Mounting NFS3 menggunakan Kerberos dan AD

9

Saya punya server Linux (Centos 5.6) yang perlu mengotomatiskan direktori home dari Windows (Server 2008) berbagi NFS menggunakan Kerberos. Berbagi meningkat (dengan siapa pun pengguna dan grup) jika otentikasi dimatikan. Namun, jika -o sec=krb5bendera itu dilewati, saya dapat mount.nfs: permission denied.

Sebagai root, saya biasa kinitmendapatkan tiket, dan klistmemberi tahu saya bahwa itu adalah tiket yang valid. Googling kesalahan tidak memberi banyak, karena tampaknya sedikit menangkap semua. Tidak ada yang berguna ditemukan di salah satu log yang saya cari. Akses root diatur untuk dibolehkan pada berbagi Windows.

Karena berbagi dari Windows, banyak sumber daya mengatakan untuk mengubah pengaturan server tidak berlaku secara langsung.

Ada ide untuk membuat ini bekerja?

Ethan
sumber
1
Apakah Anda yakin bahwa windows dapat mengekspor dalam NFS4? AFAIK Anda perlu NFS4 untuk menggunakan kerberos.
wazoox
Maaf, ini NFS3. Windows - setahu saya - hanya mendukung NFS3. Namun, halaman opsi untuk NFS di Windows mencantumkan KRB5 dan KRB5i sebagai opsi, jadi saya berasumsi bahwa itu berfungsi.
Ethan

Jawaban:

1

Hal yang menarik saya - dan tampaknya menjadi masalah yang Anda alami - adalah root tidak menggunakan ... apa pun yang Anda dapatkan dari kinit.

Ia menggunakan /etc/krb5.keytab, yang bisa Anda daftarkan klist -kt. Bergantung pada versi OS yang Anda miliki, itu membutuhkan prinsip layanan HOST atau - untuk versi yang lebih lama - membutuhkan prinsip layanan nfs.

net ads joindan net ads keytab createakan melakukan bagian pertama - membuat keytab host. Untuk RHEL 5, saya cukup yakin Anda perlu membuat Kepala Layanan nfs pada klien Anda, untuk memungkinkannya mengakses sumber daya NFS. Saya akan menganggap hal yang sama berlaku untuk Centos 5.6, tapi saya tidak 100% yakin. Saya tidak bisa memberikan instruksi dari atas kepala saya - Saya akan melihat dan melihat apakah saya dapat menemukan lebih detail. (Saya sudah melakukannya, dan itu pasti bekerja seperti ini di RHEL, tetapi sudah cukup lama bahwa jika saya mengutip instruksinya, saya akan salah).

Anda dapat memecahkan masalah dengan menyalakan rpc.gssd -f -vvv

Sobrique
sumber
0

Oke, setelah sedikit riset, saya menemukan artikel ini yang menjelaskan cara mencapai apa yang Anda cari dengan klien Solaris. Dengan melihat bagian klien dari dokumentasi lain ini mungkin Anda bisa membuat semuanya berfungsi ...

Rupanya dari apa yang saya lihat dari melihat-lihat membuat NFS3 di linux otentikasi terhadap kerberos harus dimungkinkan, bertentangan dengan apa yang saya pikirkan; Namun informasi sangat langka.

Dalam kasus terburuk apa yang mencegah Anda menggunakan mount CIFS? Setelah itu cukup didukung, dan dokumentasi berlimpah.

wazoox
sumber
1
Kami mencoba membuat CIFS berfungsi, dan sementara kami dapat membuatnya dipasang dengan benar, kami tidak dapat memperoleh modul PAM yang diperlukan agar kredensial berfungsi pada CentOS 5. Saya akan dapat menguji ini besok.
Ethan
1
Melihat ke dalam ini, dan tidak melihat sesuatu yang dikonfigurasi secara berbeda. Sepertinya Windows mengalami kesalahan di sini, dan tentu saja saya tidak memiliki akses ke server itu. (Kita bisa melihat koneksi masuk ke Windows dan tidak melakukan apa-apa dengannya)
Ethan
Hmm, saya pernah mendengar bahwa Layanan Unix kadang-kadang perlu dihidupkan ulang, mungkin patut dicoba ...
wazoox