFS Server

   Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; enabled)

   Active: active (exited) since Mon 2015-05-18 18:43:23 CST; 14s ago

  Process: 5695 ExecStopPost=/usr/sbin/exportfs -f (code=exited, status=0/SUCCESS)

  Process: 5692 ExecStop=/usr/sbin/rpc.nfsd 0 (code=exited, status=0/SUCCESS)

  Process: 5705 ExecStart=/usr/sbin/rpc.nfsd $RPCNFSDARGS $RPCNFSDCOUNT (code=exited, status=0/SUCCESS)

  Process: 5703 ExecStartPre=/usr/sbin/exportfs -r (code=exited, status=0/SUCCESS)

  Process: 5701 ExecStartPre=/usr/libexec/nfs-utils/scripts/nfs-server.preconfig (code=exited, status=0/SUCCESS)

Main PID: 5705 (code=exited, status=0/SUCCESS)

   CGroup: /system.slice/nfs-server.service

 

May 18 18:43:23 server30.example.com systemd[1]: Starting NFS Server...

May 18 18:43:23 server30.example.com systemd[1]: Started NFS Server.

 

nfs-secure-server.service - Secure NFS Server

   Loaded: loaded (/usr/lib/systemd/system/nfs-secure-server.service; enabled)

   Active: active (running) since Mon 2015-05-18 18:43:23 CST; 14s ago

  Process: 5723 ExecStart=/usr/sbin/rpc.svcgssd $RPCSVCGSSDARGS (code=exited, status=0/SUCCESS)

Main PID: 5725 (rpc.svcgssd)

   CGroup: /system.slice/nfs-secure-server.service

           └─5725 /usr/sbin/rpc.svcgssd

 

May 18 18:43:23 server30.example.com systemd[1]: Started Secure NFS Server.

 

nfs-secure.service - Secure NFS

   Loaded: loaded (/usr/lib/systemd/system/nfs-secure.service; enabled)

   Active: active (running) since Mon 2015-05-18 18:43:23 CST; 14s ago

  Process: 5691 ExecStart=/usr/sbin/rpc.gssd $RPCGSSDARGS (code=exited, status=0/SUCCESS)

Main PID: 5693 (rpc.gssd)

   CGroup: /system.slice/nfs-secure.service

           └─5693 /usr/sbin/rpc.gssd

 

 

第二有些:客户端配置

 

创立本地挂载目录/mnt/nfssecure

[root@desktop30 ~]# mkdir /mnt/nfssecure

[root@desktop30 ~]# ls /mnt/

nfssecure

 

要开展安全的挂载,也正是行使kerberos验证,所以,客商端相通也要到场到ldap域中,形式与劳务器端相通,必要安装多个工具并张开验证配置分界面。此处不再赘言。略过。

 

接下来钦赐NTP服务器,同步时间

[root@desktop30 ~]# vim /etc/chrony.conf

 

  1 # Use public servers from the pool.ntp.org project.

  2 # Please consider joining the pool (http://www.pool.ntp.org/join.html).

  3 #server 0.rhel.pool.ntp.org iburst

  4 #server 1.rhel.pool.ntp.org iburst

  5 #server 2.rhel.pool.ntp.org iburst

  6 #server 3.rhel.pool.ntp.org iburst

  7 server ldap.example.com iburst

 

[root@desktop30 ~]# systemctl restart chronyd.service

 

 

下载密钥

[root@desktop30 ~]# wget -O /etc/krb5.keytab http://ldap.example.com/pub/desktop30.keytab

--2015-05-18 18:50:00--  http://ldap.example.com/pub/desktop30.keytab

Resolving ldap.example.com (ldap.example.com)... 172.16.30.254

Connecting to ldap.example.com (ldap.example.com)|172.16.30.254|:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 3026 (3.0K)

Saving to: ‘/etc/krb5.keytab’

 

100%[======================================>] 3,026       --.-K/s   in 0s     

 

2015-05-18 18:50:01 (263 MB/s) - ‘/etc/krb5.keytab’ saved [3026/3026]

 

[root@desktop30 ~]# ls /etc/krb5.keytab

/etc/krb5.keytab

 

同生龙活虎,客户端也亟需运维nfs的平安认证服务

[root@desktop30 ~]# systemctl enable nfs-secure.service nfs-secure-server.service

ln -s '/usr/lib/systemd/system/nfs-secure.service' '/etc/systemd/system/nfs.target.wants/nfs-secure.service'

ln -s '/usr/lib/systemd/system/nfs-secure-server.service' '/etc/systemd/system/nfs.target.wants/nfs-secure-server.service'

[root@desktop30 ~]# systemctl restart nfs-secure.service nfs-secure-server.service

 

 

机关挂载配置

[root@desktop30 ~]# vim /etc/fstab

 

#

# /etc/fstab

# Created by anaconda on Thu May  7 11:59:00 2015

#

# Accessible filesystems, by reference, are maintained under '/dev/disk'

# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info

#

/dev/mapper/rhel-root   /                       xfs     defaults        1 1

UUID=bb4bc6a9-f7da-423d-a332-401d21d8d781 /boot                   xfs     defaul

ts        1 2

/dev/mapper/rhel-swap   swap                    swap    defaults        0 0

172.16.30.130:/protected        /mnt/nfssecure  nfs     defaults,v4.2,sec=krb5p

0 0

[root@desktop30 ~]# mount -a

mount.nfs: access denied by server while mounting 172.16.30.130:/protected

//挂载失败              

为啥挂载败北呢?

因为分享能源这里给的是rw权限,但是分享财富本人目录/protected是从未有过w权限的,所以还要回服务器为分享能源目录本身增加权限

[root@server30 ~]# ll -d /protected/

drwxr-xr-x. 3 root root 20 May 18 18:34 /protected/

[root@server30 ~]# chmod 777 /protected/

[root@server30 ~]# ll -d /protected/   

drwxrwxrwx. 3 root root 20 May 18 18:34 /protected/

 

顾客端再一次挂载

[root@desktop30 ~]# mount -a

[root@desktop30 ~]# df

Filesystem               1K-blocks    Used Available Use% Mounted on

/dev/mapper/rhel-root      5109760 3111836   1997924  61% /

devtmpfs                    496096       0    496096   0% /dev

tmpfs                       505404      80    505324   1% /dev/shm

tmpfs                       505404    7172    498232   2% /run

tmpfs                       505404       0    505404   0% /sys/fs/cgroup

/dev/sda1                   201388  106036     95352  53% /boot

172.16.30.130:/protected   5109760 3112064   1997696  61% /mnt/nfssecure

如上:挂载成功。

 

 

末段,验证客商guest二零零三是不是能在/mnt/nfssecure/project下开创文件。

查阅本地是还是不是有此顾客

[root@desktop30 ~]# id guest2001

uid=2001(guest2001) gid=2001(guest2001) groups=2001(guest2001)

因为客商端插手了ldap域,所以得到到LDAP的客商。

 

接连几日guest二〇〇〇客户验证

[root@desktop30 ~]# ssh guest2001@localhost

The authenticity of host 'localhost (::1)' can't be established.

ECDSA key fingerprint is 36:09:b0:56:df:c7:b7:62:5d:66:ea:77:fa:34:64:f0.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.

guest2001@localhost's password:

Could not chdir to home directory /rhome/guest2001: No such file or directory

mkdir: cannot create directory ‘/rhome’: Permission denied

-bash-4.2$ cd /mnt/nfssecure/project/

-bash-4.2$ touch abc

-bash-4.2$ ls

Abc

//创建成功,证明有写权限。

注:

  • 三番三遍guest二零零一时未有家目录,借使要让其有家目录,要采纳autofs挂载此顾客家目录到地头;

  • 验证guest二零零零持有写权限制期限,不能够直接su到此顾客,因为如此服务器会在缺省参数all_squash的效果与利益下把其当成nfsnobody客户。

 

 

本文出自 “自个儿正是Smart” 博客,请必须保留此出处

本文由澳门威尼斯老品牌发布于威尼斯注册,转载请注明出处:[转]凯雷德HEL7上计划NFS服务