2022国赛正式题NFS解题方法

最新推荐文章于 2024-05-30 15:05:22 发布
原创 最新推荐文章于 2024-05-30 15:05:22 发布 · 2k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux #运维

本文详细指导如何在Linux系统中配置KDC服务器进行身份验证,创建并授权NFS共享,确保只有特定网络内的用户能读写/srv/sharenfs,同时使用krb5p加密。涉及步骤包括设置KDC、用户管理、NFS服务器配置和NFS客户端自动挂载。

(五)nfs 服务

任务描述:请采用 nfs,实现共享资源的安全访问。
1.配置 linux2 为 kdc 服务器,负责 linux3 和 linux4 的验证。
2.在 linux3 上,创建用户,用户名为 xiao,uid=2000,gid=2000,家目录为/home/xiaodir。
3.配置 linux3 为 nfs 服务器,目录/srv/sharenfs 的共享要求为:linux 服务器所在网络用户有读写权限,所有用户映射为 xiao,kdc 加密方式为 krb5p。
4.配置 linux4 为 nfs 客户端,利用 autofs 按需挂载 linux3 上的/srv/sharenfs 到/sharenfs 目录,挂载成功后在该目录创建 test 目录。

linux2的配置

#linux2安装服务
yum install -y krb5* 
#在linux2,linux3,linux4的/etc/hosts 里添加三台主机的ip及机器名
vim /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
 10.10.120.103 linux3.skills.com
 10.10.120.104 linux4.skills.com
 10.10.120.102 linux2.skills.com
#在linux2上编辑主配置文件(vim /etc/krb5.conf),将里面所有的EXAMPLE.COM改成自己的域名
vim /etc/krb5.conf
​
# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
​
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
​
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
    default_realm = SKILLS.COM      #取消注释并修改域名SKILLS.COM
    default_ccache_name = KEYRING:persistent:%{uid}
​
[realms]#取消注释并修改域名SKILLS.COM 以及linux2.skills.com
 SKILLS.COM = {
     kdc = linux2.skills.com
     admin_server = linux2.skills.com
 }
​
[domain_realm]#取消注释并修改域名SKILLS.COM 以及skills.com
 .skills.com = SKILLS.COM
 skills.com = SKILLS.COM
​
#修改/var/kerberos/krb5kdc/kadm5.acl,将EXAMPLE.COM改成自己的域名.
vim /var/kerberos/krb5kdc/kadm5.acl
*/admin@SKILLS.COM      *
#初始化kdc 数据库
[root@linux2 ~]# kdb5_util create -s #需要输入秘钥 可以写成 Skills39
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'SKILLS.COM',
master key name 'K/M@SKILLS.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key: 
Re-enter KDC database master key to verify: 
#重启服务
[root@linux2 ~]# systemctl restart krb5kdc kadmin
[root@linux2 ~]# systemctl enable krb5kdc kadmin
Created symlink /etc/systemd/system/multi-user.target.wants/krb5kdc.service → /usr/lib/systemd/system/krb5kdc.service.
Created symlink /etc/systemd/system/multi-user.target.wants/kadmin.service → /usr/lib/systemd/system/kadmin.service.
[root@linux2 ~]# 
#登录Kerberos Server服务 root免密登陆kadmin.local,并创建填加Kerberos用户,随机生成一个值作为三太节点的key,并下载主服务器的key.
[root@linux2 ~]# kadmin.local 
Authenticating as principal root/admin@SKILLS.COM with password.
kadmin.local:  
kadmin.local:  123456
kadmin.local: Unknown request "123456".  Type "?" for a request list.
kadmin.local:  
kadmin.local:  addprinc root/admin  #输入密码 Skills39
No policy specified for root/admin@SKILLS.COM; defaulting to no policy
Enter password for principal "root/admin@SKILLS.COM": 
Re-enter password for principal "root/admin@SKILLS.COM": 
Principal "root/admin@SKILLS.COM" created.
kadmin.local:  addprinc -randkey "nfs/linux2.skills.com"
No policy specified for nfs/linux2.skills.com@SKILLS.COM; defaulting to no policy
Principal "nfs/linux2.skills.com@SKILLS.COM" created.
kadmin.local:  addprinc -randkey "nfs/linux3.skills.com"
No policy specified for nfs/linux3.skills.com@SKILLS.COM; defaulting to no policy
Principal "nfs/linux3.skills.com@SKILLS.COM" created.
kadmin.local:  addprinc -randkey "nfs/linux4.skills.com"
No policy specified for nfs/linux4.skills.com@SKILLS.COM; defaulting to no policy
Principal "nfs/linux4.skills.com@SKILLS.COM" created.
kadmin.local:  ktadd nfs/linux2.skills.com
Entry for principal nfs/linux2.skills.com with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab.
Entry for principal nfs/linux2.skills.com with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab.
kadmin.local:
​
#可以用listprincs查看创建的key
kadmin.local:  listprincs   
K/M@SKILLS.COM
kadmin/admin@SKILLS.COM
kadmin/changepw@SKILLS.COM
kadmin/linux2@SKILLS.COM
kiprop/linux2@SKILLS.COM
krbtgt/SKILLS.COM@SKILLS.COM
nfs/linux2.skills.com@SKILLS.COM
nfs/linux3.skills.com@SKILLS.COM
nfs/linux4.skills.com@SKILLS.COM
root/admin@SKILLS.COM
kadmin.local:  
#到这主服务器配置完成。

linux3的配置:

#创建xiao的用户
[root@linux3 ~]# useradd -u 2000 -d /home/xiaodir xiao
[root@linux3 ~]# id xiao
uid=2000(xiao) gid=2000(xiao) groups=2000(xiao)
#安装 kerbos服务及nfs服务
[root@linux3 ~]#  yum install krb5-workstation.x86_64  nfs-utils.x86_64 -y
#查看所需要的包 rpm -qa |grep -E "nfs-utils|rpcbind"
#编辑主配置文件(vim /etc/krb5.conf),将里面所有的EXAMPLE.COM改成自己的域名
[root@linux3 ~]#  vim /etc/krb5.conf
# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
​
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
​
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
    default_realm = SKILLS.COM      #取消注释并修改域名SKILLS.COM
    default_ccache_name = KEYRING:persistent:%{uid}
​
[realms]#取消注释并修改域名SKILLS.COM 以及linux2.skills.com
 SKILLS.COM = {
     kdc = linux2.skills.com
     admin_server = linux2.skills.com
 }
​
[domain_realm]#取消注释并修改域名SKILLS.COM 以及skills.com
 .skills.com = SKILLS.COM
 skills.com = SKILLS.COM
​
#密码登陆kdc数据库下载key(kadmin) 需要输入密码 这里的密码为上面设置的Skills39
[root@linux3 ~]# kadmin 
Authenticating as principal root/admin@SKILLS.COM with password.
Password for root/admin@SKILLS.COM: 
kadmin:  ktadd nfs/linux3.skills.com
Entry for principal root/admin@SKILLS.COM with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab.
Entry for principal root/admin@SKILLS.COM with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab.
kadmin:  
​
#创建一个需要krb5p加密访问的nfs挂载文件
mkdir /srv/sharenfs
#去配置 nfs 服务器
[root@linux3 ~]#  vim /etc/exports
/srv/sharenfs   *(rw,anonuid=2000,sec=krb5p)
[root@linux3 ~]#  exportfs -rv #激活配置
​
#查看挂载点
[root@linux3 ~]#  showmount -e 10.10.120.103
Export list for 10.10.120.103:
/srv/sharenfs *

linux4的配置:

#安装 kerbos服务及nfs服务
[root@linux4 ~]#  yum install krb5-workstation.x86_64  nfs-utils.x86_64 -y
#开启nfs服务
systemctl restart nfs-server.service
systemctl enable nfs-server.service 
#编辑主配置文件(vim /etc/krb5.conf),将里面所有的EXAMPLE.COM改成自己的域名
[root@linux4 ~]#  vim /etc/krb5.conf
# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
​
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
​
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
    default_realm = SKILLS.COM      #取消注释并修改域名SKILLS.COM
    default_ccache_name = KEYRING:persistent:%{uid}
​
[realms]#取消注释并修改域名SKILLS.COM 以及linux2.skills.com
 SKILLS.COM = {
     kdc = linux2.skills.com
     admin_server = linux2.skills.com
 }
​
[domain_realm]#取消注释并修改域名SKILLS.COM 以及skills.com
 .skills.com = SKILLS.COM
 skills.com = SKILLS.COM
 
#密码登陆kdc数据库下载key(kadmin) 需要输入密码 这里的密码为上面设置的Skills39
[root@linux3 ~]# kadmin 
Authenticating as principal root/admin@SKILLS.COM with password.
Password for root/admin@SKILLS.COM: 
kadmin:  ktadd nfs/linux4.skills.com
Entry for principal root/admin@SKILLS.COM with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab.
Entry for principal root/admin@SKILLS.COM with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab.
kadmin:  
#创建挂载目录
 mkdir /sharenfs
#安装 autofs服务
 yum install autofs.x86_64  -y
#修改anto的主配置文件 添加内容:
 vim /etc/auto.master
 /sharenfs       /etc/auto.nfs
#修改anto的子文件 添加内容 :
vim /etc/auto.nfs
sharenfs        -fstype=nfs,rw,sync          10.10.120.103:/srv/sharenfs
#重启anto,以及开机自启服务 
systemctl restart autofs.service
systemctl enable autofs.service 
​
#mount 挂载的方法:
mount -t nfs 10.10.120.103:/srv/sharenfs /sharenfs

测试:

#linux4 在/sharenfs 中创建文件 test
#只有当切换到 sharenfs 目录时才会触发 autofs 自动挂载。
[root@linux4 sharenfs]# ls -lh   //进入顶级目录下,此时无法查看到 users 目录。
total 0
[root@linux4 sharenfs]# cd sharenfs //只有当切换到 sharenfs 目录时才会触发 autofs 自动挂载。
[root@linux4 sharenfs]# touch test
[root@linux4 sharenfs]# pwd
/sharenfs/sharenfs
[root@linux4 sharenfs]# 
[root@linux4 sharenfs]# df -Th  查看挂载状态
Filesystem                  Type      Size  Used Avail Use% Mounted on
devtmpfs                    devtmpfs  370M     0  370M   0% /dev
tmpfs                       tmpfs     389M     0  389M   0% /dev/shm
tmpfs                       tmpfs     389M  5.6M  384M   2% /run
tmpfs                       tmpfs     389M     0  389M   0% /sys/fs/cgroup
/dev/mapper/rl-root         xfs        37G  2.4G   35G   7% /
/dev/sda1                   xfs      1014M  210M  805M  21% /boot
tmpfs                       tmpfs      78M     0   78M   0% /run/user/0
10.10.120.103:/srv/sharenfs nfs4       37G  2.5G   35G   7% /sharenfs/sharenfs
​
##linux3 查看文件是属性 :
[root@linux3 ~]# ls -la /srv/sharenfs/
total 0
drwxrwxrwx  2 root root   18 Nov 13 01:28 .
drwxr-xr-x. 3 root root   22 Nov 13 00:20 ..
-rw-r--r--  1 xiao nobody  0 Nov 13 01:28 test
[root@linux3 ~]#

A Flag
关注
202232:NFS服务
weixin_41687096的博客
04-14 1694
202232:NFS服务
2023网络系统管理Linux
dekangzou的博客
12-17 2663
CentOS7 DHCP,DNS,CA,mail,wordpress,NFS,RAID,VSFTPD,LDAP,SAMBA配置
Linux 安装Kerberos认证KDC服务
热门推荐
sharkdoodoo
07-04 2万+
最近需要给hadoop集群加上安全验证,采用kerberos作为认证,这里记录一下安装kerberos kdc的经验
kerberos,nfs操作说明(简化).docx
10-24
【任务描述】 为让不同的客户端及服务端共同进行文件的分享,请采用NFS服务器,实现不同的主机和操作系统共享彼此的数据。 1. 配置Linux-1为KDC服务器,负责Linux-2和Linux-3的验证。 2. 在Linux-2上,创建用户,用户名为tom,uid=222,gid=222,用户家目录为/home/tomdir。 3. 配置Linux-2为nfs服务器,创建共享/srv/share,所有用户映射为tom。 4. 配置Linux-3为nfs客户端。设置用户的密码长度最少为6位,普通用户的最小id为2000。创建用户marry。
linux-rocky9网络配置
bcz1517的博客
09-26 4882
rocky9系统使用的操作系统是linux5x内核64位,镜像使用的是rocky9.2(我使用的是VMware虚拟机,也许还可以选择别的操作系统)。rocky9的网络配置步骤:1.修改rocky9的虚拟网络编辑器(1)网卡(网络适配器)选择Net模式(2)打开虚拟网络编辑器,进入vmnet8中,将 '使用DHCP服务将IP地址分配给虚拟机(D)'不要勾选,然后点击应用,在点确定。2.进入rocky9配置网络文件(需要在管理员root用户下进入,不然权限会不够),代码如下 3.修改配置文件中的Ipv4中的
Kerberos 的安装和使用
u011250186的博客
11-25 4458
Kerberos 的安装和使用
精选资源
2022年网络搭建与应用开放nfs解答
06-04
"2022年网络搭建与应用开放nfs解答" 本资源提供了一个详细的网络搭建和应用解决方案,涵盖了Kerberos身份验证、NFS服务器配置和客户端安装等多个方面。下面是从该资源中提取的关键知识点: 1. Kerberos...
2023年网络系统管理Linux
最新发布
dekangzou的博客
05-30 3369
2023网络系统管理Linux
2022年山东省职业院校技能大中职组“网络搭建与应用”项规程
Jay
12-24 3582
包含职业规范与素养、网络布线与基础连接、交换配置与调试、路由配置与调试、无线网络配置、安全策略配置、业务选路与组播配置、网络知识在线测试、云平台网络连接与部署、Windows 服务配置Linux 服务配置,共十个模块。LAN、STP、RSTP、MSTP、802.1X、ARP、交换机虚拟化、交换安全、端口聚合、端口镜像、VRRP、VRRPv3、IPV6、PBR、IPV6 PBR、ACL、DCHPv6、DHCP Snooping、QOS、BFD、Keepalive gateway、基于流的重定向等。
网络系统管理技能提升:规程学习指南与实战攻略
[ChinaSkills-网络系统管理项规程(2022年)](https://docs.vmware.com/en/VMware-NSX/4.1/installation/images/GUID-E99D1568-0B52-4D1E-9920-46110B92972A-low.png) # 摘要 本文旨在全面介绍网络系统管理...
KDC+NFS 服务配置
kaml200626的博客
11-02 1698
KDC运用到NFS
kerberos 5
架构之美
12-14 488
kadmin.local: listprincs K/M@JACK kadmin/admin@JACK kadmin/changepw@JACK kadmin/hadoopmaster.jack@JACK krbtgt/JACK@JACK kadmin.local: addprinc admin/admin@JACK WARNING: no policy specified fo...
kerberos认证服务搭建、认证、常用命令
天空之蓝的博客
01-16 6885
文章目录安装KDC 服务器修改配置修改KDC配置文件配置KDC服务的权限管理文件修改Kerberos的配置文件信息初始化KDC数据库启动KDC服务器启动Kerberos服务器KDC 服务器上添加超级管理员账户搭建Kerberos客户端环境将服务端的配置文件拷贝到客户端客户端配置文件和服务段同步后,进行登陆,验证是否可以成功登陆Kerberos 一些基本操作命令使用kadmin.local命令进入...
kerberos异常
arbalest1080的博客
09-03 732
执行kadmin和kinit失败。
CDH6.3.2集成FreeIPA
邢为栋
07-14 3407
准备 系统配置 Cloudera Manager Server节点需要安装IPA admin libraries。命令如下: yum install ipa-server 配置FreeIPA FreeIPA的krb5.conf默认配置包含如下内容: default_ccache_name = KEYRING:persistent:%{uid} CDH不支持keyring credential cache,所以需要注释此配置。 另外,需要增加以下配置: renew_lifetime = 7d renewa
2021 年全职业院校技能大网络搭建与应用正式
qq_45871601的博客
03-12 4177
2021 年全职业院校技能大 网络搭建与应用正式
LINUX安装KDC服务
shatianyzg的博客
07-31 1248
1.配置linux-3为NFS服务器,目录为/srv/share的共享要求为10.10.70.0/24网络用户具有读写权限,所有用户映射为tom;5.配置linux-4为NFS客户端,新建/mnt/share和/mnt/tmp,分别挂载linux-3上的/srv/share和/srv/tmp。修改/var/kerberos/krb5kdc/kadm5.acl配置。修改/var/kerberos/krb5kdc/kdc.conf。vim/etc/krb5.conf修改红框部分。...
2022-2023 年度安徽省职业院校技能大 中职组网络搭建与应用
qq_45824192的博客
02-27 4174
借鉴世理念,向世界高水平看齐,项通过真实完整工作任务,公开和临场故障创设等多样性的考核手段,工作效果科学比对等精细化的评价方式,虚拟云、弹性网络、IPV6等新技术、新工艺、新规范 的应用,对标高水平、对位真工作,通过竞、体验、直播、互动与观摩,加强信息技术网络专业领域的交流与专业引领,既兼顾了中特色,又面向世界一流看齐。1.参选手应严格遵守场纪律,服从指挥,仪表端庄整洁,自觉遵守场纪律,服从项执委会的指挥和安排,爱护大场地的设备和器材,严格遵守安全操作流程,防止发生安全事故。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值