Montando o NFS3 usando Kerberos e AD

9

Eu tenho um servidor Linux (Centos 5.6) que precisa montar automaticamente diretórios pessoais a partir de um compartilhamento NFS do Windows (Server 2008) usando o Kerberos. O compartilhamento é montado (com o usuário e o grupo ninguém) se a autenticação estiver desativada. No entanto, se a -o sec=krb5bandeira for passada, eu recebo mount.nfs: permission denied.

Como root, eu costumava kinitreceber um ticket e klistme diz que é um ticket válido. Pesquisando no Google o erro não deu muito, pois parece um pouco genérico. Nada útil foi encontrado em nenhum dos logs em que procurei. O acesso raiz está definido como permitido no compartilhamento do Windows.

Por causa do compartilhamento do Windows, muitos dos recursos para alterar as configurações do servidor não se aplicam diretamente.

Alguma idéia para fazer isso funcionar?

linux windows-server-2008 nfs Ethan
fonte
1
Você tem certeza de que o Windows pode exportar no NFS4? AFAIK, você precisa do NFS4 para usar o kerberos.
Woxox
Desculpe, é NFS3. Windows - que eu saiba - suporta apenas NFS3. No entanto, a página de opções do NFS no Windows lista o KRB5 e o KRB5i como opções, então presumi que funcionasse.
Ethan

Respostas:

1

O que me chamou a atenção - e parece ser o problema que você está tendo - é que a raiz não usa ... o que você obtém do kinit.

Ele usa /etc/krb5.keytab, com o qual você pode listar klist -kt. Dependendo de qual versão do sistema operacional você possui, ele precisa de um serviço principal HOST ou - para versões mais antigas - precisa de um serviço principal nfs.

net ads joine net ads keytab createfará a primeira parte - criando o keytab do host. Para o RHEL 5, tenho certeza de que você precisa criar um Principal de Serviço nfs em seu cliente para permitir que ele acesse o recurso NFS. Eu diria que o mesmo vale para o Centos 5.6, mas não tenho 100% de certeza. Não posso lhe dar instruções desde o início - vou dar uma olhada e ver se consigo encontrar mais detalhes. (Eu fiz isso, e definitivamente funciona dessa maneira no RHEL, mas já faz muito tempo que se eu citasse as instruções, eu entendi errado).

Você pode solucionar problemas iniciando rpc.gssd -f -vvv

Sobrique
fonte
0

OK, depois de um pouco de pesquisa, encontrei este artigo que explica como obter o que você está procurando com um cliente Solaris. Observando a parte do cliente desta outra documentação, talvez você possa fazer com que tudo funcione ...

Aparentemente, pelo que vi ao fazer a autenticação do NFS3 no linux contra o kerberos, seria possível, ao contrário do que eu pensava; no entanto, a informação é incrivelmente escassa.

Na pior das hipóteses, o que está impedindo você de usar a montagem CIFS? Depois é bastante bem suportado, e a documentação é abundante.

wazoox
fonte
1
Tentamos fazer o CIFS funcionar e, embora pudéssemos montá-lo corretamente, não conseguimos o módulo PAM necessário para que as credenciais funcionassem no CentOS 5. Poderei testar isso amanhã.
Ethan
1
Examinou isso e não viu nada configurado de maneira diferente. Parece que o Windows está se comportando mal aqui e, é claro, não tenho acesso a esse servidor. (Podemos assistir a conexão entrar para Windows e tem que fazer nada com ele)
Ethan
Hmm, eu ouvi que os Serviços Unix precisa às vezes de ser reiniciado, pode valer a pena tentar ...
wazoox