NFS + Kerberos: acesso negado pelo servidor durante a montagem

4

Eu tenho o NFS e o Kerberos configurados conforme descrito aqui: Como configuro um servidor NFS Kerberos no Red Hat Enterprise Linux 7

Todas as operações de diagnóstico estão corretas, mas quando tento montar meus compartilhamentos no lado do cliente, recebo a seguinte mensagem:

mount.nfs4: access denied by server while mounting kdc.example.com:/var/backup

Os IPs do servidor e do cliente estão em / etc / hosts (servidor e máquinas cliente), em primeiro lugar após o IP. Minha configuração é:

/etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = EXAMPLE.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 EXAMPLE.COM = {
  kdc = kdc.example.com
  admin_server = kdc.example.com
 }

[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

/ etc / exports:

/var/backup client.example.com(rw,sync,no_wdelay,nohide,no_subtree_check,no_root_squash,sec=krb5)
/mnt/storage client.example.com(rw,sync,no_wdelay,nohide,no_subtree_check,no_root_squash,sec=krb5)

/ var / kerberos / krb5kdc:

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 EXAMPLE.COM = {
    kdc_ports = 88
    admin_keytab = /etc/kadm5.keytab
    database_name = /var/kerberos/krb5kdc/principal
    acl_file = /var/kerberos/krb5kdc/kadm5.acl
    key_stash_file = /var/kerberos/krb5kdc/stash
    max_life = 10h 0m 0s
    max_renewable_life = 7d 0h 0m 0s
    master_key_type = des3-hmac-sha1
    supported_enctypes = arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
    default_principal_flags = +preauth
}

krb5kdc & Os serviços kadmin estão ativos e em execução no servidor.

/ etc / fstab no cliente:

#NFS area
kdc.example.com:/var/backup                              /mnt/backup                   nfs4     rsize=65536,wsize=65536,nolock,hard,sec=krb5
kdc.example.com:/mnt/storage                             /mnt/storage                  nfs4     rsize=65536,wsize=65536,nolock,hard,sec=krb5

Quando faço:

mount -vv -t nfs4 -o sec=krb5 kdc.example.com:/var/backup backup

Estou recebendo a mensagem:

mount.nfs4: timeout set for Mon May 22 23:32:59 2017
mount.nfs4: trying text-based options 'sec=krb5,addr=95.85.33.75,clientaddr=192.168.0.2'
mount.nfs4: mount(2): Permission denied
mount.nfs4: access denied by server while mounting kdc.example.com:/var/backup

Primeira observação - por que clientaddr é 192.168.0.2, mas não client.example.com, que é definido em ambos os / etc / hosts? De qualquer forma, a mesma mensagem aparece quando eu adiciono clientaddr = client.example.com na opção -o do mount.

A segunda mensagem está no /var/log/krb5kdc.log do servidor:

CLIENT_NOT_FOUND: [email protected] for krbtgt/[email protected], Client not found in Kerberos database

klist -k no servidor:

Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 host/[email protected]
   3 host/[email protected]
   3 host/[email protected]
   3 nfs/[email protected]
   3 nfs/[email protected]
   3 nfs/[email protected]

klist -k no cliente:

Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   2 host/[email protected]
   2 host/[email protected]
   2 host/[email protected]
   2 nfs/[email protected]
   2 nfs/[email protected]
   2 nfs/[email protected]

kadmin -p root / admin:

kadmin:  listprincs
K/[email protected]
[email protected]
host/[email protected]
host/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
krbtgt/[email protected]
nfs/[email protected]
nfs/[email protected]
root/[email protected]

Então, qual é o problema? Por que não consigo montar meu compartilhamento NFS?

    
por maksim2020 22.05.2017 / 22:38

2 respostas

0

Eu sei que é um pouco antigo, mas se você ainda está procurando por isso, eu enfrentei um problema semelhante e obtive uma solução, você pode obter isso com a minha resposta ao meu problema "Fedora 26 NFS + Kerberos “Falha na pré-autenticação” (lead de montagem sem permissão ) ", tenho certeza que o RHEL pode seguir essas configurações

    
por 18.10.2017 / 21:30
0

Eu tenho o mesmo problema. De acordo com este pequeno link link você deve ativar o serviço nfs-secure-server no lado do servidor e o serviço nfs-secure no lado do cliente. Isso deve resolver o problema.

    
por 20.05.2018 / 12:46

Tags