NFS文件的存储

#####################
#########nfs#########
#####################

NFS概念

网络文件系统（NFS）是Unix系统和网络附加存储文件管理器常用的网络文件系统，允许多个客户端通过网络共享文件访问。它可用于提供对共享二进制目录的访问，也可用于允许用户在同一工作组中从不同客户端访问其文件。
NFS协议有多个版本：Linux支持版本4、版本3和版本2, 而大多数系统管理员熟悉的是NFSv3。默认情况下，该协议并不安全，但是更新的版本（如NFSv4

）提供了对更安全的身份验证的支持，甚至可以通过kerberos进行加密。

1.启用服务

reset desktop server

[root@server2 ~]# systemctl start firewalld.service

yum install nfs-utils -y

systemctl enable nfs-server.service

systemctl start nfs-server.service

firewall-cmd --permanent --add-service=nfs

firewall-cmd --permanent --add-service=rpc-bind

firewall-cmd --permanent --add-service=mountd

[root@server2 ~]# firewall-cmd --reload

success

[root@server2 ~]# firewall-cmd --list-all

public (default, active)

  interfaces: eth0

  sources:

  services: dhcpv6-client mountd nfs rpc-bind ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

 

[kiosk@foundation2 ~]$ showmount -e 172.25.2.11    ##显示nfs服务器的输出清单

Export list for 172.25.2.11:

 

 

2.共享目录

[root@server2 ~]# systemctl start nfs-server

mkdir /public                                   ##创建共享目录

chmod 777 /public

vim /etc/exports           #man 5 exports

要共享的系统目录   共享方式

/public  *(sync)                               ##public共享给所有人并数据同步

/public  172.25.0.0/24(sync)        ##public共享给172.25.0.0/24网段

/public  *.example.com(sync)      ##public共享给example.com域的所有主机

/public  172.25.0.11(ro,sync)  172.25.0.250(rw,sync)  ##public共享给11是只读，250是读写

/public  *(rync,no_root_squash)                                      ##public共享给所有人，当客户端使用root挂载不转换用户身份

/public  *(rync,anonuid=1001,anongid=1000)              ##public共享给所有人以1001为uid，1000为gid

 

exportfs -rv  ##配置文件生效

 

测试：

[root@desktop2 ~]# showmount -e 172.25.2.11

[root@desktop2 ~]# mount 172.25.2.11:/public /mnt

 

3.利用kerberos保护nfs输出

 Kerberos协议：Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。

1>在server上

yum install sssd krb5-workstation authconfig-gtk -y

authconfig-gtk

开启kerberos认证，得到ldap用户

 

wget http://172.25.254.254/pub/keytabs/server2.keytab -O /etc/krb5.keytab     ##下载kerberos认证文件

[root@server2 ~]# ktutil          ##读keytab文件

ktutil:  rkt /etc/krb5.keytab

ktutil:  list

 

systemctl restart nfs-secure-server

systemctl enable nfs-secure-server

 

vim /etc/exports

/public   (rw,sec=krb5p)          ##允许拥有证书的用户访问

exportfs -rv

 

2>在desktop上

yum install sssd krb5-workstation authconfig-gtk -y

authconfig-gtk

开启kerberos认证，得到ldap用户

 

wget http://172.25.254.254/pub/keytabs/desktop2.keytab -O /etc/krb5.keytab

[root@desktop2 ~]# ktutil

ktutil:  rkt /etc/krb5.keytab

ktutil:  list

 

systemctl start nfs-secure

systemctl enable nfs-secure

[root@desktop2 ~]# vim /etc/hosts      ##做本地解析

172.25.2.11  server2.example.com

[root@desktop2 ~]# mount 172.25.2.11:/public /mnt -o sec=krb5p     ##用krb5p的方式挂载

[root@desktop2 ~]# su - student

[student@desktop2 ~]$ su - ldapuser1     ##必须从普通用户进入，输一次密码进入

Password:

-bash-4.2$ cd /mnt

-bash-4.2$ ls

file