kerberos,nfs操作说明(简化).docx

【任务描述】 为让不同的客户端及服务端共同进行文件的分享，请采用NFS服务器，实现不同的主机和操作系统共享彼此的数据。 1. 配置Linux-1为KDC服务器，负责Linux-2和Linux-3的验证。 2. 在Linux-2上，创建用户，用户名为tom，uid=222，gid=222，用户家目录为/home/tomdir。 3. 配置Linux-2为nfs服务器，创建共享/srv/share，所有用户映射为tom。 4. 配置Linux-3为nfs客户端。设置用户的密码长度最少为6位，普通用户的最小id为2000。创建用户marry。 ### 关键知识点解析 #### 一、Kerberos与NFS综合配置 ##### 1. Kerberos认证系统 - **Kerberos概述**：Kerberos是一种计算机网络认证协议，其设计目标是通过密钥分发中心（Key Distribution Center, KDC）来提供强大的认证服务。这种认证机制能够有效防止窃听和重放攻击。 - **KDC服务器配置**： - **安装软件包**：在Linux-1上安装`krb5-workstation`和`krb5-server`包。 - **配置krb5.conf**：编辑`/etc/krb5.conf`文件，确保配置正确指向本地KDC服务器。 - **修改kdc.conf**：编辑`/var/kerberos/krb5kdc/kdc.conf`文件，配置KDC服务的相关参数。 - **修改kadm5.acl**：编辑`/var/kerberos/krb5kdc/kadm5.acl`文件，定义哪些用户或管理员可以执行哪些管理操作。 - **重启服务**：确保服务正常启动，以便进行后续操作。 - **管理KDC**：通过`kadmin.local`命令行工具添加主机和服务主体，例如`addprinc-randkey host/apache.skills.com`等。 - **生成密钥文件**：使用`ktadd`命令为服务器和客户端生成密钥文件，并将其保存在`/tmp`目录下。 ##### 2. NFS服务器配置 - **安装NFS组件**：在Linux-2上安装`nfs-utils`, `krb5-workstation`, 和 `pam_krb5`软件包。 - **复制Kerberos配置**：将KDC服务器上的`/etc/krb5.conf`和`/tmp/server.keytab`文件复制到Linux-2上。 - **重启NFS服务**：使用`systemctl restart nfs nfs-secure`命令重启NFS服务，使其支持Kerberos安全认证。 ##### 3. NFS客户端配置 - **安装客户端软件**：在Linux-3上安装`nfs-utils`, `krb5-workstation`, 和 `pam_krb5`。 - **复制Kerberos配置**：类似于服务器端，将KDC服务器上的`/etc/krb5.conf`和`/tmp/client.keytab`文件复制到Linux-3上。 - **重启客户端服务**：使用`systemctl restart nfs`命令重启NFS客户端服务。 ##### 4. 挂载测试 - **配置共享目录**：在Linux-2上创建共享目录`/srv/share`，并设置正确的权限。使用`/etc/exports`文件配置共享规则，例如： ```bash /srv/share 10.10.70.0/24(rw,sync,no_subtree_check,all_squash,anonuid=222,anongid=222) /srv/share *(ro,sync,no_subtree_check,all_squash,anonuid=222,anongid=222) ``` - **/srv/tmp**：配置为所有用户均可读写，但不可删除他人文件，且不改变用户身份。 - **挂载共享目录**：在Linux-3上使用`mount`命令挂载共享目录，例如： ```bash mount -t nfs -o krb5p 10.10.70.2:/srv/share /mnt ``` #### 二、用户管理与权限控制 ##### 1. 创建用户 - **创建用户tom**：在Linux-2上使用`useradd`命令创建用户`tom`，设置`uid=222`，`gid=222`，并指定家目录为`/home/tomdir`。 - **创建用户marry**：在Linux-3上创建用户`marry`，确保密码长度至少为6位，且普通用户的最小ID为2000。 #### 三、网络配置与测试 - **基本环境配置**：确保各主机能够互相ping通，即网络连通性良好。 - **主机名与IP地址**： - **PC1**: hostname为`ntp.skills.com`，IP为`10.10.70.1` - **PC2**: hostname为`apache.skills.com`，IP为`10.10.70.2` - **PC3**: hostname为`tomcat.skills.com`，IP为`10.10.70.3` #### 四、安全性考虑 - **密码策略**：确保用户密码长度至少为6位，增强系统的安全性。 - **Kerberos加密方式**：在`/etc/exports`文件中设置共享目录的Kerberos加密方式为`krb5p`，提高数据传输的安全性。 通过以上步骤，我们成功实现了不同主机之间的文件共享，同时利用Kerberos认证增强了系统的安全性。这不仅适用于技能大赛中的实践环节，也适用于企业级的应用场景。