Настройка клиента NFS Mac Mountain Lion для безопасного доступа к серверу NFS Debian

Хорошо, я схожу с ума здесь.

Попытка настроить клиент NFS OS X (10.8.2) для подключения к NFS-серверу Debian (6.0.6). В основном я следовал инструкциям здесь: https://help.ubuntu.com/community/NFSv4Howto которые очень тщательны. Однако есть две проблемы:

Когда я не используйте Kerberos, производительность - отстой (я думаю, что что-то должно быть истекло), и все файлы, по-видимому, никому не принадлежат: никто. Делая ls смонтированного каталога занимает десятки секунд.
Когда я делать попробуйте использовать Kerberos с принципалом, созданным для сервера и для клиента, я не могу смонтировать общий ресурс. Клиент жалуется: mount_nfs: can't mount /mnt from servername.domain onto /home: Permission denied

Я назначил двух руководителей, nfs/servername@REALM и nfs/clientname@REALMи скопирован в /etc/krb5.keytab на клиенте и сервере.

Сервер (согласно журналам Kerberos) получает билеты для nfs/servername.REALM поэтому я подозреваю, что клиент OS X NFS каким-то образом не использует свой принципал.

Любые идеи?

Обновить: /var/log/daemon.log отчеты:

Oct  7 19:12:43 servername rpc.svcgssd[19635]: ERROR: GSS-API: error in handle_nullreq: gss_accept_sec_context(): Unspecified GSS failure.  Minor code may provide more information - No supported encryption types (config file error?)

Согласно этой странице: http://permalink.gmane.org/gmane.comp.encryption.kerberos.heimdal.general/5551 Я удалил все параметры шифрования, кроме DES, в клиентских и серверных файлах krb5.keytab. И добавил allow_weak_crypto в /etc/krb5.conf файл. И перезапустил hfs-kernel-server и это все еще не работает. Вздох.

Собственно, сейчас сообщает:

Oct  7 19:26:55 servername rpc.svcgssd[19721]: ERROR: GSS-API: error in handle_nullreq: gss_accept_sec_context(): Unspecified GSS failure.  Minor code may provide more information - Wrong principal in request

Означает ли это, что «В запросе указан неправильный принципал», клиент передает неправильный принципал krb5? Могу ли я контролировать это в OS X?

В Mac OS X 10.8 NFSv4, похоже, не работает.
По неофициальным данным, Apple знает об этой проблеме, но не имеет графика ее устранения. Между тем, по общему мнению, opendirectoryd совершенно не работает.

Несколько мест, где вы можете найти лучшую отладочную информацию:

# sysctl -w vfs.generic.nfs.client.idmap_ctrl=127
Следите за выходом /var/log/system.log пока вы пытаетесь запустить ls команда.
# odutil set log debug
Следите за выходом /var/log/opendirectoryd.log
Использовать dtrace чтобы выяснить где зависание.
Наш опыт показал, что nfs4_id2guid истекает время ожидания, потому что opendirectoryd не всегда правильно регистрируется в ядре.

Я считаю, что вам следует попытаться создать еще двух принципалов с добавлением вашего доменного имени к имени вашего сервера.

подобно nfs/mysername.example.com@REALM и host/myclientname.example.com@REALM

Но в любом случае на MacOSX у вас должен быть TGT ДО попытки монтирования.

Поэтому перед монтированием попробуйте кинит (подойдет любой принципал).

Лично мне удалось установить nfs + kerberos на MacOSX. Но в NFSV3.

В NFSV4 мне удается его смонтировать, но он медленный ... очень медленный.