Como compartilhar o NFS4 + Kerberos com configuração dinâmica de IP e dinâmico-DNS (o rdns não funciona)

1

Eu tenho duas máquinas linux. Uma é uma máquina por trás de um típico modem de cabo IP dinâmico + roteador OpenWRT. A máquina por trás do NAT atualiza regularmente um registro DNS de encaminhamento por meio de uma chamada de API com o meu provedor (ou seja, há um DNS dinâmico configurado para identificar essa máquina). O roteador encaminha a porta 2049 e 22 para esta máquina bem. Quando uma máquina na Internet pública tenta ssh para esta máquina usando a autenticação Kerberos, ela funciona graças à opção

    ignore_acceptor_hostname = true

no krb5.conf no servidor e no cliente (sem isso eu recebo erros "Ticket is not for us" devido a incompatibilidade de dns reversos).

No entanto, quando uma máquina na Internet pública tenta montar nfs4 esta máquina com segurança krb5p, ela não funciona e dá

mount.nfs4: access denied by server while mounting my-dynamic-dns.name.here:/home

rodando rpc.gssd -v -v -v -f na máquina cliente mostra que ele está procurando pelo meu nome dinâmico de dns, e então inverte procurando pelo endereço IP e então tentando obter um kerberos principal. Mensagem de erro parece algo como:

WARNING: Failed to create krb5 context for user with uid 0 for server RNS-Record.from.my.isp.goes.here

Na internet moderna, onde os endereços IP são "de propriedade" dos provedores e todos estão usando um VPS, etc, não há absolutamente nenhuma razão para pensar que os registros RDNS significam alguma coisa.

O que eu quero é que o rpc.gssd e outro maquinário nfs4 associado NÃO tentem encontrar o endereço IP, e apenas usar o nome que eu forneci no comando mount.

As coisas que NÃO FUNCIONAR incluem a modificação de / etc / hosts porque o endereço IP é dinâmico.

Alguma sugestão de como eu posso configurar minhas máquinas públicas para me conectar a esta máquina por trás de um IP / NAT dinâmico via NFS4 com segurança kerberos?

observe que em /etc/krb5.conf eu tenho a linha

rdns=false

que impede que o kerberos faça RDNS, mas não parece impedir o NFS4 de fazer o mesmo.

    
por dlakelan 10.11.2016 / 17:37

1 resposta

1

Bem, para confirmar que é um problema de RDNS, coloquei a entrada atual do meu host no arquivo / etc / hosts no cliente que está na Internet pública. Foi capaz de montar o diretório sem problema. Então, embora eu não consiga descobrir como desabilitar o DNS reverso, o hack que vou usar é para executar uma tarefa cron que avisa o IP atual do meu host dinâmico e edita o arquivo / etc / host o cliente.

    
por 10.11.2016 / 22:58