305.4 Ejercicios - NFS

Pregunta 1

¿Qué nivel de seguridad NFSv4 proporciona autenticación Kerberos con cifrado completo de datos?

a) sec=krb5 b) sec=krb5i c) sec=krb5p d) sec=krb5e

Respuesta

c) sec=krb5p

sec=krb5p proporciona el nivel más alto de seguridad: autenticación Kerberos, verificación de integridad y cifrado completo (privacidad) de todos los datos transmitidos. La “p” significa “privacy” (privacidad).

Pregunta 2

En /etc/exports, ¿cómo se especifica que una exportación acepta tanto krb5 como krb5i?

a) sec=krb5,krb5i b) sec=krb5:krb5i c) sec=krb5+krb5i d) sec=krb5|krb5i

Respuesta

b) sec=krb5:krb5i

En /etc/exports, los múltiples mecanismos de seguridad se separan con dos puntos (:). Por ejemplo, sec=krb5:krb5i:krb5p acepta cualquiera de los tres niveles de seguridad Kerberos.

Pregunta 3

¿Qué servicio moderno gestiona las credenciales GSS-API (Kerberos) para NFS?

a) rpc.gssd b) rpc.svcgssd c) gssproxy d) krb5kdc

Respuesta

c) gssproxy

gssproxy es el servicio moderno que reemplaza a rpc.gssd (cliente) y rpc.svcgssd (servidor) para la gestión de credenciales GSS-API en NFS con Kerberos. Proporciona una gestión más segura y eficiente de las credenciales.

Pregunta 4

¿Qué sucede si el parámetro Domain en /etc/idmapd.conf no coincide entre el servidor y el cliente NFSv4?

a) La conexión NFS falla completamente b) Todos los archivos aparecen como propiedad de nobody:nobody c) Los archivos se montan como solo lectura d) El rendimiento se degrada significativamente

Respuesta

b) Todos los archivos aparecen como propiedad de nobody:nobody

Si el Domain de idmapd no coincide entre servidor y cliente, el mapeo de identidades falla y todos los archivos se muestran con propietario y grupo nobody:nobody, ya que el sistema no puede traducir los nombres de usuario correctamente.

Pregunta 5

¿Qué principal Kerberos necesita el servidor NFS en su keytab?

a) host/nfsserver@REALM b) nfs/nfsserver.dominio@REALM c) krbtgt/REALM@REALM d) HTTP/nfsserver@REALM

Respuesta

b) nfs/nfsserver.dominio@REALM

El servidor NFS necesita un keytab con el principal nfs/FQDN@REALM. Este principal se crea en FreeIPA con ipa service-add nfs/nfsserver.dominio y el keytab se obtiene con ipa-getkeytab.

Pregunta 6

¿Cómo se almacenan los mapas de automount centralizadamente en FreeIPA?

a) En archivos /etc/auto.* sincronizados por rsync b) En el directorio LDAP de FreeIPA, accesibles vía SSSD c) En una base de datos SQL de FreeIPA d) En el share SYSVOL de FreeIPA

Respuesta

b) En el directorio LDAP de FreeIPA, accesibles vía SSSD

FreeIPA almacena los mapas de automount en su directorio LDAP (389 DS). Los clientes acceden a estos mapas a través de SSSD configurando automount: sss en /etc/nsswitch.conf.

Pregunta 7

¿Qué comando de FreeIPA se usa para crear un servicio NFS antes de obtener su keytab?

a) ipa nfs-add nfsserver.empresa.local b) ipa service-add nfs/nfsserver.empresa.local c) ipa host-add-service nfsserver nfs d) ipa-getkeytab -p nfs/nfsserver

Respuesta

b) ipa service-add nfs/nfsserver.empresa.local

ipa service-add registra un servicio Kerberos en FreeIPA. El formato del principal es servicio/FQDN. Después de crear el servicio, se obtiene el keytab con ipa-getkeytab.

Pregunta 8

¿Qué diferencia hay entre sec=sys y sec=krb5 en NFSv4?

a) No hay diferencia, son equivalentes b) sys usa UID/GID sin verificar identidad; krb5 autentica mediante Kerberos c) sys es más seguro porque verifica el sistema operativo d) krb5 solo funciona con NFSv3

Respuesta

b) sys usa UID/GID sin verificar identidad; krb5 autentica mediante Kerberos

sec=sys confía en el UID/GID que envía el cliente sin verificación (susceptible a suplantación si un usuario tiene el mismo UID en otra máquina). sec=krb5 usa Kerberos para verificar criptográficamente la identidad del usuario.

Pregunta 9

¿Qué comando limpia la caché de mapeo de identidades de NFSv4?

a) nfsidmap -c b) idmap --clear c) nfs-cache clear d) exportfs -c

Respuesta

a) nfsidmap -c

nfsidmap -c limpia la caché de mapeo de identidades del kernel NFSv4. Esto es útil cuando se han realizado cambios en /etc/idmapd.conf o en la configuración de NSS y se necesita que los nuevos mapeos surtan efecto.

Pregunta 10

Un administrador quiere configurar automount centralizado en FreeIPA para que los clientes monten /nfs/datos desde nfsserver.empresa.local:/export/datos con Kerberos. ¿Cuál es la secuencia correcta de comandos?

a) Solo crear el archivo /etc/auto.nfs en cada cliente b) ipa automountmap-add, luego ipa automountkey-add para auto.master y para el mapa c) ipa nfs-export-add seguido de ipa automount-enable d) Configurar SSSD con nfs_provider = ipa

Respuesta

b) ipa automountmap-add, luego ipa automountkey-add para auto.master y para el mapa

La secuencia correcta es: 1) ipa automountmap-add default auto.nfs para crear el mapa, 2) ipa automountkey-add default auto.master --key=/nfs --info=auto.nfs para añadir la entrada en auto.master, 3) ipa automountkey-add default auto.nfs --key=datos --info="-fstype=nfs4,sec=krb5 nfsserver.empresa.local:/export/datos" para definir el punto de montaje.

Pregunta 11

¿Qué opción de /etc/exports mapea el usuario root del cliente al usuario nobody en el servidor?

a) no_root_squash b) all_squash c) root_squash d) anon_squash

Respuesta

c) root_squash

root_squash es la opción por defecto en NFS que mapea las solicitudes del usuario root (UID 0) del cliente al usuario nobody en el servidor. Esto previene que un root remoto tenga privilegios de root sobre los archivos exportados. no_root_squash desactiva este comportamiento.

Pregunta 12

¿Qué daemon legacy gestionaba las credenciales Kerberos en el lado del servidor NFS, ahora reemplazado por gssproxy?

a) rpc.gssd b) rpc.svcgssd c) rpc.mountd d) rpc.nfsd

Respuesta

b) rpc.svcgssd

rpc.svcgssd era el daemon del servidor NFS que validaba las credenciales Kerberos de los clientes. rpc.gssd era su equivalente en el cliente. Ambos han sido reemplazados por gssproxy, que gestiona las credenciales GSS-API tanto en servidor como en cliente.

Pregunta 13

¿Qué opción en /etc/nsswitch.conf permite que autofs consulte los mapas de automount almacenados en LDAP vía SSSD?

a) automount: ldap files b) automount: sss files c) automount: ipa files d) automount: sssd ldap

Respuesta

b) automount: sss files

La entrada automount: sss files en /etc/nsswitch.conf indica al servicio autofs que primero consulte SSSD (que accede al LDAP de FreeIPA) y luego los archivos locales para obtener los mapas de automount.

Pregunta 14

¿Qué método de traducción en idmapd.conf se recomienda en entornos con FreeIPA y SSSD?

a) Method = static b) Method = umich_ldap c) Method = nsswitch d) Method = direct

Respuesta

c) Method = nsswitch

Method = nsswitch es el método recomendado porque utiliza el sistema de resolución de nombres del sistema operativo (NSS), que en entornos FreeIPA está configurado para consultar SSSD. Esto permite que idmapd resuelva los nombres de usuario de forma centralizada.

Pregunta 15

¿Qué opción de /etc/exports mapea todos los usuarios del cliente (no solo root) al usuario nobody?

a) root_squash b) all_squash c) no_root_squash d) anon_uid

Respuesta

b) all_squash

all_squash mapea todas las solicitudes de todos los usuarios (no solo root) al usuario nobody en el servidor. Es útil para exports públicos donde no se necesita autenticación individual y todos los accesos deben realizarse con los mismos permisos.

Pregunta 16

¿Qué comando muestra las exportaciones NFS activas en el servidor con sus opciones?

a) showmount -e b) exportfs -v c) nfsstat -e d) rpcinfo -e

Respuesta

b) exportfs -v

exportfs -v muestra todas las exportaciones NFS activas con sus opciones detalladas en el servidor. showmount -e también lista las exportaciones pero desde la perspectiva del cliente y sin el mismo nivel de detalle en opciones.

Pregunta 17

¿Qué comando de FreeIPA crea una ubicación de automount?

a) ipa automount-add default b) ipa automountlocation-add default c) ipa automount-location-create default d) ipa autofs-location-add default

Respuesta

b) ipa automountlocation-add default

ipa automountlocation-add crea una ubicación de automount en FreeIPA que actúa como contenedor para los mapas de automount. La ubicación default es la más común y puede configurarse en sssd.conf con ipa_automount_location = default.

Pregunta 18

¿Qué ocurre si un cliente NFSv4 intenta montar con sec=krb5p una exportación configurada solo con sec=krb5?

a) El montaje se realiza con sec=krb5 automáticamente b) El montaje falla porque krb5p no es un nivel permitido c) El montaje se realiza con sec=krb5p ignorando la configuración del servidor d) El servidor negocia automáticamente al nivel más alto disponible

Respuesta

b) El montaje falla porque krb5p no es un nivel permitido

Si la exportación solo especifica sec=krb5, el cliente debe usar exactamente ese nivel de seguridad. Para permitir múltiples niveles, se deben listar todos separados por dos puntos en el servidor: sec=krb5:krb5i:krb5p.

Pregunta 19

¿Qué comando activa la depuración NFS en el kernel para diagnosticar problemas?

a) nfsstat --debug b) rpcdebug -m nfs -s all c) nfs-debug --enable d) exportfs --debug

Respuesta

b) rpcdebug -m nfs -s all

rpcdebug -m nfs -s all activa todos los mensajes de depuración NFS en el kernel. Los mensajes se envían a los logs del kernel y se pueden consultar con dmesg o journalctl. Para desactivar la depuración se usa rpcdebug -m nfs -c all.

Pregunta 20

¿Qué campo de /etc/idmapd.conf define el usuario al que se mapean las identidades que no pueden resolverse?

a) Default-User b) Anonymous-User c) Nobody-User d) Fallback-User

Respuesta

c) Nobody-User

El parámetro Nobody-User en la sección [Mapping] de idmapd.conf define el usuario al que se mapean las identidades que no pueden resolverse correctamente. Por defecto es nobody. El parámetro equivalente para grupos es Nobody-Group.

Pregunta 21

Escribe el comando para montar un export NFS con autenticación Kerberos y cifrado completo desde nfsserver.empresa.local:/srv/nfs/datos en /mnt/datos.

Respuesta

mount -t nfs4 -o sec=krb5p nfsserver.empresa.local:/srv/nfs/datos /mnt/datos

Se usa mount -t nfs4 para montar un export NFSv4. La opción sec=krb5p activa Kerberos con privacidad (cifrado completo de datos), que es el nivel más alto de seguridad disponible.

Pregunta 22

Escribe el comando para limpiar la cache de mapeo de identidades de NFSv4.

Respuesta

nfsidmap -c

nfsidmap -c limpia la cache de mapeo de identidades del kernel NFSv4. Es necesario ejecutar este comando después de cambiar la configuración de /etc/idmapd.conf o la resolución de nombres para que los nuevos mapeos surtan efecto.

Pregunta 23

Escribe el comando para registrar el servicio NFS del host nfsserver.empresa.local en FreeIPA.

Respuesta

ipa service-add nfs/nfsserver.empresa.local

ipa service-add registra un principal Kerberos de servicio en FreeIPA. El formato es servicio/FQDN. Después de registrar el servicio, se puede obtener el keytab con ipa-getkeytab para que el servidor NFS pueda autenticarse.

Pregunta 24

Escribe el comando para reexportar todos los directorios de /etc/exports y mostrar la información detallada.

Respuesta

exportfs -arv

exportfs -arv reexporta todos los directorios configurados en /etc/exports. La opción -a aplica a todas las exportaciones, -r reexporta (sincroniza la tabla de exportaciones del kernel con /etc/exports) y -v muestra información detallada de cada exportación.

Pregunta 25

Escribe el comando para verificar el contenido del keytab Kerberos ubicado en /etc/krb5.keytab.

Respuesta

klist -kt /etc/krb5.keytab

klist -kt muestra los principales Kerberos almacenados en un archivo keytab junto con sus timestamps. La opción -k indica que se lee un keytab (no la cache de tickets) y -t muestra las marcas temporales de cada entrada.