rhce-05 第10-11题

发表于 | 更新于 | 分类于 | 评论数: | 热度:
rhce-05 第10-11题

rhce-05 第10-11题

题目列表

10.配置 NFS 服务

11.挂载一个 NFS 共享

10.配置 NFS 服务

在system1配置NFS服务,要求如下:

1)以只读的形式共享目录/public同时只能被example.com域中的系统访问。

2)以读写的形式共享目录/protected同时只能被example.com域中的系统访问。

3)访问/protected需要通过Kerberos安全加密,您可以使用下面提供的密钥:

http://classroom.example.com/pub/keytabs/server0.keytab

4)目录/protected应该包含名为project拥有人为ldapuser0的子目录。

5)用户ldapuser0能以读写形式访问/protected/project。

system1:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[root@localhost ~]# yum install nfs-utils -y
[root@localhost ~]# firewall-cmd --permanent --add-service=nfs
[root@localhost ~]# firewall-cmd --permanent --add-service=rpc-bind
[root@localhost ~]# firewall-cmd --permanent --add-service=mountd
[root@localhost ~]# firewall-cmd --reload 
[root@localhost ~]# 


[root@localhost ~]# mkdir -p /public /protected/project
[root@localhost ~]# chown ldapuser0  /protected/project
[root@localhost ~]# chown nfsnobody /public
[root@localhost ~]# setfacl -m u:ldapuser0:rwx /protected/project/
[root@localhost ~]# 



#设置selinux安全上下文
[root@localhost ~]# semanage fcontext -a -t 'public_content_t' '/protected(/.*)?'
[root@localhost ~]# semanage fcontext -a -t 'public_content_rw_t' '/protected/project(/.*)?'
[root@localhost ~]# restorecon -Rv /protected/
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
[root@localhost ~]# wget http://classroom.example.com/pub/keytabs/server0.keytab -O /etc/krb5.keytab

#编辑 nfs 资源导出配置文件,注意不要有多余空格
[root@system1 ~]# vim /etc/exports
/public 172.25.0.0/24(ro,sync)
/protected 172.25.0.0/24(rw,sync,sec=krb5p)

#设置nfs版本
[root@localhost ~]# vim /etc/sysconfig/nfs
RPCNFSDARGS="-V 4.2"

#重启服务
[root@localhost ~]# systemctl enable nfs-server nfs-secure-server
[root@localhost ~]# systemctl restart nfs-server nfs-secure-server
[root@localhost ~]# 

#刷新并验证导出资源
[root@localhost ~]# exportfs -ra
[root@localhost ~]# exportfs

11.挂载一个 NFS 共享

在system2上挂载一个来自system1上的NFS共享,并符合下列要求:

1)/pulbic共享挂载到本地的/mnt/nfsmount。

2)/protected挂载到本地的/mnt/nfssecure,并使用安全的方式,密钥下载地址:

http://classroom.example.com/pub/keytabs/desktop0.keytab

3)用户ldapuser0能够在/mnt/nfssecure/project上创建文件。

4)这些文件系统在系统启动时自动挂载。

system2:

1
2
#首先要明确,ldapuser0是系统预设的早已经存在的用户,不需要自己手动去添加。
[root@localhost ~]# id ldapuser0

1K1PSI.png

下面是操作步骤

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@localhost ~]# wget http://classroom.example.com/pub/keytabs/desktop0.keytab -O /etc/krb5.keytab

[root@localhost ~]# systemctl enable nfs-secure
[root@localhost ~]# systemctl restart nfs-secure
[root@localhost ~]# 

[root@localhost ~]# mkdir /mnt/nfssecure /mnt/nfsmount
[root@localhost ~]# vim /etc/fstab 
server0.example.com:/public /mnt/nfsmount nfs defaults 0 0
server0.example.com:/protected /mnt/nfssecure nfs defaults,sec=krb5p,v4.2 0 0

	
[root@localhost ~]# mount -a	
[root@localhost ~]# df -Th
#如下图挂载成功,这题基本就可以满分了

最后,验证用户ldapuser0能够在/mnt/nfssecure/project上创建文件

1
2
3
4
5
6
[root@localhost ~]# su - ldapuser0
Last login: Thu Aug  8 14:03:33 CST 2019 on pts/0
[ldapuser0@localhost ~]$ kinit
Password for ldapuser0@EXAMPLE.COM: [kerberos]
[ldapuser0@localhost ~]$ cd /mnt/nfssecure/project/
[ldapuser0@localhost project]$ touch test.txt
欢迎打赏,谢谢
------ 本文结束------
0%