Montare NFS3 usando Kerberos e AD

9

Ho un server Linux (Centos 5.6) che deve montare automaticamente le home directory da una condivisione NFS di Windows (Server 2008) usando Kerberos. La condivisione viene montata (con l'utente e il gruppo nessuno) se l'autenticazione è disattivata. Tuttavia, se la -o sec=krb5bandiera viene passata, ottengo mount.nfs: permission denied.

Come root, ho usato kinitper ottenere un biglietto e klistmi ha detto che è un biglietto valido. Cercare su Google l'errore non ha dato molto, in quanto sembra essere un po 'un problema. Non è stato trovato nulla di utile in nessuno dei log che ho cercato. L'accesso root è impostato su consentito sulla condivisione di Windows.

A causa della condivisione da Windows, molte delle risorse che dicono di cambiare le impostazioni del server non si applicano come direttamente.

Qualche idea per farlo funzionare?

linux  windows-server-2008  nfs 
Ethan
fonte
1
Sei sicuro che Windows possa esportare in NFS4? AFAIK hai bisogno di NFS4 per usare Kerberos.
Wazoox,
Siamo spiacenti, è NFS3. Windows - per quanto ne so - supporta solo NFS3. Tuttavia, la pagina delle opzioni per NFS in Windows elenca KRB5 e KRB5i come opzioni, quindi ho pensato che funzionasse.
Ethan,

Risposte:

1

La cosa che mi ha sorpreso - e sembra essere il problema che stai riscontrando - è che root non usa ... qualunque cosa tu abbia da parenti.

Usa /etc/krb5.keytab, che puoi elencare con klist -kt. A seconda della versione del sistema operativo in uso, necessita di un'entità servizio HOST o, per le versioni precedenti, di un'entità servizio nfs.

net ads joine net ads keytab createfarà la prima parte - creando il keytab host. Per RHEL 5 sono abbastanza sicuro che è necessario creare un servizio principale nfs sul client, per consentirgli di accedere alla risorsa NFS. Suppongo che lo stesso sia vero per Centos 5.6, ma non ne sono sicuro al 100%. Non posso darti istruzioni dalla parte superiore della mia testa - darò un'occhiata e vedrò se riesco a trovare maggiori dettagli. (L'ho fatto, e sicuramente funziona in questo modo su RHEL, ma è abbastanza tempo fa che se citassi le istruzioni, sbaglierei).

Puoi risolvere il problema accendendo rpc.gssd -f -vvv

Sobrique
fonte
0

OK, dopo un po 'di ricerche ho trovato questo articolo che spiega come ottenere ciò che stai cercando con un client Solaris. Guardando la parte client di questa altra documentazione, potresti riuscire a far funzionare tutto il materiale ...

Apparentemente da quello che ho visto guardandomi intorno, rendere NFS3 sotto linux autenticato contro Kerberos dovrebbe essere possibile, contrariamente a quanto pensassi; tuttavia le informazioni sono incredibilmente scarse.

Nel peggiore dei casi, cosa ti impedisce di utilizzare il mount CIFS? Dopo che è abbastanza ben supportato e la documentazione è abbondante.

wazoox
fonte
1
Abbiamo provato a far funzionare CIFS e, anche se siamo riusciti a farlo montare correttamente, non siamo riusciti a ottenere il modulo PAM necessario per far funzionare le credenziali su CentOS 5. Domani potrò provarlo.
Ethan,
1
Ho esaminato questo aspetto e non ho visto nulla di configurato diversamente. Sembra che Windows si stia comportando male qui, e ovviamente non ho accesso a quel server. (Possiamo vedere la connessione entrare in Windows e non farci nulla)
Ethan,
Ho sentito che a volte i servizi Unix devono essere riavviati, potrebbe valere la pena provare ...
wazoox,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.