Назад | Перейти на главную страницу

Устранение проблем аутентификации NFS

Я пытаюсь смонтировать экспорт krb5p NFS. Для этого я следил эти инструкции.

Линия в /etc/exports:

/home/users     192.168.1.0/24(rw,sec=krb5p,no_subtree_check,nohide,async,anonuid=65534,anongid=65534)

При попытке монтирования на клиенте я получаю:

root@client:/home# mount -t nfs4 -o sec=krb5p server:/home/users /home/users/ -vvv
mount: fstab path: "/etc/fstab"
mount: mtab path:  "/etc/mtab"
mount: lock path:  "/etc/mtab~"
mount: temp path:  "/etc/mtab.tmp"
mount: UID:        0
mount: eUID:       0
mount: spec:  "server:/home/users"

mount: node:  "/home/users/"
mount: types: "nfs4"
mount: opts:  "sec=krb5p"
mount: external mount: argv[0] = "/sbin/mount.nfs4"
mount: external mount: argv[1] = "server:/home/users"
mount: external mount: argv[2] = "/home/users/"
mount: external mount: argv[3] = "-v"
mount: external mount: argv[4] = "-o"
mount: external mount: argv[5] = "rw,sec=krb5p"
mount.nfs4: timeout set for Sun May 12 14:46:22 2013
mount.nfs4: trying text-based options 'sec=krb5p,addr=192.168.1.2,clientaddr=192.168.1.82'
mount.nfs4: mount(2): Permission denied
mount.nfs4: access denied by server while mounting server:/home/users

Однако на сервере я не нашел ни соответствующей записи в журнале, ни какой-либо информации, которая описывала бы причину отказа в доступе.

При изменении безопасности с krb5p к sys крепление работает нормально.

kinit и т.д. для Kerberos работает нормально.

Как я могу узнать причину отказа в доступе? Или вы, возможно, знаете, что я здесь делаю не так?

Мне удалось получить еще несколько значимых сообщений на сервере, отредактировав /etc/default/nfs-kernel-server и добавив -s вариант rpc.nfsd как это:

# Options for rpc.nfsd.
RPCNFSDOPTS="-s"

При попытке монтирования я получил результат:

May 12 19:59:48 server krb5kdc[2704]: AS_REQ (4 etypes {18 17 16 23}) 192.168.1.62: NEEDED_PREAUTH: nfs/client.localdomain@REALM for krbtgt/REALM@REALM, Additional pre-authentication required
May 12 19:59:48 server krb5kdc[2704]: preauth (encrypted_timestamp) verify failure: Decrypt integrity check failed
May 12 19:59:48 server krb5kdc[2704]: AS_REQ (4 etypes {18 17 16 23}) 192.168.1.62: PREAUTH_FAILED: nfs/client.localdomain@REALM for krbtgt/REALM@REALM, Decrypt integrity check failed

Не уверен, что это действительно помогает мне, но я на шаг впереди.