Клиент NFS Windows 7 с использованием Kerberos и Linux KDC

Я пытаюсь настроить клиент Windows 7 Enterprise для монтирования общего ресурса NFSv4 на сервере Linux NFS с использованием Kerberos и Linux KDC.

Настройка такова:

• IPA-сервер (ОС: Scientific Linux 6.4, Pkg: ipa-server)
• Сервер NFS (ОС: Scientific Linux 6.4, Pkg: nfs-utils)
• Клиент Windows 7 (ОС: 64-разрядная версия Enterprise, Функция: клиент для NFS)

Шаги:

1. На IPA Server создайте участника для клиента Windows с паролем:

   ipa host-add --ip-address=10.10.0.100 win7ent-client.contoso.com
   ipa-getkeytab -s ipa.contoso.com -p host/win7ent-client.contoso.com -k win7ent-client.keytab -P
   ^
   | 
   This will create a principal and register the client with IPA server
   Set a random password - e.g. - jU96e3Urp6
   

   Добавьте службу NFS для клиента:

   ipa service-add nfs / win7ent-client.contoso.com

2. В клиенте Windows:

   ksetup /setdomain CONTOSO.COM
   ksetup /setmachpassword <password set on step 1>
   ksetup /addrealmflags CONTOSO.COM sendaddress delegate
   ksetup /mapuser * *
   

   Перезагрузите клиент Windows

   Бегать:

   ksetup.exe / DumpState

   Это показывает текущую конфигурацию:

   default realm = CONTOSO.COM (external)
   CONTOSO.COM:
       (no kdc entries for this realm)
       Realm Flags = 0x5 SendAddress Delegate
   Mapping all users (*) to a local account by the same name (*).
   

   На клиенте Windows создайте локального пользователя, пароль не требуется, с именем, которое существует на сервере IPA. Или вы получите ошибку - 1332: Никакого сопоставления между именами учетных записей и идентификаторами безопасности не было

   Проверьте, можете ли вы получить билет как пользователь:

   runas /user:joe@CONTOSO.COM cmd

   В новом командном окне запустите:

   klist

   Это выведет текущую информацию о тикете:

   Текущий LogonId: 0: 0x6c70e

   Cached Tickets: (1)
   
   #0> Client: joe @ CONTOSO.COM
       Server: krbtgt/CONTOSO.COM @ CONTOSO.COM
       KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
       Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
       Start Time: 2/22/2014 5:22:07 (local)
       End Time:   2/23/2014 5:22:07 (local)
       Renew Time: 3/1/2014 5:22:07 (local)
       Session Key Type: AES-256-CTS-HMAC-SHA1-96
   

3. Конфигурация сервера NFS

   mkdir -p /winshare/joe
   chown -R joe:joe/winshare/joe
   exportfs -o rw,sec=krb5 *:/winshare/joe
   

При попытке смонтировать общий ресурс на клиенте Windows:

mount -o sec = krb5 nfs.contoso.com:/winshare/joe E:

Я получаю следующую ошибку:

Сетевая ошибка - 121

Type 'NET HELPMSG 121' for more information.

C:\Windows\system32>NET HELPMSG 121

The semaphore timeout period has expired.

Попытка использовать мс-нфс41-клиент-x64 также не удается:

C: \ Users \ joe \ Desktop \ ms-nfs41-client-x64> nfs_mount.exe -o sec = krb5 * nfs.contoso.com:/winshare/joe

WNetUseConnection(*:, \\nfs.contoso.com\winshare\joe) failed with error code 1231.
The network location cannot be reached. For information about network troubleshooting, see Windows Help.

1. Общий ресурс NFS с использованием sec = sys работает
2. Вход в клиент Windows-7, пока работает Джо.
3. Закрепите сервер NFS после того, как ведение журнала Windows работает (если вы сначала установите клиент MIT Kerberos для Windows).

Единственное, что не работает, - это NFS при использовании Kerberos.