Mounten von NFS3 mit Kerberos und AD

9

Ich habe einen Linux-Server (Centos 5.6), der Home-Verzeichnisse von einer Windows-NFS-Freigabe (Server 2008) mithilfe von Kerberos automatisch bereitstellen muss. Die Freigabe wird (mit dem Benutzer und der Gruppe von niemandem) bereitgestellt, wenn die Authentifizierung deaktiviert ist. Wenn jedoch die -o sec=krb5Flagge übergeben wird, bekomme ich mount.nfs: permission denied.

Als Root habe ich früher kinitein Ticket bekommen und klistmir gesagt, dass es ein gültiges Ticket ist. Das Googeln des Fehlers hat nicht viel gebracht, da es ein Allheilmittel zu sein scheint. In keinem der Protokolle, in denen ich gesucht habe, wurde etwas Nützliches gefunden. Der Root-Zugriff ist auf der Windows-Freigabe auf "Zulässig" festgelegt.

Aufgrund der Freigabe von Windows gelten viele der Ressourcen, die zum Ändern der Servereinstellungen verwendet werden, nicht so direkt.

Irgendwelche Ideen, um dies zum Laufen zu bringen?

linux windows-server-2008 nfs Ethan
quelle
1
Sind Sie sicher, dass Windows in NFS4 exportiert werden kann? AFAIK Sie benötigen NFS4, um Kerberos zu verwenden.
Wazoox
Entschuldigung, es ist NFS3. Meines Wissens unterstützt Windows nur NFS3. Auf der Optionsseite für NFS in Windows werden jedoch KRB5 und KRB5i als Optionen aufgeführt, sodass ich davon ausgegangen bin, dass dies funktioniert.
Ethan

Antworten:

1

Die Sache, die mich erwischt hat - und anscheinend das Problem ist, das Sie haben - ist, dass root nicht verwendet ... was auch immer Sie von kinit bekommen.

Es verwendet /etc/krb5.keytab, mit dem Sie auflisten können klist -kt. Je nachdem, über welche Betriebssystemversion Sie verfügen, wird entweder ein HOST-Dienstprinzipal oder - für ältere Versionen - ein NFS-Dienstprinzipal benötigt.

net ads joinund net ads keytab createerledigt den ersten Teil - das Erstellen der Host-Keytab. Ich bin mir ziemlich sicher, dass Sie für RHEL 5 auf Ihrem Client einen nfs-Service-Principal erstellen müssen, damit dieser auf die NFS-Ressource zugreifen kann. Ich würde annehmen, dass dies auch für Centos 5.6 gilt, bin mir aber nicht 100% sicher. Ich kann Ihnen keine Anweisungen geben - ich werde nachsehen, ob ich mehr Details finden kann. (Ich habe es getan und es funktioniert definitiv so bei RHEL, aber es ist lange genug her, dass ich es falsch verstehen würde, wenn ich die Anweisungen zitiere).

Sie können Fehler beheben, indem Sie starten rpc.gssd -f -vvv

Sobrique
quelle
0

OK, nach ein wenig Recherche habe ich diesen Artikel gefunden , in dem erklärt wird, wie Sie mit einem Solaris-Client das erreichen, wonach Sie suchen. Wenn Sie sich den Client-Teil dieser anderen Dokumentation ansehen, können Sie vielleicht das ganze Zeug zum Laufen bringen ...

Anscheinend sollte es nach dem, was ich gesehen habe, möglich sein, NFS3 unter Linux gegen Kerberos zu authentifizieren, entgegen meiner Meinung; Informationen sind jedoch unglaublich knapp.

Was hindert Sie im schlimmsten Fall daran, CIFS-Mount zu verwenden? Nachdem es ziemlich gut unterstützt wird und die Dokumentation reichlich vorhanden ist.

Wazoox
quelle
1
Wir haben versucht, CIFS zum Laufen zu bringen, und obwohl wir es richtig mounten konnten, konnten wir das PAM-Modul nicht erhalten, das erforderlich ist, damit Anmeldeinformationen unter CentOS 5 funktionieren. Ich kann dies morgen testen.
Ethan
1
Ich habe mir das angeschaut und nichts anders konfiguriert gesehen. Es scheint, als ob sich Windows hier schlecht benimmt, und natürlich habe ich keinen Zugriff auf diesen Server. (Wir können sehen, wie die Verbindung zu Windows kommt und nichts damit zu tun hat)
Ethan
Hmm, ich habe gehört, dass die Unix-Dienste manchmal neu gestartet werden müssen, es kann einen Versuch wert sein ...
Wazoox