NFSv4+FreeIPAでホームディレクトリの共有

概要

• NFSv4+FreeIPA（Kerberos認証）でホームディレクトリの共有
• FreeIPAの自動マウント機能を利用

バージョン

• CentOS 7
• FreeIPA 4.4

構成

• FreeIPAサーバ
• ドメイン名：ipa.hirune.example
• NFSサーバ
• ドメイン名：server.hirune.example
• ホームディレクトリ：/export/home
• NFSクライアント
• ドメイン名：client.hirune.example

手順

FreeIPAサーバの設定

1. サービスの追加
   

   # ipa service-add nfs/server.hirune.example

2. 自動マウントの設定
   

   # ipa automountkey-add default --key /export --info "-fstype=nfs,sec=krb5,soft,intr server.hirune.example:/export" auto.direct

NFSサーバの設定

1. NFSのインストール
   

   # yum -y install nfs-utils

2. IDマッピングの設定
• /etc/idmapd.confを編集
• [General]下にDomain = hirune.exampleを追加
3. ファイアーウォールの設定
   

   # firewall-cmd --add-service=nfs --permanent
   # firewall-cmd --reload

4. keytabの取得
   

   # ipa-getkeytab -s ipa.hirune.example -p nfs/server.hirune.example -k /etc/krb5.keytab

5. サービスの起動
   

   # systemctl start nfs-server
   # systemctl start nfs-secure-server

6. ホームディレクトリの作成
   

   # mkdir -p /export/home

7. SELinuxを有効にしている場合は、ホームディレクトリのコンテキストを変更
   

   # semanage fcontext -a -e /home /export/home
   # restorecon -R /export/home

8. 共有ディレクトリの追加
   

   # echo "/export/home gss/krb5(rw,async,root_squash,no_subtree_check,sec=krb5)" >> /etc/exports

9. 共有の有効化
   

   # exportfs -ra

NFSクライアントの設定

1. NFSのインストール
   

   # yum -y install nfs-utils

2. 共有ディレクトリの作成
   

   # mkdir /export

3. 自動マウントの設定
   

   # ipa-client-automount --unattended

4. nsswitch.confの更新
   

   # authconfig --updateall

   • ipa-client-automountコマンドではなぜかnsswitch.confのautomountにsssが追記されないので、手動で追加するか上記コマンドを実行する必要がある
   • 原因？：#3733 (ipa-client-automount should not configure nsswitch.conf manually) – freeipa

参考

• CentOS 7 : NFSサーバーの設定 ： Server World
• NFS and FreeIPA - Linux NFS
• とあるエンジニアの備忘log: NFSv4 + Kerberos で セキュリティとユーザーマッピングを解決