Montaje de NFS3 con Kerberos y AD

9

Tengo un servidor Linux (Centos 5.6) que necesita montar automáticamente directorios de inicio desde un recurso compartido NFS de Windows (Server 2008) usando Kerberos. El recurso compartido se monta (con el usuario y el grupo de nadie) si la autenticación está desactivada. Sin embargo, si -o sec=krb5se pasa la bandera, me sale mount.nfs: permission denied.

Como root, solía kinitobtener un boleto y klistme dice que es un boleto válido. Buscar en Google el error no dio mucho, ya que parece ser un poco general. No se encontró nada útil en ninguno de los registros que busqué. El acceso raíz está configurado como permitido en el recurso compartido de Windows.

Debido al uso compartido de Windows, muchos de los recursos que dicen cambiar la configuración del servidor no se aplican tan directamente.

¿Alguna idea para que esto funcione?

linux windows-server-2008 nfs Ethan
fuente
1
¿Estás seguro de que Windows puede exportar en NFS4? AFAIK necesita NFS4 para usar kerberos.
wazoox
Lo siento, es NFS3. Windows, que yo sepa, solo es compatible con NFS3. Sin embargo, la página de opciones para NFS en Windows enumera KRB5 y KRB5i como opciones, por lo que supuse que funcionaba.
Ethan

Respuestas:

1

Lo que me atrapó, y parece ser el problema que tienes, es que la raíz no usa ... lo que sea que obtengas de kinit.

Utiliza /etc/krb5.keytab, con el que puede enumerar klist -kt. Dependiendo de la versión del sistema operativo que tenga, necesita una entidad de servicio HOST o, para versiones anteriores, necesita una entidad de servicio nfs.

net ads joiny net ads keytab createhará la primera parte: crear la tabla de claves del host. Para RHEL 5, estoy bastante seguro de que necesita crear un Principal de Servicio nfs en su cliente, para permitirle acceder al recurso NFS. Supongo que lo mismo es cierto de Centos 5.6, pero no estoy 100% seguro. No puedo darte instrucciones en la parte superior de mi cabeza; echaré un vistazo y veré si puedo encontrar más detalles. (Lo he hecho, y definitivamente funciona de esta manera en RHEL, pero hace tanto tiempo que si cito las instrucciones, me equivocaré).

Puede solucionar problemas disparando rpc.gssd -f -vvv

Sobrique
fuente
0

OK, después de un poco de investigación, encontré este artículo que explica cómo lograr lo que está buscando con un cliente Solaris. Al mirar la parte del cliente de esta otra documentación, tal vez puedas hacer que todo funcione ...

Aparentemente, por lo que he visto mirando alrededor, hacer que NFS3 bajo Linux se autentique contra Kerberos debería ser posible, al contrario de lo que pensaba; Sin embargo, la información es increíblemente escasa.

En el peor de los casos, ¿qué le impide usar el montaje CIFS? Después está bastante bien soportado, y abunda la documentación.

wazoox
fuente
1
Intentamos que CIFS funcionara, y aunque pudimos lograr que se montara correctamente, no pudimos obtener el módulo PAM necesario para que las credenciales funcionen en CentOS 5. Podré probar esto mañana.
Ethan
1
Investigé esto y no vi nada configurado de manera diferente. Parece que Windows se está portando mal aquí y, por supuesto, no tengo acceso a ese servidor. (Podemos ver que la conexión llega a Windows y que no haga nada)
Ethan
Hmm, he oído que a veces que sea necesario reiniciar los servicios de Unix, puede valer la pena probar ...
wazoox