NFS服务简介
NFS 是Network File System的缩写,即网络文件系统。一种使用于分散式文件系统的协定,由Sun公司开发,于1984年向外公布。功能是通过网络让不同的机器、不同的操作系统能够彼此分享个别的数据,让应用程序在客户端通过网络访问位于服务器磁盘中的数据,是在类Unix系统间实现磁盘文件共享的一种方法。
NFS 的基本原则是“容许不同的客户端及服务端通过一组RPC分享相同的文件系统”,它是独立于操作系统,容许不同硬件及操作系统的系统共同进行文件的分享。
NFS在文件传送或信息传送过程中依赖于RPC协议。RPC,远程过程调用 (Remote Procedure Call) 是能使客户端执行其他系统中程序的一种机制。NFS本身是没有提供信息传输的协议和功能的,但NFS却能让我们通过网络进行资料的分享,这是因为NFS使用了一些其它的传输协议。而这些传输协议用到这个RPC功能的。可以说NFS本身就是使用RPC的一个程序。或者说NFS也是一个RPC SERVER。所以只要用到NFS的地方都要启动RPC服务,不论是NFS SERVER或者NFS CLIENT。这样SERVER和CLIENT才能通过RPC来实现PROGRAM PORT的对应。可以这么理解RPC和NFS的关系:NFS是一个文件系统,而RPC是负责负责信息的传输。
安装
yum install nfs-utils
systemctl enbale nfs-server
systemctl start nfs-server
firewall-cmd --permanent --add-service=nfs ##允许nfs服务
firewall-cmd --permanent --add-service=rpc-bind ##允许rpc-bind服务
firewall-cmd --permanent --add-service=mountd ##允许mountd服务
firewall-cmd --reload
基本配置
[root@localhost ~]# mkdir /public
[root@localhost ~]# chmod 777 /public/
[root@localhost ~]# vim /etc/exports ##man 5 exportfs
目录共享方式
/public *(sync) ##public共享给所有人并且数据同步
/public 172.25.254.0/24(sync) ##public共享给172.25.254.0/24网段
/public *.example.com(sync) ##public共享给example.com域的所有主机
/public 172.25.254.19(ro,sync) 172.25.254.219(rw,sync)##public共享给19是只读,219是读写
/public *(sync,no_root_squash) ##public共享给所有人,客户端使用root挂载不转换用户身份
/public *(sync,anonuid=1001,anongid=1001) ##public共享给所有人并以1001为uid,1001为gid
[root@localhost ~]# exportfs -rv ##刷新
测试
在客户机
[root@localhost ~]# showmount -e 172.25.254.119 ##显示NFS服务器的输出清单
[root@localhost ~]# mount 172.25.254.119:/public /mnt/ ##挂载
永久挂载NFS文件系统:
[root@localhost ~]# vim /etc/fstab
172.25.254.10:/public /mnt nfs defaults 0 0
利用kerberos保护nfs输出
原理
Kerberos协议:
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。
SSSD:
SSSD是红帽企业版Linux6中新加入的一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。
authconfig-gtk
图形界面配置ldap用户
在使用 Kerberos 时,在您的本地网络中分发用户信息(如用户 ID、组、主目录)的一种方法就是使用 LDAP。这需要一种强大的身份验证机制来防止包被窃取以及他攻击。一种解决方案是将 Kerberos 也用于 LDAP 通信。虽然LDAP是加密的但是加密强度还不够,因此需要Kerberos。
配置
在 server 上
开启kerberos认证 得到ldap用户
yum install authconfig-gtk.x86_64 sssd krb5-workstation.x86_64 sssd.x86_64
[root@server19 ~]# authconfig-gtk
[root@server19 ~]# wget http://172.25.254.254/pub/keytabs/server19.keytab -O /etc/krb5.keytab ##下载kerberos认证文件
[root@server19 ~]# ktutil ##读keytab文件内容
ktutil: rkt /etc/krb5.keytab
ktutil: list
[root@server19 ~]# systemctl start nfs-secure-server
[root@server19 ~]# systemctl enable nfs-secure-server.service
[root@server19 ~]# vim /etc/exports
/public *(rw,sec=krb5p) ##允许拥有证书的用户访问
[root@server19 ~]# exportfs -rv
在desktop 上
开启kerberos认证 得到ldap用户
[root@desktop19 ~]# yum install authconfig-gtk.x86_64 sssd krb5-workstation.x86_64
[root@desktop19 ~]# authconfig-gtk
[root@desktop19 ~]# wget http://172.25.254.254/pub/keytabs/desktop19.keytab -O /etc/krb5.keytab ##下载kerberos认证文件
[root@desktop19 ~]# ktutil ##读keytab文件内容
ktutil: rkt /etc/krb5.keytab
ktutil: list
[root@desktop19 ~]# systemctl start nfs-secure
[root@desktop19 ~]# systemctl enable nfs-secure
做本地解析
[root@desktop19 mnt]# vim /etc/hosts
172.25.254.119 server19.example.com
测试
[root@desktop19 mnt]# mount 172.25.254.220:/public /mnt -o sec=krb5p ##用krb5p方式挂载
[root@desktop20 ~]# su - student
Last login: Sat Jun 3 23:37:20 EDT 2017 on pts/1
[student@desktop20 ~]$ cd /mnt
-bash: cd: /mnt: Permission denied ##无访问权限
[student@desktop20 ~]$ su - ldapuser1 ##必须从普通用户过去,输一次密码才可以进去
Password:
Last login: Sat Jun 3 23:54:20 EDT 2017 on pts/0
su: warning: cannot change directory to /home/guests/ldapuser1: No such file or directory
mkdir: cannot create directory '/home/guests': Permission denied
-bash-4.2$ cd /mnt
-bash-4.2$ ls
file file2 file3 test1 test2 test3