Gắn NFS3 bằng Kerberos và AD

9

Tôi đã có một máy chủ Linux (Centos 5.6) cần tự động hóa các thư mục nhà từ chia sẻ NFS của Windows (Server 2008) bằng Kerberos. Gắn kết chia sẻ (với không có người dùng và nhóm) nếu xác thực bị tắt. Tuy nhiên, nếu -o sec=krb5cờ được thông qua, tôi nhận được mount.nfs: permission denied.

Với tư cách là root, tôi đã từng kinitlấy một vé và klistnói với tôi rằng đó là một vé hợp lệ. Googling lỗi không cung cấp nhiều, vì nó có vẻ là một chút của tất cả. Không có gì hữu ích được tìm thấy trong bất kỳ nhật ký nào tôi đã xem. Quyền truy cập root được đặt thành cho phép trên chia sẻ Windows.

Do việc chia sẻ từ Windows, rất nhiều tài nguyên nói rằng thay đổi cài đặt máy chủ không được áp dụng trực tiếp.

Bất kỳ ý tưởng để có được điều này để làm việc?

linux  windows-server-2008  nfs 
Ethan
nguồn
1
Bạn có chắc chắn rằng các cửa sổ có thể xuất trong NFS4? AFAIK bạn cần NFS4 để sử dụng kerberos.
wazoox
Xin lỗi, đó là NFS3. Windows - theo hiểu biết của tôi - chỉ hỗ trợ NFS3. Tuy nhiên, trang tùy chọn cho NFS trong Windows liệt kê KRB5 và KRB5i làm tùy chọn, vì vậy tôi cho rằng nó hoạt động.
Ethan

Câu trả lời:

1

Điều khiến tôi phát hiện ra - và dường như là vấn đề bạn gặp phải - đó là root không sử dụng ... bất cứ thứ gì bạn nhận được từ kinit.

Nó sử dụng /etc/krb5.keytab, mà bạn có thể liệt kê với klist -kt. Tùy thuộc vào phiên bản HĐH nào bạn có, nó cần một hiệu trưởng dịch vụ HOST hoặc - đối với các phiên bản cũ hơn - cần một hiệu trưởng dịch vụ nfs.

net ads joinnet ads keytab createsẽ thực hiện phần đầu tiên - tạo keytab máy chủ. Đối với RHEL 5 Tôi khá chắc chắn rằng bạn cần tạo một Hiệu trưởng Dịch vụ nfs trên máy khách của mình, để cho phép nó truy cập tài nguyên NFS. Tôi cho rằng điều tương tự cũng đúng với Centos 5.6, nhưng tôi không chắc chắn 100%. Tôi không thể đưa ra hướng dẫn cho bạn khỏi đỉnh đầu - Tôi sẽ xem và xem liệu tôi có thể tìm thêm chi tiết không. (Tôi đã thực hiện nó và nó chắc chắn hoạt động theo cách này trên RHEL, nhưng cách đây đủ lâu nếu tôi trích dẫn các hướng dẫn, tôi đã hiểu sai).

Bạn có thể khắc phục sự cố bằng cách bắn lên rpc.gssd -f -vvv

Sobrique
nguồn
0

OK, sau một chút nghiên cứu tôi đã tìm thấy bài viết này giải thích cách đạt được những gì bạn đang tìm kiếm với một khách hàng Solaris. Bằng cách xem phần khách hàng của tài liệu khác này, có lẽ bạn có thể khiến toàn bộ nội dung hoạt động ...

Rõ ràng từ những gì tôi đã thấy từ việc tìm kiếm xung quanh việc tạo NFS3 trong linux xác thực chống lại kerberos là có thể, trái với những gì tôi nghĩ; tuy nhiên thông tin rất khan hiếm.

Trong trường hợp xấu nhất, điều gì ngăn bạn sử dụng ngàm CIFS? Sau khi nó được hỗ trợ khá tốt, và tài liệu phong phú.

wazoox
nguồn
1
Chúng tôi đã cố gắng để CIFS hoạt động và trong khi chúng tôi có thể gắn nó đúng cách, chúng tôi không thể có mô-đun PAM cần thiết để thông tin đăng nhập hoạt động trên CentOS 5. Tôi sẽ có thể kiểm tra điều này vào ngày mai.
Ethan
1
Nhìn vào điều này, và không thấy bất cứ điều gì được cấu hình khác nhau. Có vẻ như Windows đang hoạt động sai ở đây và tất nhiên tôi không có quyền truy cập vào máy chủ đó. (Chúng ta có thể xem kết nối đến với Windows và không làm gì với nó)
Ethan
Hmm, tôi đã nghe nói rằng các dịch vụ Unix đôi khi cần phải được khởi động lại, nó có thể đáng để thử ...
wazoox
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.