RHCE7:(10-11)NFS

RHCE7:(10-11)NFS

10.配置NFS服务

实验环境中，必须在server0与desktop0两台虚拟机都要运行：lab nfskrb5 setup

在server0配置NFS服务，要求如下：

A 以只读的方式共享目录/public同时只能被example.com域中的系统访问；        

B 以读写的方式共享目录/protected能被example.com域中的系统访问；

C访问/protected需要通过kerberos安全加密，您可以使用下面的URL提供的密钥

http://classroom.example.com/pub/keytabs/server0.keytab；

D 目录 /protected 应该包含名为project 拥有人为ldapuser0的子目录；

E 用户ldapuser0能以读写方式访问 /protected/project。

Server0端操作如下：

1、执行lab nfskrb5 setup脚本，使server0加入kerbers域：

 [root@server0 ~]# lab nfskrb5 setup //实验环境两台Server与desktop都要运行这个命令，考试时不需要。

2、创建public和protected两个共享目录：

    [root@server0 ~]# mkdir  /public

[root@server0 ~]# mkdir  /protected

3、配置共享目录，修改配置文件 /etc/exports

[root@server0 ~]# vim  /etc/exports

/public                172.25.0.0/24(ro)

/protected                  172.25.0.0/24(rw,sec=krb5p)

4、重载exports配置，使其生效。

[root@server0 ~]# exportfs -rv

exporting 172.25.0.0/24:/protected

exporting 172.25.0.0/24:/public

5、启动并启用nfs-server服务：

[root@server0 ~]# systemctl restart nfs-server

[root@server0 ~]# systemctl enable nfs-server

6、下载server0安全证书：

wget -O /etc/krb5.keytab http://classroom.example.com/pub/keytabs/server0.keytab

7、创建protected下的子目录project：

[root@server0 ~]# mkdir /protected/project

8、修改project的权限，使其所有者是ldapuser0：

[root@server0 ~]# chown ldapuser0 /protected/project/

ll -d /protected/project/

9、启动并启用nfs-server、nfs-secure-server服务：

[root@server0 ~]# systemctl restart nfs-server

[root@server0 ~]# systemctl enable nfs-server

  [root@server0 ~]# systemctl restart nfs-secure-server

[root@server0 ~]# systemctl enable nfs-secure-server

10、设置防火墙，开放nfs、mount、rpc-bind服务，并重载firewall使其生效：

    [root@server0 ~]# firewall-cmd --permanent --add-service=nfs

success

[root@server0 ~]# firewall-cmd --permanent --add-service=mountd 

success

[root@server0 ~]# firewall-cmd --permanent --add-service=rpc-bind 

success

[root@server0 ~]# firewall-cmd --reload 

success

Server0端操作结束，NFS服务配置完成。

nslookup desktop0.example.com

lab nfskrb5 setup

wget -O /etc/krb5.keytab http://classroom.example.com/pub/keytabs/server0.keytab

yum install -y nfs-utils rpcbind

systemctl start nfs-server rpcbind nfs-secure-server

systemctl enable nfs-server rpcbind nfs-secure-server

firewall-cmd --permanent --add-service=nfs –zone=trusted

firewall-cmd --permanent --add-service=mountd –zone=trusted

firewall-cmd --permanent --add-service=rpc-bind –zone=trusted

firewall-cmd --reload

mkdir /public

mkdir /protected/project -p

setfacl -m u:ldapuser0:rwx /protected/

chown ldapuser0 /protected/project/

vim /etc/exports

/public                172.25.0.0/24(ro)

/protected         172.25.0.0/24(rw,sec=krb5p)

exportfs -rv

11.挂载一个NFS共享

在desktop0上挂载一个来自server0.example.com的NFS共享，并符合下列要求：

A  /public 挂载在下面的目录上/mnt/nfsmount；

B  /protected挂载在下面的目录上/mnt/nfssecure并使用安全的方式。密钥下载URL如下：

http://classroom.example.com/pub/keytabs/desktop0.keytab；

C  ldapuser0能够在/mnt/nfssecure/project上创建文件；

D  这些文件系统在系统启动时自动挂载。

desktop0端操作：

1、执行lab nfskrb5 setup脚本，使desktop0加入kerbers域：

[root@desktop0 ~]# lab nfskrb5 setup

2、识别共享：

[root@desktop0 ~]# showmount -e 172.25.0.11 

//查询mountd守护进程，以显示NFS服务器加载的信息。

3、创建挂载点 /mnt/nfsmount和/mnt/nfssecure：

  [root@desktop0 ~]# mkdir /mnt/nfsmount

[root@desktop0 ~]# mkdir /mnt/nfssecure

4、配置 /etc/fstab，通过kerberos加密，并使用安全的方式挂载：

   [root@desktop0 ~]# vim /etc/fstab

172.25.0.11:/public        /mnt/nfsmount        nfs        defaults        0 0

172.25.0.11:/protected        /mnt/nfssecure        nfs        defaults,sec=krb5p        0 0

5、下载安全证书：

wget -O /etc/krb5.keytab http://172.25.254.254/pub/keytabs/desktop0.keytab

6、启动并启用nfs-secure-server服务:

[root@desktop0 ~]# systemctl restart nfs-secure

[root@desktop0 ~]# systemctl enable nfs-secure

7、验证挂载：

[root@desktop0 ~]# mount -a

[root@desktop0 ~]# df -h

8、验证ldapuser0能在project上创建文件：

[root@desktop0 nfssecure]# ssh ldapuser0@desktop0    （密码kerberos）

[root@desktop0 ~]# ssh ldapuser0@desktop0

ldapuser0@desktop0's password:kerberos

9、验证是否可写：

[ldapuser0@desktop0 ~]$ cd /mnt/nfssecure/project

[ldapuser0@desktop0 project]$

[ldapuser0@desktop0 project]$ echo "write" > 1.txt

[ldapuser0@desktop0 project]$

[ldapuser0@desktop0 project]$ ll -Z 

-rw-rw-r--. ldapuser0 ldapuser0 system_u:object_r:nfs_t:s0       1.txt

[ldapuser0@desktop0 project]$

[ldapuser0@desktop0 project]$ cat 1.txt 

write

验证通过，可创建文件并可读写。 题目作完。