CAS et Kerberos
Pages enfant
  • Passage de l'authentification Kerberos à NFS (v4) (archive)

Comparaison des versions

Ancienne version 10

changes.mady.by.user Pascal Aubry

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user Pascal Aubry

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: Migrated to Confluence 5.3

...

La dernière partie montre al configuration d'un filer NetApp.

Configuration du serveur

Editer le fichier de configuration qui donne le mapping des utilisateurs pour tous les services basés sur RPC, dont NFS (/etc/idmapd.conf) :

...

(re)Démarrer les services NFS et rpcidmapd.

Configuration du client

Ajouter dans la keytab du client le principal de root pour pouvoir faire les montages NFS :

...

Bloc de code
[root@clinux ~]# lsmod| grep rpc
auth_rpcgss            31232  1 nfs
sunrpc                158428  9 nfs,lockd,nfs_acl,auth_rpcgss
[root@clinux ~]# modprobe rpcsec_gss_krb5
WARNING: All config files need .conf: /etc/modprobe.d/anaconda, it will be ignored in a future release.
[root@clinux ~]# lsmod| grep rpc
rpcsec_gss_krb5         8824  0
auth_rpcgss            31232  2 rpcsec_gss_krb5,nfs
sunrpc                158428  10 rpcsec_gss_krb5,nfs,lockd,nfs_acl,auth_rpcgss
[root@clinux ~]#

*Ajouter ici comment insérer le module à chaque redémarrage.

Editer le fichier /etc/sysconfig/nfs et indiquer que l'on veut utiliser un NFS sécurisé :

...

Astuce
titleInstallation Gentoo

Installer le package nfs-utils avec l'option kerberos:

Bloc de code
USE="kerberos" emerge nfs-utils

Configuration NFS v4 avec un filer NetApp

Créer le principal du service nfs (nfs/netapp.univ-rennes1.fr) en utilisant l'option -e des_cbc_crc:normal (le seul chiffrement compris par NetApp), l'exporter dans Unix_krb5.keytab (toujours avec l'option -e des_cbc_crc:normal), puis copier ce fichier dans la hiérarchie /etc du filer (après un montage NFS v3 par exemple ou un FTP).

...

Enfin, la récupération des identités des utilisateurs doit être configuré de la manière suivante :

Bloc de code
options ldap.xxx yyy
options ldap.xxx yyy
options ldap.xxx yyy
options ldap.xxx yyy
options ldap.xxx yyy
options ldap.xxx yyyldap.base                    dc=univ-rennes1,dc=fr
ldap.base.passwd             ou=people,dc=univ-rennes1,dc=fr
ldap.enable                  on
ldap.minimum_bind_level      anonymous
ldap.port                    389
ldap.servers                 ldapglobal.univ-rennes1.fr
ldap.servers.preferred       ldapglobal.univ-rennes1.fr
ldap.usermap.attribute.unixaccount uid
ldap.usermap.attribute.windowsaccount uid
ldap.usermap.enable          on

Les principals root/client.ifsic.univ-rennes1.fr doivent également être créés (et exportés dans le /etc/krb5.keytab des clients) en utilisant l'option -e des_cbc_crc:normal.