Montando o NFS3 usando Kerberos e AD

9

Eu tenho um servidor Linux (Centos 5.6) que precisa montar automaticamente os diretórios home a partir de um compartilhamento NFS do Windows (Server 2008) usando o Kerberos. O compartilhamento é montado (com o usuário e grupo de ninguém) se a autenticação estiver desativada. No entanto, se o sinalizador -o sec=krb5 for passado, receberei mount.nfs: permission denied .

Como root, usei kinit para obter um tíquete e klist me diz que é um tíquete válido. Pesquisando o erro não deu muito, pois parece ser um pouco demais. Nada de útil foi encontrado em qualquer um dos logs em que eu olhei. O acesso raiz está definido como permitido no compartilhamento do Windows.

Por causa do compartilhamento do Windows, muitos dos recursos que dizem para alterar as configurações do servidor não se aplicam diretamente.

Alguma idéia para fazer isso funcionar?

    
por Ethan 28.03.2012 / 22:15

2 respostas

1

A coisa que me pegou - e parece ser o problema que você está tendo - é que a raiz não usa ... o que quer que você receba do kinit.

Ele usa /etc/krb5.keytab, que você pode listar com klist -kt . Dependendo de qual versão do sistema operacional você tem, ele precisa de uma entidade de serviço HOST ou - para versões mais antigas - precisa de uma entidade de serviço nfs.

net ads join e net ads keytab create farão a primeira parte - criando o keytab do host. Para o RHEL 5, tenho certeza que você precisa criar um NFS Service principal no seu cliente, para permitir que ele acesse o recurso NFS. Eu diria que o mesmo vale para o Centos 5.6, mas não tenho 100% de certeza. Eu não posso te dar instruções do topo da minha cabeça - eu vou dar uma olhada e ver se consigo encontrar mais detalhes. (Eu fiz isso, e definitivamente funciona dessa maneira no RHEL, mas há muito tempo atrás que se eu citasse as instruções, eu entenderia errado).

Você pode solucionar problemas acionando rpc.gssd -f -vvv

    
por 19.10.2014 / 13:16
0

OK, depois de um pouco de pesquisa eu encontrei este artigo que explica como alcançar o que você está procurando com um cliente Solaris. Ao olhar para a parte cliente de esta outra documentação , talvez você possa fazer o material todo funcionar. ..

Aparentemente, pelo que eu vi ao olhar em torno, tornar o NFS3 sob o linux autenticado contra o kerberos deveria ser possível, ao contrário do que eu pensava; no entanto, a informação é incrivelmente escassa.

No pior dos casos, o que está impedindo você de usar o CIFS mount? Depois que ele é bem suportado e a documentação é abundante.

    
por 09.04.2012 / 17:08