NFSv4 mit UCS

From Univention Wiki

Revision as of 14:54, 26 August 2011 by Mangels (talk | contribs) (Die Seite wurde neu angelegt: „= Erstellen einer "virtual root" = Für NFSv4 wird ein ''virtual root''-Verzeichnis benötigt unter dem alle exportierten Verzeichnisse zu finden sind. Dieses V…“)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

Erstellen einer "virtual root"

Für NFSv4 wird ein virtual root-Verzeichnis benötigt unter dem alle exportierten Verzeichnisse zu finden sind. Dieses Verzeichnis kann mit dem folgenden Befehl angelegt werden

mkdir /exports

Das Verzeichnis muss anschließend in "/etc/exports" eingetragen werden. Dazu muss dieser Datei die folgende Zeile hinzugefügt werden:

/exports gss/krb5(ro,sync,fsid=0,insecure,crossmnt,no_subtree_check)

Freigabe Hinzufügen

Um eine Freigabe hinzuzufügen sind mehrere Schritte notwendig.

Einbindung der bestehenden Freigabe

Im ersten Schritt muss das bestehende Verzeichnis in das NFSv4-Wurzelverzeichnis verlinkt werden. Dazu wird ein entsprechendes Verzeichnis benötigt:

mkdir /exports/<verzeichnisname>

Anschließend muss ein entsprechender Eintrag in der "/etc/fstab" angelegt werden:

/<verzeichnisname> /exports/<verzeichnisname> none bind 0 0

Mit dem folgenden Befehl wird das Verzeichnis dann eingebunden:

mount /exports/<verzeichnisname>

Erstellung der Freigabe

Die NFSv3-Freigabe sollte im Univention Directory Manager erstellt werden. Anschließend wird diese dann auf NFSv4 umgestellt. Die Freigabe sollte dabei unter dem Pfad "/<verzeichnisname>" angelegt werden.

Anlegen der Freigabe in NFS

NFSv4 unterstützt grundsätzlich drei unterschiedliche Methoden zur Nutzung mit Kerberos. Eine dieser Methoden muss ausgewählt werden und anschließend der entsprechende Eintrag in "/etc/exports" angepasst werden:

Nutzer Anmeldung

/exports/<verzeichnisname> gss/krb5(rw,nohide,insecure,no_subtree_check,asynck)

Datenintegrität

/exports/<verzeichnisname> gss/krb5i(rw,nohide,insecure,no_subtree_check,asynck)

Datenverschlüsselung

/exports/<verzeichnisname> gss/krb5p(rw,nohide,insecure,no_subtree_check,asynck)

Kerberos Zertifikate

Auf dem DC Master müssen als Benutzer "root" die folgenden Befehle ausgeführt werden:

kinit root/admin

kadmin add -r nfs/nfs-server.domain

kadmin add -r nfs/nfs-client1.domain

Auf dem eigentlichen NFS-Server müssen die Zertifikate dann mit den folgenden Befehlen importiert werden:

kinit root/admin

kutil get nfs/nfs-server.domain

Äquivalent dazu wird auf jedem Client vorgegangen.

Anpassungen der Konfigurationsdateien

Auf dem NFS-Server muss das Template unter "/etc/univention/templates/files/etc/default/nfs-kernel-server" angepasst werden. Die folgende Einstellung sollte gesetzt werden:

NEED_SVCGSSD=yes

Anschließend muss die eigentliche Konfiguration neu erzeugt werden:

ucr commit /etc/default/nfs-kernel-server

Auf dem Server muss weiterhin das Template "/etc/univention/templates/files/etc/default/nfs-common" angepasst werden. Es sollten die folgenden Zeilen enthalten sein:

NEED_IDMAPD=yes

NEED_GSSD=yes

Zur Deaktivierung von NFSv3 kann die folgende Zeile hinzugefügt werden:

NEED_STATD=no

Die Änderungen werden dann mit dem folgenden Befehl übernommen:

ucr commit /etc/default/nfs-common

Auf den Client-Systemen müssen die selben Anpassungen vorgenommen werden. Die entsprechenden Einstellungen können dafür direkt in "/etc/default/nfs-common" gemacht werden.

Test der Einstellungen

Mit dem folgenden Befehl können die Verzeichnisse testweise eingebunden werden:

mount -t nfs4 nfs-server.domain:/<verzeichnisname> /<verzeichnisname> -o sec=krb5

Nach erfolgreichem Test kann die folgende Zeile jeweils in die "/etc/fstab" übernommen werden:

nfs-server.domain:/<verzeichnisname> /<verzeichnisname> nfs4 sec=krb5 0 0

Automatische Einbindung der Heimatverzeichnisse

Um die Heimatverzeichnisse automatisch einzubinden muss "/usr/sbin/univention-mount-homedir" wie folgt angepasst werden:

mount -t nfs4 "$host:$path" "$REALHOME" -o sec=krb5
Personal tools