Bo's Oracle Station

查看: 1567|回复: 0

课程第4次:2020-02-19星期三

[复制链接]

1005

主题

1469

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
12012
发表于 2020-2-18 10:37:13 | 显示全部楼层 |阅读模式
1. CLASSROOM、SERVER4和DESKTOP4都是Kerberos域(realm,名称是大写的)参与者:
classroom.example.com是这个域的kadminkrb5kdc  (补充:域的名字是这样配置的:ipa-client-install --realm=BOTANGDB.COM)

2. 远程ldapuserX用户的家目录由CLASSROOM来提供的配置:
2.1 普通NFS:缺点有两点:1. 靠IP来验证  2. 传输过程不加密      sec=sys2.2 普通NFS的自动挂载2.2 Kerberos化的NFS:1. 除了靠IP来验证,还要靠“原则”(keytab)来验证   2.  krb5p传送的每一个字节都是强加密(还有krb5  , krb5i) sec=krb5p

3. 远程ldapuserX用户的家目录由SERVER来提供:
最后要实现的结果:
classroom.example.com
classroom.jpg

server4.example.com
server4.jpg


desktop4.example.com
desktop4.jpg

ldapuserX的Kerberos化的NFS加密家目录
ldapuser.jpg
注意:如果serverX要共享/home/guests给desktopX,那么显然必需先停掉serverX的autofs。

4. 本次课程的实验,课后拓展测试方案主要有以下三个路径:

1.普通nfs加了no_root_squash后root来mount能写入吗?
2. keytab后nfs,关classroom.example.com能登入吗?
3. 最后环境(serverX做kerberos化的nfs服务器) Classroom开着,serverX 和desktopX上移走keytab,desktopX 能mount得上serverX吗(不管是root去mount,还是ldapuserX自动mount家目录)





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|Bo's Oracle Station   

GMT+8, 2024-12-12 07:52 , Processed in 0.040333 second(s), 27 queries .

快速回复 返回顶部 返回列表