########NFS文件的存储########
**NFS文件系统
**保护NFS输出
#########NFS概念####
###网络文件系统(NFS)是Unix系统和网络附加存储文件管理器常用的网络文件系统,允许多个客户端通过网络共享文件访问。它可用于提供对共享二进制目录的访问,也可用于允许用户在同一工作组中从不同客户端访问其文件。
###NFS协议有多个版本:Linux支持版本4、版本3和版本2, 而大多数系统管理员熟悉的是NFSv3。默认情况下,该协议并不安全,但是更新的版本(如NFSv4)提供了对更安全的身份验证的支持,甚至可以通过kerberos进行加密。
########################
####### nfs ############
########################
1.启用服务
yum install nfs-utils -y
systemctl enbale nfs-server
systemctl start nfs-server
firewall-cmd --permanent --add-service=nfs
firewall-cmd --permanent --add-service=rpc-bind
firewall-cmd --permanent --add-service=mountd
firewall-cmd --reload
firewall-cmd --list-all
测试:查看共享是否启动服务
showmount -e 172.25.254.162
2.共享目录/public
vim /etc/exports ##man 5 exportfs
要共享的目录 共享方式
/public *(sync) ##public共享给所有人并且数据同步
##150主机可共享不可写
/public 172.25.254.0/24(sync) ##public共享给172.25.254.0/24网段
##62主机不可共享
/public *.example.com(sync) ##public共享给example.com域的所有主机
##desktop62.example.com可共享
/public 172.25.254.150(ro,sync) 172.25.254.62(rw,sync) ##public共享给150是只读,62是读写
##150主机不可写
/public 172.25.254.62(rw,sync,no_root_squash) ##public共享给62主机,当客户端使用root挂载不转换用户身份
/public *(rw,sync,anonuid=1001,anongid=1000) ##public共享给所有人以1001为uid,1000为gid
exportfs -rv ##刷新共享
测试:从客户端查看并挂载共享
mount 172.25.254.162:/public /mnt/
3.利用kerberos保护nfs输出
在server上
开启kerberos认证,得到ldap用户
wget http://172.25.254.254/pub/keytabs/server36.keytab -O /etc/krb5.keytab
[[email protected] ~]# ktutil
ktutil: rkt /etc/krb5.keytab
ktutil: list
systemctl start nfs-secure-server
systemctl enable nfs-secure-server
vim /etc/exports
/public *(rw,sec=krb5p)
exportfs -rv ##刷新共享
在desktop上
开启kerberos认证,得到ldap用户
wget http://172.25.254.254/pub/keytabs/desktop36.keytab -O /etc/krb5.keytab
systemctl start nfs-secure
systemctl enable nfs-secure
[[email protected] ~]# ktutil ##查看获取的keytab
ktutil: rkt /etc/krb5.keytab
ktutil: list
mount 172.25.254.136:/public /mnt -o sec=krb5p
su - student
cd /mnt
su - ldapuser1
klist
ls /mnt
