Solucionando problemas de autenticação do NFS

1

Estou tentando montar uma exportação do NFS krb5p. Para isso, eu segui estas instruções .

Linha em /etc/exports :

/home/users     192.168.1.0/24(rw,sec=krb5p,no_subtree_check,nohide,async,anonuid=65534,anongid=65534)

Ao tentar montar o cliente, obtenho:

root@client:/home# mount -t nfs4 -o sec=krb5p server:/home/users /home/users/ -vvv
mount: fstab path: "/etc/fstab"
mount: mtab path:  "/etc/mtab"
mount: lock path:  "/etc/mtab~"
mount: temp path:  "/etc/mtab.tmp"
mount: UID:        0
mount: eUID:       0
mount: spec:  "server:/home/users"

mount: node:  "/home/users/"
mount: types: "nfs4"
mount: opts:  "sec=krb5p"
mount: external mount: argv[0] = "/sbin/mount.nfs4"
mount: external mount: argv[1] = "server:/home/users"
mount: external mount: argv[2] = "/home/users/"
mount: external mount: argv[3] = "-v"
mount: external mount: argv[4] = "-o"
mount: external mount: argv[5] = "rw,sec=krb5p"
mount.nfs4: timeout set for Sun May 12 14:46:22 2013
mount.nfs4: trying text-based options 'sec=krb5p,addr=192.168.1.2,clientaddr=192.168.1.82'
mount.nfs4: mount(2): Permission denied
mount.nfs4: access denied by server while mounting server:/home/users

No servidor, no entanto, não encontrei nenhuma entrada de log relevante ou qualquer informação que descrevesse o motivo pelo qual o acesso foi negado.

Ao alterar a segurança de krb5p para sys , a montagem funciona bem.

kinit etc para kerberos funciona bem.

Como posso descobrir o motivo pelo qual o acesso está sendo rejeitado? Ou você talvez saiba o que estou fazendo de errado aqui?

    
por d_inevitable 12.05.2013 / 15:00

1 resposta

1

Consegui obter algumas mensagens mais significativas no servidor, editando /etc/default/nfs-kernel-server e adicionando a -s option rpc.nfsd da seguinte forma:

# Options for rpc.nfsd.
RPCNFSDOPTS="-s"

Ao tentar fazer a montagem, isso me deu a saída:

May 12 19:59:48 server krb5kdc[2704]: AS_REQ (4 etypes {18 17 16 23}) 192.168.1.62: NEEDED_PREAUTH: nfs/client.localdomain@REALM for krbtgt/REALM@REALM, Additional pre-authentication required
May 12 19:59:48 server krb5kdc[2704]: preauth (encrypted_timestamp) verify failure: Decrypt integrity check failed
May 12 19:59:48 server krb5kdc[2704]: AS_REQ (4 etypes {18 17 16 23}) 192.168.1.62: PREAUTH_FAILED: nfs/client.localdomain@REALM for krbtgt/REALM@REALM, Decrypt integrity check failed

Não sei se isso realmente me ajuda, mas está um passo à frente.

    
por 12.05.2013 / 20:06