nfs

网络文件系统(NFS)是Unix系统和网络附加存储文件管理器常用的网络文件系统,允许多个客户端通过网络共享文件访问。它可用于提供对共享二进制目录的访问,也可用于允许用户在同一工作组中从不同客户端访问其文件。NFS协议有多个版本:Linux支持版本4、版本3和版本2, 而大多数系统管理员熟悉的是NFSv3。默认情况下,该协议并不安全,但是更新的版本(如NFSv4)提供了对更安全的身份验证的支持,甚至可以通过kerberos进行加密

若要配置基本NFS服务器,您应该安装nfs-utils软件包。然后,您应该编辑/etc/exports以列出您希望通过网络与客户端系统共享的文件系统,并指出哪些客户端对导出具有何种访问权限。例如:
/var/ftp/pub
192.168.0.0/24(ro,sync)
将目录/var/ftp/pub导出至192.168.0.0/24网络上的所有主机(对目录具有只读权限)。
/export/homes *.example.com(rw,sync)
将目录/export/homes导出至exmaple.com中的所有主机(对目录具有读写权限)。当NFS服务器运行时,每次您编辑/etc/exports后,都应通过在保存更改后执行exportfs -r来确保应用这些更改。您可以使用exportfs -v显示所有导出。
NFSv4还导出pseudo-root(所有导出的文件系统的root)。如果客户端挂载nfs-server:/ ,这将在NFS服务器上的/下面相对于其位置挂载所有导出文件系统。这对于浏览从客户端的服务器导出的所有文件系统有用。您仍可单独挂载文件系统。
www.westos.org
5默认情况下,NFS服务器将NFS客户端上的root视为用户nfsnobody。即,如果root尝试访问挂载的导出中的文件,服务器会将其视作用户nfsnobody访问。在NFS导出被无磁盘客户端用作/和root需要被视作root的情况中,这种安全措施存在隐患。若要禁用此保护,服务器需要将no_root_squash添加到在/etc/exports中导出设置的选项列表:
/exports/root
192.168.0.1(rw,no_root_squash)
对于NFSv4,必须在服务器上打开端口2049/TCP(对于nfsd)。对于NFSv3和更早版本,必须为rpcbind、rpc.mountd、lockd和rpc.rquotad打开更多端口,而在“随机”选择的端口上启动其中许多服务这一事实又增加了复杂性。此外,NFSv2和NFSv3支持UDP传输,还要求打开相应的端口。本课程中我们将关注NFSv4。

安装服务：

yum install nfs-utils -y

增加火墙策略：

[root@desktop44 ~]# systemctl start nfs-server.service
[root@desktop44 ~]# systemctl status firewalld
[root@desktop44 ~]# firewall-cmd --permanent --add-service=nfs
success
[root@desktop44 ~]# firewall-cmd --permanent --add-service=rpc-bind
success
[root@desktop44 ~]# firewall-cmd --permanent --add-service=mountd
success
[root@desktop44 ~]# firewall-cmd --reload
测试：

[root@server44 ~]# mkdir /public
[root@server44 ~]# chmod 777 /public/
[root@server44 ~]# vim /etc/exports               #man 5 exportfs
###############################################
/public      *(sync）        ##public 共享给所有人并且数据同步
/public      172.25.44.10(ro,sync） ##public 共享给44.10并且数据同步 只读权限
/public      172.25.44.0/24(rw,sync）##public 共享给44网段并且数据同步 读写权限
/public      *(rw,sync,anonuid=1000,anongid=1000） public 共享给所有人并且数据同步 以1000为uid和gid 创建文件为student
/public      *(rw,sync，no_root_squash）##public 共享给所有人并且数据同步 客户端root挂载不转换身份 即 root用户挂载建立文件为root
[root@server44 ~]# exportfs -rv
测试：

kerberos认证：

yum install sssd krb5-workstation authconfig-gtk -y

authconfig-gtk

apply添加：通过 su - student   su - ldapuser1    password:kerberos  登录：

wget http://172.25.254.254/pub/keytabs/desktop44.keytab -O /etc/krb5.keytab  ##通过此命令下载key认证

ktutil                                           ##查看下载的key

ktutil:   rkt   /etc/krb5.keytab

ktutil:  list                                                    

vim /etc/exports 

/public    *(rw,sec=krb5p)   ##通过krb5p认证方式

exportfs -rv                               ##立即更改生效

测试：

mount 172.25.44.11:/public /mnt -o sec=krb5p   

df 查看是否挂载成功

su - student   su - ldapuser1    password:kerberos  ##查看kerberos认证是否成功

输入密码  即 给予证书

server与desktop同样操作  下载对应key