课程第4次：2020-02-19星期三

botang

1. CLASSROOM、SERVER4和DESKTOP4都是Kerberos域(realm，名称是大写的）参与者：
classroom.example.com是这个域的kadmin和krb5kdc  (补充：域的名字是这样配置的：ipa-client-install --realm=BOTANGDB.COM)

2. 远程ldapuserX用户的家目录由CLASSROOM来提供的配置：
2.1 普通NFS：缺点有两点：1. 靠IP来验证  2. 传输过程不加密      sec=sys2.2 普通NFS的自动挂载2.2 Kerberos化的NFS：1. 除了靠IP来验证，还要靠“原则”(keytab)来验证   2.  krb5p传送的每一个字节都是强加密（还有krb5  , krb5i） sec=krb5p

3. 远程ldapuserX用户的家目录由SERVER来提供：
最后要实现的结果：
classroom.example.com


server4.example.com



desktop4.example.com


ldapuserX的Kerberos化的NFS加密家目录

注意：如果serverX要共享/home/guests给desktopX，那么显然必需先停掉serverX的autofs。

4. 本次课程的实验，课后拓展测试方案主要有以下三个路径：

1.普通nfs加了no_root_squash后root来mount能写入吗?
2. keytab后nfs，关classroom.example.com能登入吗?
3. 最后环境（serverX做kerberos化的nfs服务器） Classroom开着，serverX 和desktopX上移走keytab，desktopX 能mount得上serverX吗（不管是root去mount，还是ldapuserX自动mount家目录）