Portál AbcLinuxu, 7. května 2025 05:26

Kerberos a SSO: sdílení souborů - NFS4

NFS byl po dlouhou dobu zdrojem kritiky pro nedostatky v zabezpečení. NFS verze 4 přináší podporu Kerbera, čímž tento nedostatek odstraňuje. V dnešním dílu seriálu si ukážeme, jak nakonfigurovat NFS4 s Kerberos autentizací.

Obsah

• Konfigurace serveru
  • Ověření podpory NFS4
  • Nezbytná systémová nastavení
  • Instalace softwaru
  • Konfigurace LDAP
  • Konfigurace Kerbera
  • Příprava adresářového stromu a exportování souborových systémů
  • Konfigurace démonů
  • Spouštění démonů při startu systému
  • Ruční start služeb
• Konfigurace klienta
  • Ověření podpory NFS4
  • Instalace softwaru
  • Nezbytná systémová nastavení
  • Konfigurace démonů
  • Principal klienta
  • Start démonů
• Testování
• Závěr

Konfigurace serveru

Pro účely testování vytvoříme nový server srv-file1.firma.local, který bude plnit roli souborového serveru na bázi NFS4. Základem konfigurace tohoto stroje bude stejná konfigurace klienta našeho Kerberos/LDAP řešení jako u strojů pc1.firma.local a srv-hpc1.firma.local v předchozích dílech tohoto seriálu.

Ověření podpory NFS4

Než začneme s NFS4 experimentovat, ověříme, zda jej náš systém vůbec podporuje.

Pokud vaše distribuce NFS4 "bezbolestně" podporuje, měly by být tyto souborové systémy přimountovány automaticky bez uvedení v /etc/fstab (některé starší návody na Internetu tuto "ruční práci" uvádějí). Souborový systém nfsd slouží pro ovládání démona nfsd. Komunikace mezi jaderným modulem a démony běžícími v uživatelském prostoru probíhá přes souborový systém rpc_pipefs.

Nezbytná systémová nastavení

Protože jsme zatím nezapojili DNS, opět musíme vyřešit překlad jmen a IP adres lokálně.

Instalace softwaru

Konfigurace LDAP

I souborový server potřebuje znát informace o uživatelích z našeho LDAP. Nejdůležitější jsou samozřejmě informace o UID, GID a členství ve skupinách. Konfigurace stroje je z pohledu LDAP naprosto stejná jako v předchozích případech. Následující konfigurační soubory uvádím pouze pro úplnost.

Určitě nic nezkazíme, když si zkontrolujeme, zda souborový server účty v LDAPu vidí.

Konfigurace Kerbera

Základní konfigurace souborového serveru jako Kerberos klienta je opět zcela stejná jako v předchozích případech.

# Soubor /etc/krb5.conf na stroji srv-file1.firma.local

[realms]
 FIRMA.LOCAL = {
  kdc = srv-infra1.firma.local:88
  admin_server = srv-infra1.firma.local:749
  default_domain = firma.local
 }

[domain_realm]
 .firma.local = FIRMA.LOCAL
  firma.local = FIRMA.LOCAL

[libdefaults]
 default_realm = FIRMA.LOCAL
 dns_lookup_realm = false
 dns_lookup_kdc = false
 forwardable = yes

[logging]
 default = FILE:/var/log/kerberos/krb5libs.log

Tím to však nekončí. Služba NFS bude pro svůj provoz potřebovat principal. Ten vytvoříme, jako obvykle, pomocí nástroje kadmin.

Vytvoříme principal nfs/srv-file1.firma.local@FIRMA.LOCAL s náhodným klíčem.

Klíč tohoto principalu vyexportujeme do systémového keytabu na souborovém serveru...

...a obsah systémového keytabu pro jistotu ověříme.

[root@srv-file1 ~]# klist -ke /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   4 nfs/srv-file1.firma.local@FIRMA.LOCAL (Triple DES cbc mode with HMAC/sha1)
   4 nfs/srv-file1.firma.local@FIRMA.LOCAL (DES cbc mode with CRC-32)

V návodech na Internetu se můžeme setkat s exportováním pouze klíče pro šifrování des-cbc-crc. Stávající implementace NFS4 v Linuxu ani jiné typy šifrování nepodporuje. Nemusíme si dělat hlavu, máme-li v keytabu o nějaký ten klíč navíc.

Příprava adresářového stromu a exportování souborových systémů

NFS4 přichází s něčím, čemu se říká pseudo filesystem. Všechny exportované (sdílené) adresáře jsou pro klienta viditelné pod jedním kořenovým adresářem (fsid=0). My na našem testovacím serveru budeme pro klienty exportovat adresář /nfs4exports jako kořen pseudo filesystému. Vytvoříme v něm adresář data, který bude obsahovat adresářovou strukturu odpovídající organizační struktuře fiktivní firmy. Protože nechceme, aby zvědaví uživatelé "lezli" do adresářů jiných útvarů, nastavíme příslušná oprávnění. V praxi by zřejmě bylo vhodnější použít ACL.

V návodech dostupných na Internetu je zhusta využíván postup, ve kterém jsou další souborové systémy exportovány tak, že se pomocí příkazu mount --bind ... připojí do adresáře podřízeného kořeni pseudo filesystému. Z důvodu jednoduchosti se nyní tomuto postupu raději vyhnu. Pokud budete tento postup používat, nezapomeňte na direktivu nohide, jako se to stalo mě. Tomu, co následovalo, jsem se nestačil divit.

Adresář /nfs4exports vyexportujeme pro klienty konfigurací v souboru /etc/exports. Pro autorizaci přístupu k adresáři bude vyžadována autentizace Kerberem, což udává direktiva gss/krb5.

Místo gss/krb5 můžeme použít gss/krb5i nebo gss/krb5p. Pokud použijeme gss/krb5i, bude kontrolována integrita přenášených dat. Použijeme-li gss/krb5p, budou přenášená data navíc šifrována. V mém případě gss/krb5p nefungovalo a pokud je mi známo, tak šifrování v Linuxu podporováno zatím není.

Konfigurace démonů

Na rozdíl od předchozích verzí NFS, které používaly samostatné protokoly pro "mountování" a zamykání souborů, NFS4 řeší tyto operace přímo uvnitř NFS4 protokolu. Změnila se tedy standardní sada démonů, které pro provoz potřebujeme.

rpc.nfsd

Vlastní funkce NFS serveru je implementována v kernelovém modulu nfsd.o, démon rpc.nfsd spouští příslušný počet kernelových vláken. Tohoto démona tedy spouštíme pouze na serveru.

rpc.idmapd

V protokolu NFS4 se používají jména ve tvaru uživatel@doména, která jsou pomocí tohoto démona mapována na lokální UID a GID. Démon musí běžet jak na straně serveru, tak na straně klienta.

rpc.svcgssd

Pokud používáme k autentizaci Kerberos, musí tento démon běžet na straně serveru.

rpc.gssd

Pokud používáme k autentizaci Kerberos, musí tento démon běžet na straně klienta.

Startovací skript /etc/init.d/nfs je univerzální jak pro NFS4, tak pro NFS3, tudíž startuje i démony portmap, rpc.lockd a rpc.mountd, které pro NFS4 (údajně) nepotřebujeme. Faktem je, že bez bežícího portmaperu se mi nfsd nepodařilo spustit. To je zřejmě způsobeno tím, že nfsd slouží jak pro NFS4, tak pro NFS3, které portmaper vyžaduje.

V souboru /etc/sysconfig/nfs nastavíme, aby startovací skript /etc/init.d/nfs automaticky startoval démona rpc.idmapd volbou USE_NFS4=yes a démona rpc.svcgssd volbou SECURE_NFS=yes. Volba SECURE_NFS_MODS="rpcsec_gss_krb5" zajistí automatické natažení nezbytného jaderného modulu.

Ověříme, že existuje soubor /etc/gssapi_mech.conf s následujícím obsahem. Soubor je obvykle přítomen. V mojí distribuci (Mandriva Linux 2007.1) je součástí balíku nfs-utils-clients.

Démona rpc.idmap nastavíme v souboru /etc/idmap.conf. Nastavit je třeba zejména doménu (Domain = firma.local).

Spouštění démonů při startu systému

Jak již jsem se zmínil dříve, démoni portmap, rpc.idmap a rpc.rpcsvcgssd se startují automaticky ze startovacího skriptu /etc/init.d/nfs, přesto však mají svoje spouštěcí skripty v /etc/init.d/. Spouštění démonů proto nastavíme následovně:

[root@srv-file1 ~]# chkconfig portmap off

[root@srv-file1 ~]# chkconfig nfs on

[root@srv-file1 ~]# chkconfig rpcidmapd off

[root@srv-file1 ~]# chkconfig rpcsvcgssd off

[root@srv-file1 ~]# chkconfig  rpcgssd off

[root@srv-file1 ~]# chkconfig --list| grep portmap
portmap         0:off   1:off   2:off   3:off   4:off   5:off   6:off

[root@srv-file1 ~]# chkconfig --list | grep nfs
nfs             0:off   1:off   2:on    3:on    4:on    5:on    6:off
nfslock         0:off   1:off   2:off   3:off   4:off   5:off   6:off

[root@srv-file1 ~]# chkconfig --list | grep rpc
rpcgssd         0:off   1:off   2:off   3:off   4:off   5:off   6:off
rpcidmapd       0:off   1:off   2:off   3:off   4:off   5:off   6:off
rpcsvcgssd      0:off   1:off   2:off   3:off   4:off   5:off   6:off

Ruční start služeb

[root@srv-file1 ~]# service nfs start
Startuji služby NFS:                        [   OK   ]
Starting NFS mountd:                        [   OK   ]
Starting rpc.idmapd:                        [   OK   ]
Starting rpc.svcgssd:                       [   OK   ]
Starting NFS daemon:                        [   OK   ]

Konfigurace klienta

Jako klienta použijeme stroj pc1.firma.local z předchozích dílů seriálu. Kerberos a LDAP jsou na něm již zkonfigurovány a fungují, tudíž se jimi nemusíme zabývat.

Ověření podpory NFS4

I na klientu nejprve ověříme podporu NFS4.

Instalace softwaru

Nezbytná systémová nastavení

# Soubor /etc/hosts na stroji pc1.firma.local

127.0.0.1               localhost localhost.localdomain
172.16.51.10            srv-infra1.firma.local srv-infra1
172.16.51.11            srv-hpc1.firma.local srv-hpc1
172.16.51.130           pc1.firma.local pc1
172.16.51.12            srv-file1.firma.local srv-file1

Konfigurace démonů

Stejně jako u serveru je soubor /etc/gssapi_mech.conf vyžadován i na klientu.

# Soubor /etc/gssapi_mech.conf na stroji pc1.firma.local
...
/usr/lib/libgssapi_krb5.so.2     mechglue_internal_krb5_init
...

Nejinak je tomu se souborem /etc/idmap.conf.

Principal klienta

Na rozdíl od předchozího dílu, kde jsme vytvářeli principal pouze pro službu, u NFS4 musíme vytvořit principal i pro každý klientský stroj. Ke slovu přijde opět nástroj kadmin.

Vytvoříme principal s náhodným klíčem...

... a klíč přidáme do systémového keytabu

...jehož obsah následně ověříme.

[root@pc1 ~]# klist -k /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- ----------------------------------------------
   4 nfs/pc1.firma.local@FIRMA.LOCAL

Podívat se, zda věci opravdu fungují, není nikdy naškodu. Pustíme na zkoušku démona rpc.gssd ručně tak, aby zůstal na popředí a vypisoval na konzoli podrobný výpis. Můžeme vidět, jak používá klíč uložený v keytabu k získání ticketu.

Ticket ukládá do cache, jejíž obsah si zobrazíme (pozor: při ukončení démona se cache smaže). Pokud nám toto funguje, jsme na dobré cestě.

[root@pc1 ~]# klist /tmp/krb5cc_machine_FIRMA.LOCAL
Ticket cache: FILE:/tmp/krb5cc_machine_FIRMA.LOCAL
Default principal: nfs/pc1.firma.local@FIRMA.LOCAL

Valid starting     Expires            Service principal
05/17/08 19:05:45  05/18/08 05:05:45  krbtgt/FIRMA.LOCAL@FIRMA.LOCAL
        renew until 05/18/08 19:05:45

Start démonů

Nastavíme automatické spouštění nezbytných démonů na klientu.

Proč potřebujeme portmaper a ještě ke všemu na klientu, je mi stále poněkud záhadou. NFS4 komunikuje přes vyhrazené porty 2049/tcp, 2049/udp a portmaper údajně nepoužívá. Metodou pokus omyl jsem zjistil, že to bez něj opravdu nefunguje. Na klientu také potřebujeme jaderný modul rpcsec_gss_krb5. Jeho zavedení zajistí startovací skript démona rpc.gssd (etc/init.d/rpcgssdrpcgssd).

Služby ručně spustíme.

[root@pc1 ~]# service portmap start
Startuji portmap:                               [   OK   ]
[root@pc1 ~]# service rpcidmapd start
Starting rpc.idmapd:                            [   OK   ]
[root@pc1 ~]# service rpcgssd start
Starting rpc.gssd:                              [   OK   ]

Vytvoříme adresář, kam budeme adresáře exportované serverem na klientu mountovat.

Upravíme /etc/fstab tak, aby uživatel mohl na klientu připojit kořen pseudo filesystému ze serveru.

# Soubor /etc/fstab na stroji pc1.firma.local
...
srv-file1.firma.local:/ /mnt/nfs4       nfs4    rw,noauto,users,soft,sec=krb5   0 0

Testování

Přihlásíme se jako josef_vosahlo a připojíme exportovaný adresář ze serveru, zkontrolujeme úspěšnost operace a vypíšeme obsah připojeného souborového systému. Pokusíme se také "vlézt" do adresáře, kde nemáme co dělat, a nakonec vytvoříme na vzdáleném disku soubor příkazem touch.

[josef_vosahlo@pc1 ~]$ mount /mnt/nfs4/

[josef_vosahlo@pc1 ~]$ mount
...

srv-file1.firma.local:/ on /mnt/nfs4 type nfs4 (rw,noexec,nosuid,nodev,users,soft,sec=krb5,addr=172.16.51.12)

[josef_vosahlo@pc1 ~]$ ls -l /mnt/nfs4/data/
celkem 2
drwxrws--- 2 root finance 1024 kvě 17 19:52 finance/
drwxrws--- 3 root vyroba  1024 kvě 12 22:44 vyroba/

[josef_vosahlo@pc1 ~]$ ls -l /mnt/nfs4/data/finance/
celkem 0

[josef_vosahlo@pc1 ~]$ ls -l /mnt/nfs4/data/vyroba/
ls: /mnt/nfs4/data/vyroba/: Přístup odmítnut

[josef_vosahlo@pc1 ~]$ touch /mnt/nfs4/data/finance/pokus

[josef_vosahlo@pc1 ~]$ ls -l /mnt/nfs4/data/finance/pokus
-rw-r--r-- 1 josef_vosahlo finance 0 kvě 17 20:06 /mnt/nfs4/data/finance/pokus

Závěr

NFS se nám podařil úspěřně nakonfigurovat s podporou Kerbera. Pokud si budete s NFS4 hrát, zkuste například připojit vzdálený filesystem a následně pomocí příkazu kdestroy smazat vaše tickety. Myslíte, že přístup k datům přestane fungovat? Další zajímavý test je připojit vzdálený souborový systém pod uživatelem (např. josef_vosahlo) a zkoušet jej procházet jako root a poté z roota pomocí su změnit (lokálně) identitu na jiného uživatele (např. frantisek_hnipirdo). Myslíte, že se k datům na serveru dostanete? NFS4 pod Linuxem mi nepřijde ještě zcela zralý. V příštím díle seriálu si ukážeme, jak si s Kerberem poradí Samba.

Diskuse k tomuto článku

Ahoj,

skvely clanek, tento tyden mi pomohl k uspesne konfiguraci NFSv4 a Kerbera mezi dvema RHEL6. Doplnil bych, ze implementace NFSv4 v RHEL6 nepodporuje des-hmac-sha1, des-cbc-md5 ani des-cbc-crc. Podporuje naopak aes256-cts-hmac-sha1-96, aes128-cts-hmac-sha1-96, des3-cbc-sha1 a arcfour-hmac.

Pouzije-li se defaultni RHEL6 'supported_enctypes' v /var/kerberos/krb5kdc/kdc.conf, tak oproti clanku pak staci pouze na klientovi 'ktadd nfs/pc1...'. Prida se sice vice klicu, nicmene hned prvni a nejsilnejsi funguje...

Ad autoruv zaver: ano, i v RHEL6 by mu to asi prislo na zaklade jeho zminenych testu/overeni stale stejne nezrale na nasazeni

Jeste jednou diky za skvely serial!

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.