NFSv4+FreeIPAでホームディレクトリの共有

概要

• NFSv4+FreeIPA（Kerberos認証）でホームディレクトリの共有
• FreeIPAの自動マウント機能を利用

バージョン

• CentOS 7
• FreeIPA 4.4

構成

• FreeIPAサーバ
• ドメイン名：ipa.hirune.example
• NFSサーバ
• ドメイン名：server.hirune.example
• ホームディレクトリ：/export/home
• NFSクライアント
• ドメイン名：client.hirune.example

手順

FreeIPAサーバの設定

1. サービスの追加
   

   # ipa service-add nfs/server.hirune.example

2. 自動マウントの設定
   

   # ipa automountkey-add default --key /export --info "-fstype=nfs,sec=krb5,soft,intr server.hirune.example:/export" auto.direct

NFSサーバの設定

1. NFSのインストール
   

   # yum -y install nfs-utils

2. IDマッピングの設定
• /etc/idmapd.confを編集
• [General]下にDomain = hirune.exampleを追加
3. ファイアーウォールの設定
   

   # firewall-cmd --add-service=nfs --permanent
   # firewall-cmd --reload

4. keytabの取得
   

   # ipa-getkeytab -s ipa.hirune.example -p nfs/server.hirune.example -k /etc/krb5.keytab

5. サービスの起動
   

   # systemctl start nfs-server
   # systemctl start nfs-secure-server

6. ホームディレクトリの作成
   

   # mkdir -p /export/home

7. SELinuxを有効にしている場合は、ホームディレクトリのコンテキストを変更
   

   # semanage fcontext -a -e /home /export/home
   # restorecon -R /export/home

8. 共有ディレクトリの追加
   

   # echo "/export/home gss/krb5(rw,async,root_squash,no_subtree_check,sec=krb5)" >> /etc/exports

9. 共有の有効化
   

   # exportfs -ra

NFSクライアントの設定

1. NFSのインストール
   

   # yum -y install nfs-utils

2. 共有ディレクトリの作成
   

   # mkdir /export

3. 自動マウントの設定
   

   # ipa-client-automount --unattended

4. nsswitch.confの更新
   

   # authconfig --updateall

   • ipa-client-automountコマンドではなぜかnsswitch.confのautomountにsssが追記されないので、手動で追加するか上記コマンドを実行する必要がある
   • 原因？：#3733 (ipa-client-automount should not configure nsswitch.conf manually) – freeipa

参考

• CentOS 7 : NFSサーバーの設定 ： Server World
• NFS and FreeIPA - Linux NFS
• とあるエンジニアの備忘log: NFSv4 + Kerberos で セキュリティとユーザーマッピングを解決

OpenLDAPでメタディレクトリを利用した複数のデータベースの統合管理

やりたいこと

• 2つのLDAPデータベースを統合してクライアントに表示させたい
• メタディレクトリとよばれる機能を用いる

環境

• CentOS 7
• OpenLDAP 2.4
• データベースA
• ルートDN：ou=dba,dc=hirune,dc=example
• データベースB
• ルートDN：ou=dbb,dc=hirune,dc=example
• メタディレクトリ
• ルートDN：ou=meta,dc=hirune,dc=example

概要

• メタディレクトリにアクセスしたら、データベースAの内容とデータベースBの内容が両方表示されるようにしたい
• メタディレクトリを使うにはcn=configを編集してモジュールを追加でロードする必要がある
• /usr/lib64/openldap/back_ldap.so
• /usr/lib64/openldap/back_meta.so
• objectClassにolcDatabaseConfig・olcMetaConfigを持たせたものをcn=configに追加すればメタディレクトリになる

WORKGROUP環境のWindowsからFreeIPA認証（Kerberos認証）で接続可能なSambaファイルサーバの構築

やりたいこと

• FreeIPAでSambaファイルサーバの認証
• WORKGROUP環境のPCからSambaファイルサーバに接続

環境

• FreeIPAサーバ（ipa.hirune.example）
• CentOS 7
• FreeIPA 4.4
• Sambaファイルサーバ（samba.hirune.example）
• CentOS 7
• Samba 4.4.4
• 標準リポジトリからのインストールのためAD DC (Active Directory Domain Controller)機能はなし
• Windows 10 Home・Pro
• Sambaファイルサーバのクライアント
• Active Directory不参加（WORKGROUP環境）

概要

• WORKGROUP環境からでもKerberos認証は可能
• 参照：WORKGROUP環境だとKerberos認証が使えない？？ - 待ってろ、ActiveDirectory！
• WindowsからFreeIPAでKerberos認証をする際には新たにDNSの設定が必要