Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
tutoriel:samba_ad_dc_nfs4_kerberized [Le 30/11/2015, 17:56] Qedinux Création |
tutoriel:samba_ad_dc_nfs4_kerberized [Le 28/04/2016, 15:56] Qedinux [Définition des partages NFS] /export ro |
||
---|---|---|---|
Ligne 58: | Ligne 58: | ||
La configuration des partages se fait au travers du fichier ///etc/exports// | La configuration des partages se fait au travers du fichier ///etc/exports// | ||
<file - /etc/exports> | <file - /etc/exports> | ||
- | /export 192.0.2.0/24(rw,sync,fsid=0,no_subtree_check,crossmnt,sec=krb5) | + | /export 192.0.2.0/24(ro,sync,fsid=0,no_subtree_check,crossmnt,sec=krb5) |
/export/home/example 192.0.2.0/24(rw,sync,no_subtree_check,sec=krb5) | /export/home/example 192.0.2.0/24(rw,sync,no_subtree_check,sec=krb5) | ||
</file> | </file> | ||
- | La première ligne avec l'option **//fsid=0//** (ou fsid=root) définit la racine virtuelle du système de fichiers partagés. Ainsi, tous les fichiers et répertoires sous ///export// sont accessibles par le partage NFS. | + | La première ligne avec l'option **//fsid=0//** (ou fsid=root) définit la racine virtuelle du système de fichiers partagés. Il n'y a aucune nécessité de donner des droits d'écriture sur cette racine. Tous les fichiers et répertoires sous ///export// sont accessibles par le partage NFS. |
L'option **//sec=krb5//** définit le niveau de sécurité exigé. Il en existe 3: | L'option **//sec=krb5//** définit le niveau de sécurité exigé. Il en existe 3: | ||
Ligne 147: | Ligne 147: | ||
Zone 2.0.192.in-addr.arpa created successfully | Zone 2.0.192.in-addr.arpa created successfully | ||
- | samba-tool add ubndc01 2.0.192.in-addr.arpa 12 PTR ubnfs01.example.com | + | samba-tool dns add ubndc01 2.0.192.in-addr.arpa 12 PTR ubnfs01.example.com |
Record added successfully</code> | Record added successfully</code> | ||
La commande //samba-tool// utilise le ticket kerberos de l'utilisateur pour réaliser ces opérations. Si l'utilisateur n'a pas de ticket Kerberos, il peut utiliser l'option //-U Administrator//. | La commande //samba-tool// utilise le ticket kerberos de l'utilisateur pour réaliser ces opérations. Si l'utilisateur n'a pas de ticket Kerberos, il peut utiliser l'option //-U Administrator//. | ||
Ligne 188: | Ligne 188: | ||
<code>sudo net ads keytab add UBNWS01.EXAMPLE.COM\$ -U Administrator</code> | <code>sudo net ads keytab add UBNWS01.EXAMPLE.COM\$ -U Administrator</code> | ||
* Utiliser la commande //net ads join// qui sert à joindre la machine au domaine. | * Utiliser la commande //net ads join// qui sert à joindre la machine au domaine. | ||
- | <code>sudo net ads join --createupn=UBNWS01.EXAMPLE.COM\$@EXAMPLE.COM -U Administrator</code> | + | <code>sudo net ads join createupn=UBNWS01.EXAMPLE.COM\$@EXAMPLE.COM -U Administrator</code> |
<note important>Ceci va créer de nouvelles versions des identités liées à la machines (iUPN, eUPN et 2 SPN host/...). Ses nouvelles identités sont ajoutées au fichier ///etc/krb5.keytab// mais les anciennes ne sont pas automatiquement supprimées. On peut faire le ménage avec les commandes mais ceci risque d’interrompre les processus qui utilisaient les anciennes identités. | <note important>Ceci va créer de nouvelles versions des identités liées à la machines (iUPN, eUPN et 2 SPN host/...). Ses nouvelles identités sont ajoutées au fichier ///etc/krb5.keytab// mais les anciennes ne sont pas automatiquement supprimées. On peut faire le ménage avec les commandes mais ceci risque d’interrompre les processus qui utilisaient les anciennes identités. | ||
<code>sudo net ads keytab flush -U Administrator | <code>sudo net ads keytab flush -U Administrator |