[Kerberos] Mise en place
4. NFS kerberizé sur les machines solaris 9
Le nom du serveur NFS est : denver.laas.fr
4.1. Pour commencer dans la base de donnée du serveur
#Kadmin -p root/admin
- Créer le principal pour le service nfs : kadmin : addprinc -randkey nfs/denver.laas.fr
- Créer les principaux root des machines clientes pour pouvoir monter les répertoires distants partager au démarrage des machines :
- kadmin : addprinc root/denver.laas.fr
- Ajouter les principaux nfs et root dans le fichier keytab qui contient les passwords
- kadmin : ktadd nfs/denver.laas.fr
- kadmin : ktadd root/denver.laas.fr
- Sortir de kadmin
- kadmin : quit
4.2. Ensuite il faut créer la « credential table »
Cette table permet à un serveur NFS de transformer les principaux de SEAM en uid.
#Gsscred -m kerberos_v5 -a
Cette commande va lister par le biais de la commande passwd tous les noms d’utilisateurs et leur uid correspondant sur un réseaux et les mettre dans cette table.
4.3. Rendre active la sécurité KERBEROS pour NFS
Dans /etc/nfssec.conf retirer tous les # qui sont devant les modes de sécurité KERBEROS.
4.4. Partage et montage
- Spécifier les fichiers du système que vous voulez partager et le degré de sécurité de ceux-ci :
# vi /etc/dfs/dfstab
ex : share -F nfs -o sec=krb5 :krk5i :krb5p /local
Ici tous les modes ont été sélectionnés, l’authentification avec l’intégrité et le chiffrement.
- Démarrer le serveur nfs :
/etc/init.d/nfs.server start
- Partager #Shareall
- Monter (Demander un ticket en tant que root :
#kinit root/denver.laas.fr) #Mount -F nfs -o sec= krb5 :krk5i :krb5p denver :/local /mnt
- Vérifier le bon fonctionnement des fichiers partagés Demander un ticket en tant qu’utilisateur : kinit Aller dans un répertoire partagé distant. (Sans le ticket d’utilisateur TGT, on ne peut voir les informations partagées)
4.4. Problème NFS induit par la version Solaris 8
La version 8 de solaris ne possède pas la commande kadmin qui permet de créer un fichier keytab sur une machine cliente NFS. Pour que le système puisse faire un montage kerberizé au démarrage, il lui faut connaître son mot de passe Kerberos, (il lui faut donc un fichier qui connaisse le mot de passe root de la machine qui est keytab), cela pouvant permettre à des services de démarrer sur des points d’automontages.
On a résolu le problème en utilisant la commande kutil sur le serveur, pour ne laisser dans celui-ci que root/client.laas.fr dans le fichier keytab et en le copiant sur la machine cliente NFS dans /etc/krb5. Celui-ci fait bien le montage lorsque l’on fait la commande mount et n’attend pas un ticket d’un utilisateur.
Si vous avez apprécié cet article, s'il vous plait, prenez le temps de laisser un commentaire ou de souscrire au flux afin de recevoir les futurs articles directement dans votre lecteur de flux.
Commentaires
Pas encore de commentaire.
Laisser un commentaire