การเมาท์ NFS3 โดยใช้ Kerberos และ AD

9

ฉันมีเซิร์ฟเวอร์ Linux (Centos 5.6) ที่จำเป็นต้องติดตั้งโฮมไดเรกทอรีอัตโนมัติจาก Windows (Server 2008) NFS ที่ใช้ Kerberos การแบ่งใช้เมาท์ (โดยไม่มีผู้ใช้และกลุ่ม) หากการพิสูจน์ตัวตนถูกปิด แต่ถ้าธงถูกส่งผ่านไปฉันได้รับ-o sec=krb5mount.nfs: permission denied

ในฐานะที่เป็น root ฉันเคยkinitได้รับตั๋วและklistบอกฉันว่าเป็นตั๋วที่ถูกต้อง Googling ข้อผิดพลาดไม่ได้ให้อะไรมากดูเหมือนว่าจะเป็นเรื่องเล็กน้อย ไม่พบสิ่งใดที่มีประโยชน์ในบันทึกใด ๆ ที่ฉันค้นหาการเข้าถึงรูทถูกตั้งค่าเป็นอนุญาตในการแชร์ Windows

เนื่องจากการแชร์จาก Windows สิ่งต่าง ๆ ทรัพยากรจำนวนมากที่บอกให้เปลี่ยนการตั้งค่าเซิร์ฟเวอร์ไม่ได้นำไปใช้โดยตรง

มีแนวคิดใดที่จะทำให้สิ่งนี้ทำงานได้?

linux  windows-server-2008  nfs 
อีธาน
แหล่งที่มา
1
คุณแน่ใจหรือว่า windows สามารถส่งออกใน NFS4 ได้? AFAIK คุณต้องใช้ NFS4 เพื่อใช้ Kerberos
wazoox
ขออภัยมันคือ NFS3 Windows - สำหรับความรู้ของฉัน - รองรับเฉพาะ NFS3 อย่างไรก็ตามหน้าตัวเลือกสำหรับ NFS ใน Windows แสดงรายการ KRB5 และ KRB5i เป็นตัวเลือกดังนั้นฉันคิดว่ามันใช้งานได้
อีธาน

คำตอบ:

1

สิ่งที่ทำให้ฉันออก - และดูเหมือนจะเป็นปัญหาที่คุณมีอยู่ - นั่นคือรากไม่ได้ใช้ ... สิ่งที่คุณได้รับจากคินิท

มันใช้ /etc/krb5.keytab klist -ktซึ่งคุณสามารถแสดงรายการด้วย ขึ้นอยู่กับเวอร์ชันของระบบปฏิบัติการที่คุณใช้ต้องการบริการหลักของ HOST หรือ - สำหรับเวอร์ชันเก่า - ต้องการบริการหลักของ nfs

net ads joinและnet ads keytab createจะทำส่วนแรก - สร้างโฮสต์คีย์แท็บ สำหรับ RHEL 5 ฉันค่อนข้างมั่นใจว่าคุณต้องสร้าง nfs Service Principal บนไคลเอ็นต์ของคุณเพื่ออนุญาตให้เข้าถึงทรัพยากร NFS ได้ ฉันจะถือว่าเหมือนกันกับ Centos 5.6 แต่ฉันไม่แน่ใจ 100% ฉันไม่สามารถให้คำแนะนำจากส่วนบนของหัวฉันได้ฉันจะตรวจสอบดูว่าฉันสามารถหารายละเอียดเพิ่มเติมได้หรือไม่ (ฉันทำไปแล้วและมันใช้งานได้ดีกับ RHEL แต่มันนานพอที่แล้วถ้าฉันยกคำแนะนำฉันจะเข้าใจผิด)

คุณสามารถแก้ไขปัญหาด้วยการยิงขึ้น rpc.gssd -f -vvv

Sobrique
แหล่งที่มา
0

ตกลงหลังจากการวิจัยเล็กน้อยฉันได้พบบทความนี้ที่อธิบายถึงวิธีการบรรลุสิ่งที่คุณกำลังมองหาด้วยไคลเอนต์ Solaris โดยการดูที่ส่วนลูกค้าของเอกสารอื่น ๆ นี้บางทีคุณอาจทำให้ทุกอย่างทำงานได้ ...

เห็นได้ชัดจากสิ่งที่ฉันเห็นจากการมองการทำ NFS3 ภายใต้ลินุกซ์รับรองความถูกต้องกับ Kerberos ควรเป็นไปได้ตรงกันข้ามกับสิ่งที่ฉันคิด; อย่างไรก็ตามข้อมูลมีน้อยมากอย่างไม่น่าเชื่อ

ในกรณีที่เลวร้ายที่สุดที่ทำให้คุณไม่สามารถใช้ CIFS mount ได้คืออะไร หลังจากได้รับการสนับสนุนค่อนข้างดีและเอกสารมากมาย

wazoox
แหล่งที่มา
1
เราพยายามทำให้ CIFS ทำงานและในขณะที่เราสามารถติดตั้งได้อย่างถูกต้องเราไม่สามารถรับโมดูล PAM ที่จำเป็นสำหรับข้อมูลประจำตัวเพื่อทำงานกับ CentOS 5 ฉันจะสามารถทดสอบได้ในวันพรุ่งนี้
อีธาน
1
มองดูสิ่งนี้และไม่เห็นสิ่งใดที่กำหนดค่าแตกต่างกัน ดูเหมือนว่า Windows กำลังทำงานผิดปกติที่นี่และแน่นอนฉันไม่สามารถเข้าถึงเซิร์ฟเวอร์นั้นได้ (เราสามารถดูการเชื่อมต่อเข้ามาใน Windows และมีมันทำอะไรกับมัน)
อีธาน
อืมฉันเคยได้ยินว่าบางครั้งบริการ Unix จำเป็นต้องเริ่มต้นใหม่อาจจะคุ้มค่ากับการลอง ...
wazoox
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.