Школьный сервер LDAP + Kerberos + NFS

Краткое описание

Целью является создание школьного сервера со следующим функционалом:

1. Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
2. Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

1. LDAP для хранения базы пользователей.
2. Kerberos для хранения паролей и авторизации.
3. SSSD для подключения к LDAP и Kerberos.
4. NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

1. Роса "Фреш" 13, версия Server для сервера.
2. Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.

Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

Установка дистрибутивов и общие идеи конфигурации

Дистрибутивы Роса "Фреш" 13 можно скачать по ссылке. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя НЕ ДОЛЖЕН находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы.

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.

mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе. Для уменьшения числа записей на диск, эту файловую систему нужно монтировать с параметром noatime.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.

dnf install -y task-lxqt

Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).

dnf install -y virtualbox-guest-additions

Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).

systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target

Настройка доменных имён

Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён [поможет ли в этом Avahi?]. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).

hostnamectl set-hostname server.sch179.local

На клиенте выполните аналогичную команду (от root).

hostnamectl set-hostname ws01.sch179.local

В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида

192.168.1.1 ws01.sch179.local ws01

Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя. На клиентском компьютере запишите в этот файл адрес и имя сервера - строку вида.

192.168.0.1 server.sch179.local server

Настройка OpenLDAP на сервере

LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

Установка и запуск

Установите на сервере пакеты (команда от root).

dnf install -y openldap-servers openldap-clients

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть ошибка, поэтому если вы видите такие ошибки при установке пакета, выполните после установки команды.

chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

Включите и запустите службу LDAP (команда от root).

systemctl enable --now slapd

Проверьте, что LDAP запущен и отвечает на запросы (команда от root).

systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

Создание базы и записи администратора LDAP

Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду

slappasswd

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:

{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.

dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

Добавьте содержимое этого файла в базу LDAP.

ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif

Проверка созданной базы командой.

ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"

Добавление схем

Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

Для проверки введите команду:

ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn

Она должна вывести текст, в котором есть строки:

dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

Создание базовой структуры организации

Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.

dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator

Добавление в LDAP (не забудьте заменить sch179 на своё название):

ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif

При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее. Для проверки введите команду (не забудьте заменить sch179 на своё название):

ldapsearch -x -b "dc=sch179,dc=local"

Создание групп пользователей

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.

dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students

Добавление этого файла в LDAP (команда от root):

ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif

Проверка - запрос информации обо всех группах:

ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"

Создание пользователей

Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости.

dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

Добавление:

ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif

Проверка:

ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"

Настройка Kerberos на сервере

Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

Установка пакетов

dnf install -y krb5-server krb5-libs krb5-workstation

Настройка главного конфига Kerberos

Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже).

includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = SCH179.LOCAL
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 SCH179.LOCAL = {
  kdc = server.sch179.local
  admin_server = server.sch179.local
 }

[domain_realm]
 .sch179.local = SCH179.LOCAL
 sch179.local = SCH179.LOCAL

Создание базы данных

Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.

kdb5_util create -s

Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

Конфигурация базы данных Kerberos

Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.

[realms]
 SCH179.LOCAL = {
  database_name = /var/kerberos/krb5kdc/principal
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
  kdc_ports = 88
  kdc_tcp_ports = 88
  max_life = 24h
  max_renewable_life = 7d
  default_principal_flags = +forwardable
 }

Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.

*/admin@SCH179.LOCAL *

Включение и запуск служб

Выполните команду.

systemctl enable --now krb5kdc
systemctl enable --now kadmin

Создание принципала kadmin/admin

В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой

kadmin.local listprincs

Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать. Для создания этого принципала запустите kadmin.local и в его консоли введите команду.

addprinc kadmin/admin

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

Создание принципалов для пользователей

Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,

addprinc teacher1
addprinc student1

Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:

kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789. Вывести список всех принципалов, хранящихся в Kerberos, можно командой.

kadmin.local -q list_principals

Доступ к LDAP и Kerberos через SSSD

sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а она в свою очередь обращается к LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

Установка пакетов

dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation

Настройка sssd

Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.

[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true

Установите на этот файл права.

chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf

Настройка Kerberos

На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

Настройка Name Service Switch (nss)

В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки на следующие:

passwd:     files sss
shadow:     files sss
group:      files sss

Настройка PAM

PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).

auth        sufficient    pam_sss.so use_first_pass

account     [default=bad success=ok user_unknown=ignore] pam_sss.so

password    sufficient    pam_sss.so use_authtok

session     optional      pam_sss.so
session     required      pam_mkhomedir.so skel=/etc/skel umask=0077

Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.

#%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_unix.so try_first_pass likeauth nullok
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     [default=bad success=ok user_unknown=ignore] pam_sss.so

password    sufficient    pam_unix.so try_first_pass nullok sha512 shadow
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_env.so
session     optional      pam_umask.so
session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so
session     required      pam_mkhomedir.so skel=/etc/skel umask=0077

Сделайте такие же правки в файле /etc/pam.d/pasword-auth

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. (проверить информацию).

Запуск служб

systemctl enable --now sssd

Проверка аутентификации

Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.

getent passwd teacher1

Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.

id teacher1

Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.

kinit teacher1

Выведите информацию о полученных билетах.

klist

Удалите полученный билет командой

kdestroy

Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.

su - teacher1

Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root).

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в десктоп-менеджере.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

Настройка NFS на сервере

Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

Установка пакетов

Установите нужные пакеты.

dnf install -y nfs-utils krb5-server krb5-workstation

Включение и запуск служб

Включите и запустите нужные службы.

systemctl enable --now nfs-server 
systemctl enable --now rpcbind
systemctl enable --now gssproxy

Настройка idmapd

Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.

[General]
Domain = sch179.local

Создание ключей Kerberos

На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду

kadmin.local

В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

Этот ключ необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.

addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

Проверим, что ключи были созданы и экспортированы, для этого введите команду от root

klist -k /etc/krb5.keytab

Вывод будет таким.

Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   2 nfs/server.sch179.local@SCH179.LOCAL
   2 nfs/server.sch179.local@SCH179.LOCAL

Экспорт /home на сервере

Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку

/home 192.168.0.0/16(rw,sec=krb5p,async,no_subtree_check)

192.168.0.0/16 - сеть, из которой разрешён доступ (поменяйте, как вам нужно)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Обратите внимание на параметр asynс, без него сеть будет работать медленно. Он должен быть обязательно включён.

Примените изменения командой

exportfs -ra

Проверьте, что система экспортируется, выполнив команду

exportfs -v

Настройка NFS на клиенте

Установка пакетов

Установите нужные пакеты.

dnf install nfs-utils krb5-workstation

Копирование ключей Kerberos

Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой

klist -k /etc/krb5.keytab

Включение и запуск служб

Запустите нужные службы.

systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

Настройка idmapd

Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.

[General]
Domain = sch179.local

Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.

systemctl status nfs-idmapd

На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "Active: active (running)". А на клиенте - не работает ("Active: inactive (dead)").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.

[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service

Перезагрузите клиент и проверьте, что служба nfs-idmapd успешно запущена.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

Проверка монтирования файловой системы

Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя. Этот билет нужно получить командой (выполним её от root).

kinit teacher1

Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду

klist

Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.

mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

Автомонтирование домашних каталогов при помощи autofs

Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Также это создаёт дополнительную безопасность, т.к. в результате входа пользователя (например, student1) в систему, будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим нужные пакеты.

sudo dnf install autofs

Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку

/home /etc/auto.home --timeout=60

Создадим файл /etc/auto.home и запишем в него строку.

* -sec=krb5p,rsize=1048576,wsize=1048576,hard,noatime,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&

Включим и запустим службу autofs

systemctl enable --now autofs

Включение дисковых квот

Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

Файловая система ext4

Установите пакет quota

dnf install quota

Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.

/dev/sda4 /home ext4 noatime,usrquota 0 2

В вашем файле /etc/fstab вместо /dev/... может быть указан UUID=... Отмонтируйте раздел.

umount /home

Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.

tune2fs -O quota /dev/sda4

Подмонтируйте раздел

mount /home

Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).

quotacheck -cum /home

Включите квоты на файловой системе.

quotaon /home

Файловая система xfs

В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.

/dev/sda4 /home xfs noatime,usrquota 0 2

Массовое создание пользователей

Для создания пользователя нужно выполнить следующие шаги.

1. Добавить информацию о пользователе в LDAP.
2. Создать билет Kerberos.
3. Создать домашний каталог и скопировать туда содержимое /etc/skel.
4. Установить квоты.

Для автоматизации этих действий можно использовать вот этот скрипт. Скрипт находится в разработке.