Difference between revisions of "NFSv4 mit UCS"

From Univention Wiki

Jump to: navigation, search
Line 53: Line 53:
 
<pre>kinit root/admin
 
<pre>kinit root/admin
  
kutil get nfs/nfs-server.domain
+
kadmin get nfs/nfs-server.domain
 
</pre>  
 
</pre>  
Äquivalent dazu wird auf jedem Client vorgegangen.  
+
Äquivalent dazu wird auf jedem Client vorgegangen.
  
 
= Anpassungen der Konfigurationsdateien  =
 
= Anpassungen der Konfigurationsdateien  =

Revision as of 07:09, 6 September 2011

Erstellen einer "virtual root"

Für NFSv4 wird ein virtual root-Verzeichnis benötigt unter dem alle exportierten Verzeichnisse zu finden sind. Dieses Verzeichnis kann mit dem folgenden Befehl angelegt werden

mkdir /exports

Das Verzeichnis muss anschließend in "/etc/exports" eingetragen werden. Dazu muss dieser Datei die folgende Zeile hinzugefügt werden:

/exports gss/krb5(ro,sync,fsid=0,insecure,crossmnt,no_subtree_check)

Freigabe Hinzufügen

Um eine Freigabe hinzuzufügen sind mehrere Schritte notwendig.

Einbindung der bestehenden Freigabe

Im ersten Schritt muss das bestehende Verzeichnis in das NFSv4-Wurzelverzeichnis verlinkt werden. Dazu wird ein entsprechendes Verzeichnis benötigt:

mkdir /exports/<verzeichnisname>

Anschließend muss ein entsprechender Eintrag in der "/etc/fstab" angelegt werden:

/<verzeichnisname> /exports/<verzeichnisname> none bind 0 0

Mit dem folgenden Befehl wird das Verzeichnis dann eingebunden:

mount /exports/<verzeichnisname>

Erstellung der Freigabe

Die NFSv3-Freigabe sollte im Univention Directory Manager erstellt werden. Anschließend wird diese dann auf NFSv4 umgestellt. Die Freigabe sollte dabei unter dem Pfad "/<verzeichnisname>" angelegt werden. Außerdem sollte der Zugriff auf die IP Adresse 0.0.0.0 beschränkt werden.

Dieser Schritt ist nur notwendig, wenn das Heimatverzeichnis des Nutzers automatisch eingebunden werden soll. Ansonsten kann die Freigabe auch rein von Hand angelegt werden.

Anlegen der Freigabe in NFS

NFSv4 unterstützt grundsätzlich drei unterschiedliche Methoden zur Nutzung mit Kerberos. Eine dieser Methoden muss ausgewählt werden und anschließend sollte der entsprechende Eintrag in "/etc/exports", ohne den Kommentar am Zeilenende, kopiert und angepasst werden:

Nutzer Anmeldung

/exports/<verzeichnisname> gss/krb5(rw,nohide,insecure,no_subtree_check,asynck)

Datenintegrität

/exports/<verzeichnisname> gss/krb5i(rw,nohide,insecure,no_subtree_check,asynck)

Datenverschlüsselung

/exports/<verzeichnisname> gss/krb5p(rw,nohide,insecure,no_subtree_check,asynck)

Kerberos Zertifikate

Auf dem DC Master müssen als Benutzer "root" die folgenden Befehle ausgeführt werden:

kinit root/admin

kadmin add -r nfs/nfs-server.domain

kadmin add -r nfs/nfs-client1.domain

Auf dem eigentlichen NFS-Server müssen die Zertifikate dann mit den folgenden Befehlen importiert werden:

kinit root/admin

kadmin get nfs/nfs-server.domain

Äquivalent dazu wird auf jedem Client vorgegangen.

Anpassungen der Konfigurationsdateien

Auf dem NFS-Server muss das Template unter "/etc/univention/templates/files/etc/default/nfs-kernel-server" angepasst werden. Die folgende Einstellung sollte gesetzt werden:

NEED_SVCGSSD=yes

Anschließend muss die eigentliche Konfiguration neu erzeugt werden:

ucr commit /etc/default/nfs-kernel-server

Auf dem Server muss weiterhin das Template "/etc/univention/templates/files/etc/default/nfs-common" angepasst werden. Es sollten die folgenden Zeilen enthalten sein:

NEED_IDMAPD=yes

NEED_GSSD=yes

Zur Deaktivierung von NFSv3 kann die folgende Zeile hinzugefügt werden:

NEED_STATD=no

Die Änderungen werden dann mit dem folgenden Befehl übernommen:

ucr commit /etc/default/nfs-common

Auf den Client-Systemen müssen die selben Anpassungen vorgenommen werden. Die entsprechenden Einstellungen können dafür direkt in "/etc/default/nfs-common" gemacht werden.

Test der Einstellungen

Mit dem folgenden Befehl können die Verzeichnisse testweise eingebunden werden:

mount -t nfs4 nfs-server.domain:/<verzeichnisname> /<verzeichnisname> -o sec=krb5

Nach erfolgreichem Test kann die folgende Zeile jeweils in die "/etc/fstab" übernommen werden:

nfs-server.domain:/<verzeichnisname> /<verzeichnisname> nfs4 sec=krb5 0 0

Automatische Einbindung der Heimatverzeichnisse

Um die Heimatverzeichnisse automatisch einzubinden muss "/usr/sbin/univention-mount-homedir" wie folgt angepasst werden:

mount -t nfs4 "$host:$path" "$REALHOME" -o sec=krb5
Personal tools