Flashcards: 305.4 - Nfs
37 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Qué nivel de seguridad NFSv4 proporciona autenticación Kerberos con cifrado completo de datos?
R: c) sec=krb5p. sec=krb5p proporciona el nivel más alto de seguridad: autenticación Kerberos, verificación de integridad y cifrado completo (privacidad) de todos los datos transmitidos. La “p” significa “privacy” (privacidad).
P: En /etc/exports, ¿cómo se especifica que una exportación acepta tanto krb5 como krb5i?
R: b) sec=krb5:krb5i. En /etc/exports, los múltiples mecanismos de seguridad se separan con dos puntos (:). Por ejemplo, sec=krb5:krb5i:krb5p acepta cualquiera de los tres niveles de seguridad Kerberos.
P: ¿Qué servicio moderno gestiona las credenciales GSS-API (Kerberos) para NFS?
R: c) gssproxy. gssproxy es el servicio moderno que reemplaza a rpc.gssd (cliente) y rpc.svcgssd (servidor) para la gestión de credenciales GSS-API en NFS con Kerberos. Proporciona una gestión más segura y eficiente de las credenciales.
P: ¿Qué sucede si el parámetro Domain en /etc/idmapd.conf no coincide entre el servidor y el cliente NFSv4?
R: b) Todos los archivos aparecen como propiedad de nobody:nobody. Si el Domain de idmapd no coincide entre servidor y cliente, el mapeo de identidades falla y todos los archivos se muestran con propietario y grupo nobody:nobody, ya que el sistema no puede traducir los nombres de usuario correctamente.
P: ¿Qué principal Kerberos necesita el servidor NFS en su keytab?
R: b) nfs/nfsserver.dominio@REALM. El servidor NFS necesita un keytab con el principal nfs/FQDN@REALM. Este principal se crea en FreeIPA con ipa service-add nfs/nfsserver.dominio y el keytab se obtiene con ipa-getkeytab.
P: ¿Cómo se almacenan los mapas de automount centralizadamente en FreeIPA?
R: b) En el directorio LDAP de FreeIPA, accesibles vía SSSD. FreeIPA almacena los mapas de automount en su directorio LDAP (389 DS). Los clientes acceden a estos mapas a través de SSSD configurando automount: sss en /etc/nsswitch.conf.
P: ¿Qué comando de FreeIPA se usa para crear un servicio NFS antes de obtener su keytab?
R: b) ipa service-add nfs/nfsserver.empresa.local. ipa service-add registra un servicio Kerberos en FreeIPA. El formato del principal es servicio/FQDN. Después de crear el servicio, se obtiene el keytab con ipa-getkeytab.
P: ¿Qué diferencia hay entre sec=sys y sec=krb5 en NFSv4?
R: b) sys usa UID/GID sin verificar identidad; krb5 autentica mediante Kerberos. sec=sys confía en el UID/GID que envía el cliente sin verificación (susceptible a suplantación si un usuario tiene el mismo UID en otra máquina). sec=krb5 usa Kerberos para verificar criptográficamente la identidad del usuario.
P: ¿Qué comando limpia la caché de mapeo de identidades de NFSv4?
R: a) nfsidmap -c. nfsidmap -c limpia la caché de mapeo de identidades del kernel NFSv4. Esto es útil cuando se han realizado cambios en /etc/idmapd.conf o en la configuración de NSS y se necesita que los nuevos mapeos surtan efecto.
P: Un administrador quiere configurar automount centralizado en FreeIPA para que los clientes monten /nfs/datos desde nfsserver.empresa.local:/export/datos con Kerberos. ¿Cuál es la secuencia correcta de comandos?
R: b) ipa automountmap-add, luego ipa automountkey-add para auto.master y para el mapa. La secuencia correcta es: 1) ipa automountmap-add default auto.nfs para crear el mapa, 2) ipa automountkey-add default auto.master --key=/nfs --info=auto.nfs para añadir la entrada en auto.master, 3) ipa automountkey-add default auto.nfs --key=datos --info="-fstype=nfs4,sec=krb5 nfsserver.empresa.local:/export/datos" para definir el punto de montaje.
P: ¿Qué opción de /etc/exports mapea el usuario root del cliente al usuario nobody en el servidor?
R: c) root_squash. root_squash es la opción por defecto en NFS que mapea las solicitudes del usuario root (UID 0) del cliente al usuario nobody en el servidor. Esto previene que un root remoto tenga privilegios de root sobre los archivos exportados. no_root_squash desactiva este comportamiento.
P: ¿Qué daemon legacy gestionaba las credenciales Kerberos en el lado del servidor NFS, ahora reemplazado por gssproxy?
R: b) rpc.svcgssd. rpc.svcgssd era el daemon del servidor NFS que validaba las credenciales Kerberos de los clientes. rpc.gssd era su equivalente en el cliente. Ambos han sido reemplazados por gssproxy, que gestiona las credenciales GSS-API tanto en servidor como en cliente.
P: ¿Qué opción en /etc/nsswitch.conf permite que autofs consulte los mapas de automount almacenados en LDAP vía SSSD?
R: b) automount: sss files. La entrada automount: sss files en /etc/nsswitch.conf indica al servicio autofs que primero consulte SSSD (que accede al LDAP de FreeIPA) y luego los archivos locales para obtener los mapas de automount.
P: ¿Qué método de traducción en idmapd.conf se recomienda en entornos con FreeIPA y SSSD?
R: c) Method = nsswitch. Method = nsswitch es el método recomendado porque utiliza el sistema de resolución de nombres del sistema operativo (NSS), que en entornos FreeIPA está configurado para consultar SSSD. Esto permite que idmapd resuelva los nombres de usuario de forma centralizada.
P: ¿Qué opción de /etc/exports mapea todos los usuarios del cliente (no solo root) al usuario nobody?
R: b) all_squash. all_squash mapea todas las solicitudes de todos los usuarios (no solo root) al usuario nobody en el servidor. Es útil para exports públicos donde no se necesita autenticación individual y todos los accesos deben realizarse con los mismos permisos.
P: ¿Qué comando muestra las exportaciones NFS activas en el servidor con sus opciones?
R: b) exportfs -v. exportfs -v muestra todas las exportaciones NFS activas con sus opciones detalladas en el servidor. showmount -e también lista las exportaciones pero desde la perspectiva del cliente y sin el mismo nivel de detalle en opciones.
P: ¿Qué comando de FreeIPA crea una ubicación de automount?
R: b) ipa automountlocation-add default. ipa automountlocation-add crea una ubicación de automount en FreeIPA que actúa como contenedor para los mapas de automount. La ubicación default es la más común y puede configurarse en sssd.conf con ipa_automount_location = default.
P: ¿Qué ocurre si un cliente NFSv4 intenta montar con sec=krb5p una exportación configurada solo con sec=krb5?
R: b) El montaje falla porque krb5p no es un nivel permitido. Si la exportación solo especifica sec=krb5, el cliente debe usar exactamente ese nivel de seguridad. Para permitir múltiples niveles, se deben listar todos separados por dos puntos en el servidor: sec=krb5:krb5i:krb5p.
P: ¿Qué comando activa la depuración NFS en el kernel para diagnosticar problemas?
R: b) rpcdebug -m nfs -s all. rpcdebug -m nfs -s all activa todos los mensajes de depuración NFS en el kernel. Los mensajes se envían a los logs del kernel y se pueden consultar con dmesg o journalctl. Para desactivar la depuración se usa rpcdebug -m nfs -c all.
P: ¿Qué campo de /etc/idmapd.conf define el usuario al que se mapean las identidades que no pueden resolverse?
R: c) Nobody-User. El parámetro Nobody-User en la sección [Mapping] de idmapd.conf define el usuario al que se mapean las identidades que no pueden resolverse correctamente. Por defecto es nobody. El parámetro equivalente para grupos es Nobody-Group.
P: Escribe el comando para montar un export NFS con autenticación Kerberos y cifrado completo desde nfsserver.empresa.local:/srv/nfs/datos en /mnt/datos.
R: mount -t nfs4 -o sec=krb5p nfsserver.empresa.local:/srv/nfs/datos /mnt/datos. Se usa mount -t nfs4 para montar un export NFSv4. La opción sec=krb5p activa Kerberos con privacidad (cifrado completo de datos), que es el nivel más alto de seguridad disponible.
P: Escribe el comando para limpiar la cache de mapeo de identidades de NFSv4.
R: nfsidmap -c. nfsidmap -c limpia la cache de mapeo de identidades del kernel NFSv4. Es necesario ejecutar este comando después de cambiar la configuración de /etc/idmapd.conf o la resolución de nombres para que los nuevos mapeos surtan efecto.
P: Escribe el comando para registrar el servicio NFS del host nfsserver.empresa.local en FreeIPA.
R: ipa service-add nfs/nfsserver.empresa.local. ipa service-add registra un principal Kerberos de servicio en FreeIPA. El formato es servicio/FQDN. Después de registrar el servicio, se puede obtener el keytab con ipa-getkeytab para que el servidor NFS pueda autenticarse.
P: Escribe el comando para reexportar todos los directorios de /etc/exports y mostrar la información detallada.
R: exportfs -arv. exportfs -arv reexporta todos los directorios configurados en /etc/exports. La opción -a aplica a todas las exportaciones, -r reexporta (sincroniza la tabla de exportaciones del kernel con /etc/exports) y -v muestra información detallada de cada exportación.
P: Escribe el comando para verificar el contenido del keytab Kerberos ubicado en /etc/krb5.keytab.
R: klist -kt /etc/krb5.keytab. klist -kt muestra los principales Kerberos almacenados en un archivo keytab junto con sus timestamps. La opción -k indica que se lee un keytab (no la cache de tickets) y -t muestra las marcas temporales de cada entrada.
P: Tip de examen: sec=sys usa UID/GID del sistema (susceptible a suplantación). krb5 autentica…
R: sec=sys usa UID/GID del sistema (susceptible a suplantación). krb5 autentica, krb5i añade integridad y krb5p añade cifrado. krb5p es el más seguro pero con mayor overhead.
P: Tip de examen: En /etc/exports, la opción sec= especifica qué mecanismos de seguridad acept…
R: En /etc/exports, la opción sec= especifica qué mecanismos de seguridad acepta la exportación. Se pueden listar múltiples separados por :. El cliente debe usar uno de los mecanismos permitidos.
P: Tip de examen: gssproxy es la alternativa moderna a rpc.gssd y rpc.svcgssd. Gestiona las …
R: gssproxy es la alternativa moderna a rpc.gssd y rpc.svcgssd. Gestiona las credenciales GSS-API tanto en el servidor como en el cliente NFS.
P: Tip de examen: FreeIPA almacena mapas de automount en LDAP. Los clientes consultan estos mapas …
R: FreeIPA almacena mapas de automount en LDAP. Los clientes consultan estos mapas a través de SSSD (automount: sss en nsswitch.conf). Esto elimina la necesidad de mantener archivos auto.master/auto.* en cada cliente.
P: Tip de examen: El parámetro Domain en idmapd.conf DEBE ser idéntico en el servidor y todos lo…
R: El parámetro Domain en idmapd.conf DEBE ser idéntico en el servidor y todos los clientes NFSv4. Si no coincide, todos los archivos aparecerán como propiedad de nobody:nobody.
P: Que hace el comando sys?
R: Autenticación basada en UID/GID (sin Kerberos, inseguro)
P: Que hace el comando krb5?
R: Autenticación Kerberos (verifica identidad)
P: Que hace el comando krb5i?
R: Kerberos + integridad (verifica que datos no se alteraron)
P: Que hace el comando krb5p?
R: Kerberos + privacidad (cifra todos los datos)
P: Que hace el comando sec=?
R: Mecanismo(s) de seguridad permitidos
P: Que es/son Introducción?
R: NFSv4 es la versión moderna del protocolo NFS (Network File System) que incluye soporte nativo para autenticación Kerberos, mapeo de identidades y ACLs. En entornos mixtos con FreeIPA, NFS se integra c
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: