KerberosとADを使用したNFS3のマウント
Kerberosを使用してWindows(Server 2008)NFS共有からホームディレクトリを自動マウントする必要があるLinuxサーバー(Centos 5.6)があります。認証がオフになっている場合、共有は(nobodyユーザーとグループで)マウントされます。ただし、-o sec=krb5フラグが渡されると、mount.nfs: permission deniedが返されます。
ルートとして、私はkinitを使用してチケットを取得しましたが、klistはそれが有効なチケットであることを示しています。エラーをグーグルで検索しても、それはちょっとしたキャッチオールのように見えるので、あまり効果がありませんでした。私が調べたどのログにも有用なものは見つかりませんでした。ルートアクセスはWindows共有で許可されるように設定されています。
Windowsからの共有のため、サーバー設定の変更を指示する多くのリソースは直接適用されません。
これを機能させるためのアイデアはありますか?
私を捕らえたのは-そしてあなたが抱えている問題のように見える-rootは... kinitから得たものは何でも使用しないということです。
/etc/krb5.keytabを使用します。これはklist -ktでリストできます。お使いのOSのバージョンに応じて、ホストサービスプリンシパルが必要になるか、古いバージョンの場合はnfsサービスプリンシパルが必要になります。
net ads joinとnet ads keytab createが最初の部分、つまりホストキータブを作成します。 RHEL 5の場合、クライアントがNFSリソースにアクセスできるようにするには、クライアントにnfsサービスプリンシパルを作成する必要があると確信しています。 Centos 5.6についても同じことが言えると思いますが、100%確信はありません。頭のてっぺんから指示を出すことはできません。詳細を確認してみます。 (私はそれを実行しました、そしてそれは間違いなくRHELでこのように機能します、しかし私が指示を引用したならば私がそれを間違えるであろうことは十分ずっと前です)。
rpc.gssd -f -vvvを起動してトラブルシューティングを行うことができます
OK、少し調べてみたところ、 この記事 Solarisクライアントで探しているものを実現する方法を説明しています。 この他のドキュメント のクライアント部分を見ると、すべてが機能する可能性があります...
どうやら私が見たところ、LinuxでNFS3をKerberosに対して認証することは、私が思っていたのとは逆に可能であるはずです。しかし、情報は信じられないほど不足しています。
最悪の場合、CIFSマウントを使用できなくなる原因は何ですか?それが非常によくサポートされ、ドキュメントが豊富になった後。