Монтирование NFS3 с использованием Kerberos и AD

9

У меня есть сервер Linux (Centos 5.6), который должен автоматически подключать домашние каталоги с общего ресурса NFS Windows (Server 2008) с помощью Kerberos. Общий ресурс монтируется (с пользователем nobody и группой), если аутентификация отключена. Однако, если -o sec=krb5флаг пройден, я получаю mount.nfs: permission denied.

Как пользователь root, я kinitполучал билет и klistговорил, что это действительный билет. Погуглить ошибку не дало много, так как кажется, что это все-таки ловушка. Ничего полезного не было найдено ни в одном журнале, в который я смотрел. Доступ к руту разрешен на общем ресурсе Windows.

Из-за общего доступа из Windows многие ресурсы, в которых говорится об изменении настроек сервера, не применяются так напрямую.

Есть идеи, как заставить это работать?

linux windows-server-2008 nfs Итан
источник
1
Вы уверены, что Windows может экспортировать в NFS4? AFAIK вам нужен NFS4, чтобы использовать kerberos.
wazoox
Извините, это NFS3. Windows - насколько мне известно - поддерживает только NFS3. Однако на странице параметров для NFS в Windows в качестве параметров указаны KRB5 и KRB5i, поэтому я предположил, что это сработало.
Итан

Ответы:

1

То, что меня поразило - и, похоже, проблема у вас в том, что root не использует ... все, что вы получаете от kinit.

Он использует /etc/krb5.keytab, который вы можете перечислить klist -kt. В зависимости от того, какая у вас версия ОС, ей нужен либо субъект службы HOST, либо - для более старых версий - субъект службы nfs.

net ads joinи net ads keytab createсделаем первую часть - создание таблицы ключей хоста. Для RHEL 5 я почти уверен, что вам нужно создать на вашем клиенте сервисный директор nfs, чтобы он мог получить доступ к ресурсу NFS. Я бы предположил, что то же самое верно для Centos 5.6, но я не уверен на 100%. Я не могу дать вам инструкции от макушки головы - я посмотрю и посмотрю, смогу ли я найти больше деталей. (Я сделал это, и это определенно работает на RHEL, но достаточно давно, что если я процитирую инструкции, я ошибусь).

Вы можете устранить неполадки, запустив rpc.gssd -f -vvv

Sobrique
источник
0

Хорошо, после небольшого исследования я нашел эту статью, которая объясняет, как добиться того, что вы ищете, с помощью клиента Solaris. Глядя на клиентскую часть этой другой документации, возможно, вы сможете получить всю работу ...

Очевидно из того, что я видел, глядя на то, чтобы сделать NFS3 под linux аутентификацией против Kerberos, возможно, вопреки тому, что я думал; Однако информация невероятно скудна.

В худшем случае, что мешает вам использовать CIFS mount? После того, как это довольно хорошо поддерживается, и документация изобилует.

wazoox
источник
1
Мы пытались заставить CIFS работать, и, хотя мы могли заставить его правильно подключиться, мы не смогли получить модуль PAM, необходимый для работы учетных данных в CentOS 5. Я смогу проверить это завтра.
Итан
1
Посмотрел на это, и не увидел ничего настроенного по-другому. Кажется, что Windows ведет себя плохо, и, конечно, у меня нет доступа к этому серверу. (Мы можем наблюдать, как соединение подключается к Windows и ничего не делает с ним)
Итан,
Хм, я слышал, что иногда нужно перезапускать Unix Services, возможно, стоит попробовать ...
wazoox