Linux Engineer学习------NFS

Posted 2020-10-20

实验环境：修改两台虚拟机防火墙默认区域为trusted

[[email protected] ~]# firewall-cmd --set-default-zone=trusted

[[email protected] ~]# firewall-cmd --set-default-zone=trusted

1、NFS共享服务（Linux与Linux）

1.1普通NFS服务

? Network File System,网络文件系统

– 用途:为客户机提供共享使用的文件夹

– 协议:NFS(TCP/UDP 2049)、RPC(TCP/UDP 111)

? 所需软件包:nfs-utils

? 系统服务:nfs-server

? 列出有哪些NFS共享资源

– showmount -e 服务器地址

? 手动挂载NFS共享

– mount 服务器地址:文件夹路径 挂载点

? 开机挂载配置 /etc/fstab

– 服务器地址:文件夹路径 挂载点 nfs _netdev 0  0

 

服务端：Server0

1.安装服务端软件包，nfs-utils

2.修改 /etc/exports

 文件夹路径     客户机地址(权限)  

[[email protected] ~]# mkdir /public  #创建一个共享文件

[[email protected] ~]# echo 123 > /public/123.txt

[[email protected] ~]# vim /etc/exports

/public   172.25.0.0/24(ro)  #只读

3.重起服务

[[email protected] ~]# systemctl restart nfs-server

[[email protected] ~]# systemctl enable nfs-server

 

客户端：Desktop0  (vim命令模式下，按o可以另起一行进入插入模式)

[[email protected] ~]# showmount -e 172.25.0.11    #查看共享

[[email protected] ~]# mkdir /mnt/nfs01    #创建挂载点

[[email protected] ~]# vim /etc/fstab

172.25.0.11:/public  /mnt/nfs01   nfs  _netdev 0 0

[[email protected] ~]# mount -a

[[email protected] ~]# df -h

1.2安全的NFS服务（还原所有classroom、server、desktop的环境）

1.还原所有classroom、server、desktop

2.修改两台虚拟机server、desktop防火墙默认区域为trusted

[[email protected] ~]# firewall-cmd --set-default-zone=trusted

[[email protected] ~]# firewall-cmd --set-default-zone=trusted

3.实现用户统一

– 结合 LDAP + kerberos 技术,实现认证和加密支持

– 同一个 kerberos 领域内,认证用密码

[[email protected] ~]# lab nfskrb5 setup   #加入 LDAP+kerberos (提前做好的命令)

[[email protected] ~]# lab nfskrb5 setup  #加入 LDAP+kerberos

4.验证：

[[email protected] ~]# id ldapuser10

[[email protected] ~]# id ldapuser10

 

服务端Server

1.部署与kerberos通信加密的密钥（预先做好的）

wget http://classroom/pub/keytabs/server0.keytab -O /etc/krb5.keytab

2.配置NFS读写的共享

[[email protected] ~]# mkdir /nsd

[[email protected] ~]# touch /nsd/123.txt

[[email protected] ~]# vim /etc/exports

 /nsd        172.25.0.0/24(rw,sec=krb5p)  #加密的方式为krb5p

3.必须同时重起服务nfs-server、nfs-secure-server

# systemctl restart nfs-server nfs-secure-server

4.为了做题，让ldapuser0具备写权限，赋予他本地的写权限

setfacl  -m  u:ldapuser0:rwx   /nsd 

chown ldapuser0 /protected/project/

[[email protected] ~]# chown ldapuser0 /protected/project/

客户端Desktop：

1.部署与kerberos通信加密的密钥

wget http://classroom/pub/keytabs/desktop0.keytab -O /etc/krb5.keytab

2.修改/etc/fstab开机自动挂载配置文件

[[email protected] ~]# mkdir /mnt/test

[[email protected] ~]# vim /etc/fstab

172.25.0.11:/nsd   /mnt/test  nfs  _netdev,sec=krb5p   0 0 #注意服务端共享路径的格式，和samba的区别

重起客户端nfs加密服务

[[email protected] ~]# systemctl restart nfs-secure

[[email protected] ~]# mount -a

[[email protected] ~]# df -h

3.验证ldapuser0是否有写权限：

[[email protected] ~]# ssh [email protected]

[email protected]'s password: 密码为 kerberos

[[email protected] test]$ cd /mnt/test

[[email protected] test]$ touch ldapuser0.txt