У меня есть сервер Linux (Centos 5.6), которому необходимо автоматически монтировать домашние каталоги из общего ресурса NFS Windows (Server 2008) с использованием Kerberos. Общий ресурс монтируется (с пользователем и группой none), если аутентификация отключена. Однако если -o sec=krb5 флаг передан, я получаю mount.nfs: permission denied.
В качестве root я использовал kinit получить билет, и klist говорит мне, что это действительный билет. Погугливание ошибки не дало особого результата, поскольку кажется, что это своего рода уловка. Ничего полезного не было найдено ни в одном из журналов, которые я просматривал. Доступ с правами root разрешен для общего ресурса Windows.
Из-за того, что Windows предоставляет общий доступ, многие ресурсы, в которых говорится об изменении настроек сервера, не применяются напрямую.
Есть идеи, как заставить это работать?
То, что меня поймало - и, похоже, это проблема, с которой вы столкнулись - это то, что root не использует ... все, что вы получаете от kinit.
Он использует /etc/krb5.keytab, который вы можете перечислить с помощью klist -kt. В зависимости от того, какая версия ОС у вас установлена, либо требуется субъект-служба HOST, либо - для более старых версий - субъект-служба nfs.
net ads join и net ads keytab create сделаем первую часть - создадим host keytab. Я почти уверен, что для RHEL 5 вам нужно создать на своем клиенте субъект-службу nfs, чтобы он мог получить доступ к ресурсу NFS. Я бы предположил, что то же самое верно и для Centos 5.6, но я не уверен на 100%. Я не могу дать вам инструкции на пустом месте - я посмотрю и посмотрю, смогу ли я найти более подробную информацию. (Я сделал это, и это определенно работает в RHEL, но это было достаточно давно, и если бы я процитировал инструкции, я бы ошибся).
Вы можете устранить неполадки, запустив rpc.gssd -f -vvv
Хорошо, после небольшого исследования я обнаружил Эта статья Это объясняет, как достичь желаемого с помощью клиента Solaris. Посмотрев на клиентскую часть эта другая документация возможно, ты сможешь заставить все это работать ...
Судя по тому, что я увидел, оглядываясь вокруг, можно сделать аутентификацию NFS3 под Linux против Kerberos, вопреки тому, что я думал; однако информации невероятно мало.
Что в худшем случае мешает использовать CIFS mount? После того, как он довольно хорошо поддерживается, и документации появляется множество.