快捷搜索:

同时访问 DFS 和 NFS V4 目录

小序

IBM® 散播式文件系统(Distributed File System,DFS)必要应用散播式谋略情况(Distribute Computing Environment,DCE)作为其先决前提。收集文件系统(Network File System,NFS)是在收集中存储文件的散播式文件系统,它容许您造访远程系统中的文件和目录,并将这些文件和目录作为本地文件和目录进行处置惩罚。NFS 版本 4 (NFS V4) 是 NFS 的、最新定义的客户端到办事器的协议。NFS V4(NFS V3 的重大年夜进级)定义于 IETF 的框架之下,并且在实现和应用 NFS 的要领上引入了一些变动,包括更强的安然性、广域网共享以及更广泛的平台适应性。NFS V4 应用 Kerberos 实现和 IBM Network Authentication Service (NAS) 来供给安然性。

本文为您供给了响应的指示和设置设置设备摆设摆设步骤,以便同时对 DFS 和 NFS V4 目录进行造访。当您从 DFS 迁移到 NFS V4 的时刻,这些指示和设置设置设备摆设摆设步骤将是异常有用的。本文还解答了一些常见的问题,如:

可以应用 DCE 身份验证办事器作为带 Kerberos 客户真个 NFS V4 的 Kerberos 办事器吗?

必要设置设置设备摆设摆设另一个 Kerberos 或者 NAS 办事器吗?

可以应用 DCE 凭证(证书)吗?

图 1. 问题

本文假定已具备以下前提:

DCE 和 DFS 设置设置设备摆设摆设已经存在。出于完备性斟酌,供给了用以设置 DCE 单元的敕令。

在缺省环境下,IBM AIX® 5.3.0.0 附带了 NFS V4。在 AIX 5.3 Expansion Pack 中,供给了 IBM NAS 和 NFS V4 文件集。

NFS 和 DCE 安然办事器应用的安然层遵照 Kerberos 协议(版本 5)。是以,可以将 DCE 安然办事器作为密钥分发中间 (KDC),以进行 Kerberos 客户端身份验证。DCE 安然办事器只支持 DES 加密类型,是以 Kerberos 客户端也只支持 DES 加密类型。由于 DCE 不支持 kadmind 办事器(平日这是必须的,由 IBM NAS 所供给),以是您不能应用 kadmin 接口进行 NAS 治理。必要应用各类 DCE 办事,以便进行治理。

设置 DCE

在 AIX 中,可以应用 config.dce 脚原先安装和设置设置设备摆设摆设 DCE 办事器。

下面的示例将在主机名为 aixdce17.in.ibm.com 的 AIX 系统中设置设置设备摆设摆设 DCE。对付这个场景和设置设置设备摆设摆设,cell_admin 的密码为 test。

#config.dce -cell_name migrate_test -cell_admin cell_admin

-dce_hostname aixdce17.in.ibm.com sec_srv cds_srv

#show.cfg

Gathering component state information...

Component Summary for Host: aixdce17.in.ibm.com

Component    Configuration State  Running State

Security Master server        Configured      Running

Security client            Configured      Running

RPC                  Configured      Running

Initial Directory server       Configured      Running

Directory client           Configured      Running

The component summary is complete.

在设置设置设备摆设摆设了 DCE 之后,请反省 /etc/krb5.conf 文件。aixdce17.in.ibm.com 上 /etc/krb5.conf 的示例内容如下:

$cat /etc/krb5.conf

[libdefaults]

default_realm = migrate_test

default_keytab_name = /krb5/v5srvtab

default_tkt_enctypes = des-cbc-crc

default_tgs_enctypes = des-cbc-crc

[realms]

migrate_test = {

kdc = aixdce17.in.ibm.com:88

}

[domain_realm]

aixdce17.in.ibm.com = migrate_test

[libdefaults]

default_realm = migrate_test

default_keytab_name = FILE:/etc/krb5/krb5.keytab

default_tkt_enctypes = des-cbc-crc

default_tgs_enctypes = des-cbc-crc

[realms]

migrate_test = {

kdc = aixdce17.in.ibm.com:88

default_domain = in.ibm.com

}

[domain_realm]

.in.ibm.com = migrate_test

aixdce17.in.ibm.com = migrate_test

[logging]

kdc = FILE:/var/krb5/log/krb5kdc.log

admin_server = FILE:/var/krb5/log/kadmin.log

default = FILE:/var/krb5/log/krb5lib.log

当在 aixdce3.in.ibm.com 上考试测验应用 kinit 敕令得到相关凭证(应用主体 cell_admin,密码为 test)时,将显示下面的差错消息:

# kinit cell_admin

Unable to obtain initial credentials.

Status 0x96c73a26 - Incorrect net address.

假如您在 DCE 中为 KDC 组件启用了 syslog 日志记录,那么您将发明,NAS 客户端向 KDC 发送了一则不包孕收集地址的哀求。而作为相应,KDC 发送一条收集地址差错的消息给 NAS 客户端。下面的 syslog 消息显示了 NAS 客户端和 DCE KDC 办事器之间的对话:

g 10 00:51:55 aixdce17 secd[17538]: AS_REQ 9.182.192.103(88): NO ADDRESS: cell_admin

@migrate_test for krbtgt/migrate_test@migrate_test, Incorrect net address (dce / krb)

要办理这个问题,可以改动 NAS 客户真个 krb5.conf 文件,在加密类型规范下面添加一节 noaddresses = false。示例 NAS 客户端 krb5.conf 文件如下所示:

接下来,设置带 NAS 客户端(设置设置设备摆设摆设为应用 DCE 办事器作为 KDC)的 NFS V4。

设置 NFS 办事器

输入下面的内容,以反省 NFS V4 文件集是否存在:# lslpp -l | grep nfs

bos.net.nfs.client    5.3.0.50 COMMITTED Network File System Client

bos.net.nfs.client    5.3.0.50 COMMITTED Network File System Client

输入下面的敕令,以反省根基操作系统运行时版本。# lslpp -Lqc bos.rte

bos:bos.rte:5.3.0.50: : :C: :Base Operating System Runtime: : : : : : :1:0:

反省 AIX 的版本:#cat /usr/lpp/bos/aix_release.level

5.3.0.0

反省加密库是否存在。这个文件集是应用 Kerberos 设置设置设备摆设摆设 NFS V4 所必须的:#lslpp -l | grep modcrypt

modcrypt.base.includes  5.3.0.75 COMMITTED Cryptographic Library Include

modcrypt.base.lib     5.3.0.75 COMMITTED Cryptographic Library

(libmodcrypt.a)

进行反省,以确保 NFS 组的所有子系统都处于运行状态:#lssrc -g nfs

Subsystem     Group      PID     Status

biod      nfs  9390    active

nfsd      nfs  15854    active

rpc.mountd    nfs  10928    active

nfsrgyd    nfs  12254    active

gssd      nfs  18170    active

rpc.lockd    nfs  18770    active

rpc.statd    nfs  10352    active

将这个文件复制到 NAS 客户真个 /etc/krb5,并将其重命名为 krb5.keytab。现在,NAS 客户端 (aixdce3.in.ibm.com) 上的 keytab 文件与 DCE 办事器 (aixdce17.in.ibm.com) 上的 keytab 文件是相同的。

要验证 NAS 客户端上是否包孕精确的 keytab 文件,可以输入下面的内容:

# /usr/krb5/sbin/ktutil

ktutil: read_kt /etc/krb5/krb5.keytab

ktutil: l

slot  KVNO  Principal

------ ------ ------------------------------------------------------

1   1 hosts/aixdce17.in.ibm.com/self@migrate_test

2   1 host/aixdce17.in.ibm.com@migrate_test

3   2 host/aixdce17.in.ibm.com@migrate_test

4   1 ftp/aixdce17.in.ibm.com@migrate_test

5   2 ftp/aixdce17.in.ibm.com@migrate_test

6   1 hosts/aixdce17.in.ibm.com/cds-server@migrate_test

7   2 hosts/aixdce17.in.ibm.com/cds-server@migrate_test

8   2 hosts/aixdce17.in.ibm.com/self@migrate_test

9   1 nfs/aixdce3.in.ibm.com@migrate_test

ktutil: q

要查看您应用 NAS 客户端 (aixdce3.in.ibm.com) 上的 keytab 文件所得到的凭证,可以输入下面的内容:# kinit -kt /etc/krb5/krb5.keytab nfs/aixdce3.in.ibm.com

# klist

Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0

Default principal: nfs/aixdce3.in.ibm.com@migrate_test

Valid starting   Expires      Service principal

08/14/07 06:51:58 08/15/07 06:51:56 krbtgt/migrate_test@migrate_test

设置 DFS 和 NFS 客户端

将导出的文件系统挂载到 NFS V4 客户端谋略机,此中 DCE 客户端 (aixdce25.in.ibm.com) 设置设置设备摆设摆设到 DCE 办事器 (aixdce17.in.ibm.com)。其条件前提是,DCE 客户端上必须存在 NAS,但不应该对其进行设置设置设备摆设摆设。必要供给 DCE 客户端,同时对其进行设置设置设备摆设摆设。

反省在 aixdce25.in.ibm.com 上是否安装了 NAS。# lslpp -l | grep krb5

krb5.client.rte      1.4.0.7 COMMITTED Network Authentication Service

krb5.client.samples    1.4.0.7 COMMITTED Network Authentication Service

krb5.doc.Ja_JP.html    1.4.0.7 COMMITTED Network Auth Service HTML

krb5.doc.Ja_JP.pdf     1.4.0.7 COMMITTED Network Auth Service PDF

krb5.doc.en_US.html    1.4.0.7 COMMITTED Network Auth Service HTML

krb5.doc.en_US.pdf     1.4.0.7 COMMITTED Network Auth Service PDF

krb5.doc.ko_KR.html    1.4.0.7 COMMITTED Network Auth Service HTML

krb5.doc.ko_KR.pdf     1.4.0.7 COMMITTED Network Auth Service PDF

krb5.doc.zh_CN.html    1.4.0.7 COMMITTED Network Auth Service HTML

krb5.doc.zh_CN.pdf     1.4.0.7 COMMITTED Network Auth Service PDF

krb5.lic          1.4.0.7 COMMITTED Network Authentication Service

krb5.msg.en_US.client.rte 1.4.0.7 COMMITTED Network Auth Service Client

krb5.server.rte      1.4.0.7 COMMITTED Network Authentication Service

krb5.toolkit.adt      1.4.0.7 COMMITTED Network Authentication Service

krb5.client.rte      1.4.0.7 COMMITTED Network Authentication Service

krb5.server.rte      1.4.0.7 COMMITTED Network Authentication Service

您可能还会对下面的文章感兴趣: