Nfs krb5p

一、实验环境

RH299

二、实验目的

nfs krb5p 加密挂载实验、易错点和解决办法

这里的 serverX 和 desktopX 就是 server0 desktop0

三、实验步骤

在 foundation0 上对 server0 和 desktop0 进行重置

#rht-vmctl reset server

#rht-vmctl reset client

1、 在 server0 上的操作

#lab nfskrb5 setup

#sudo -i

#wget -O /etc/krb5.keytab http://classroom.example.com/pub/keytabs/server0.keytab

#vim /etc/sysconfig/nfs

RPCNFSDARGS="-V 4.2" //启用 nfs 4.2 版本，以导出 selinux 标签

# systemctl start nfs-secure-server

# systemctl enable nfs-secure-server

# mkdir /securenfs

# echo '/securenfs desktop0(sec=krb5p,rw)' >>/etc/exports

 # exportfs -rv

exporting desktop0.example.com:/securenfs

# firewall-cmd --permanent --add-service=nfs

# firewall-cmd --reload

2、 在 desktop0 上的操作

#lab nfskrb5 setup

#sudo -i

# wget -O /etc/krb5.keytab http://classroom.example.com/pub/keytabs/desktop0.keytab

# systemctl start nfs-secure

# systemctl enable nfs-secure

# mkdir /mnt/secureshare

# echo "server0:/securenfs /mnt/secureshare nfs defaults,v4.2,sec=krb5p 0 0" >>/etc/fstab

 #mount -a

如果出现“mount.nfs: access denied by server while mounting

server0:/securenfs”，可以关注下服务端和客户端的/var/log/messages 里头的提醒，我看到我的 server0

上的 messages 出现了（ticket expired）

我在 server0 和 desktop0 上运行了时间同步命令#ntpdate -u classroom，再次执行 mount -a 就正常了（你可以在 classroom 上重新生成

票据）
出现 access denied 的可能原因比较多，如上的只是其中一种，更多的原因和解决办法，大家参看文档“nfs-krb5 挂载问题”

3、 运行判题脚本
server0 和 desktop0 上运行如下语句
#lab nfskrb5 grade