Монтаж NFS3 за допомогою Kerberos та AD

9

У мене є сервер Linux (Centos 5.6), який повинен автоматизувати домашні каталоги за допомогою NFS Windows (Server 2008), використовуючи Kerberos. Якщо спільна аутентифікація вимкнена, спільний доступ встановлюється (з користувачем та групою "ніхто"). Однак якщо -o sec=krb5прапор буде передано, я отримую mount.nfs: permission denied.

Як корінь, я kinitбрав квиток і klistкаже мені, що це дійсний квиток. Помилка Googling не дала великої кількості, так як це, здається, трохи привід. Нічого корисного не було знайдено в жодному з журналів, в яких я переглянув. Користувальницький доступ встановлюється дозволеним у спільній доступності Windows.

Через спільний доступ із Windows, багато ресурсів, які говорять про зміну налаштувань сервера, не застосовуються так само безпосередньо.

Будь-які ідеї, щоб змусити це працювати?

linux  windows-server-2008  nfs 
Етан
джерело
1
Ви впевнені, що Windows може експортувати в NFS4? AFAIK для використання kerberos вам потрібен NFS4.
wazoox
Вибачте, це NFS3. Наскільки мені відомо, Windows підтримує лише NFS3. Однак на сторінці параметрів для NFS у Windows вказані KRB5 та KRB5i як варіанти, тому я припустив, що вона працює.
Етан

Відповіді:

1

Те, що мене вигнало - і, здається, є вашою проблемою - це те, що корінь не використовує ... все, що ви отримуєте від kinit.

Він використовує /etc/krb5.keytab, з яким ви можете перелічити список klist -kt. Залежно від того, яку версію ОС у вас є, їй або потрібен головний сервіс HOST, або - для старих версій - потрібен головний сервіс nfs.

net ads joinі net ads keytab createзробимо першу частину - створивши хост-клавішу. Для RHEL 5 я впевнений, що вам потрібно створити головного сервера nfs для свого клієнта, щоб він мав доступ до ресурсу NFS. Я б припустив, що це стосується Centos 5.6, але я не впевнений на 100%. Я не можу дати тобі вказівки вгорі голови - я перегляну і побачу, чи зможу знайти більше деталей. (Я це зробив, і це, безумовно, працює таким чином на RHEL, але це досить давно, що якби я цитував інструкції, я зрозумів би це неправильно).

Ви можете усунути неполадки, вистріливши rpc.gssd -f -vvv

Sobrique
джерело
0

Гаразд, після невеликих досліджень я знайшов цю статтю, яка пояснює, як досягти того, що ви шукаєте з клієнтом Solaris. Переглянувши клієнтську частину цієї іншої документації, можливо, ви могли б працювати цією справою ...

Мабуть, із того, що я бачив, коли я оглянувся, як зробити NFS3 під Linux під час автентифікації проти kerberos, повинно бути можливим, всупереч тому, що я думав; однак інформації неймовірно мало.

У гіршому випадку, що заважає вам використовувати кріплення CIFS? Після цього він досить добре підтримується, і документація з'являється.

вазоокс
джерело
1
Ми намагалися примусити CIFS працювати, і хоча ми змогли його встановити належним чином, нам не вдалося отримати модуль PAM, необхідний для роботи облікових даних на CentOS 5. Я зможу перевірити це завтра.
Етан
1
Я розглядав це і не бачив нічого, налаштованого інакше. Здається, що Windows тут погано поводиться, і я, звичайно, не маю доступу до цього сервера. (Ми можемо спостерігати, як з'єднання заходить до Windows, і змушує його нічого не робити)
Етан
Хм, я чув, що Служби Unix іноді потрібно перезапустити, можливо, варто спробувати ...
wazoox
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.