NFSv3 com erro de host incomparável do Kerberos

Question

NFSv3 com erro de host incomparável do Kerberos

#1 resposta do (1 votos)
#2 resposta do (0 votos)

5

Eu configurei o NFSv4 usando o Kerberos (funciona muito bem), mas agora preciso adicionar o NFSv3 com o Kerberos. Ao tentar montar a exportação NFSv3, recebo um erro de permissão necessária no cliente e no servidor o erro é "host incomparável".

In /etc/export I just have: 
/test gss/krb5(rw,sync)

O erro "host incomparável" geralmente significa que você não especificou que o cliente pode acessar o servidor no arquivo de exportação. Mas com kerberos você não deveria precisar. O arquivo do homem de exportação declara:

RPCSEC_GSS security To restrict access to an export using rpcsec_gss security, use the special string "gss/krb5" as the client. It is not possible to simultaneously require rpcsec_gss and to make requirements on the IP address of the client.

Tenho certeza que o Kerberos está configurado corretamente (novamente o NFSv4 com o kerberos funciona) e pelo que eu li na web, acho que o servidor NFS está configurado corretamente (as configurações estão abaixo) e os serviços necessários estão em execução. Eu atualmente testando no Ubuntu 10.4, mas tive o mesmo problema no Novell SLED 10.3.

Alguém tem idéia do que eu poderia estar fazendo errado? ou pode me apontar para um NFSv3 w / kerberos como fazer?

nss-common:
NEED_STATD=yes
STATDOPTS=
NEED_IDMAPD=no
NEED_GSSD=yes

nss-kernel-srever:
RPCNFSDCOUNT="8 --no-nfs-version 4  --no-nfs-version 2"
RPCNFSDPRIORITY=0
RPCMOUNTDOPTS="--manage-gids"
NEED_SVCGSSD=yes
RPCSVCGSSDOPTS=" -vvv "

nfs linux ubuntu

por cuda 23.09.2010 / 16:41

2 respostas

Tags nfs linux ubuntu

Tratamento correto de cotações em expansões de parâmetros Como posso limitar o envolvimento com uma LAN de grandes escritórios?

score 1 · Answer 1

Na verdade, estou usando o NFS v3 + Kerberos entre algumas caixas em casa (mistura de clientes e servidores CentOS 5 e Gentoo, com KDCs do Gentoo). Para fazê-lo funcionar, acabei usando uma entrada / etc / exports que se parece com:

/export hostname.local.lan(rw,insecure,sync,sec=krb5p:krb5i:krb5)

No cliente, o / etc / fstab contém:

hostname.local.lan:/export   /nfs/hostname/export   nfs sec=krb5p,nfsvers=3,mountvers=3,proto=tcp,acl,rw,soft,bg,intr 0 0

Quando montado, o 'mount' retorna o seguinte para esse sistema de arquivos:

hostname.local.lan:/export on /nfs/hostname/export type nfs (rw,sec=krb5p,nfsvers=3,mountvers=3,proto=tcp,acl,soft,bg,intr,addr=192.168.1.15)

Dos experimentos do NFSv4, ainda tenho o rpc.idmapd em execução, mas não acho que seja necessário para a v3.

O último bit complicado foi o bit / etc / exports quando o configurei. Muitos tutoriais listam algo como a entrada de exportação gss / krb5 que você tem acima, mas isso nunca funcionou para mim, embora se você ler a fonte de utilitários do nfs, parece que deveria.

Espero que isso conduza alguém na direção certa. Boa sorte.

score 0 · Answer 2

Aqui estão algumas coisas que eu mudaria / checaria:

Use a nova sintaxe de exportação do GSS e permita a proteção da integridade / privacidade:

/test (sec=krb5:krb5i:krb5p,rw,sync)

Verifique se os módulos de kernel necessários estão disponíveis: rpcsec_gss_krb5 , auth_rpcgss

Verifique as opções do comando mount - que você também pode adicionar à sua pergunta.