Fórum Root.cz

Hlavní témata => Server => Téma založeno: aigor.net 31. 07. 2024, 11:24:10

Název: NFSv4 a Kerberos na Debianu
Přispěvatel: aigor.net 31. 07. 2024, 11:24:10

Ahoj, snažím se o nastavení jednoduchého labu mezi dvěma VM a už mi dochází nápady co ještě vyzkoušet.
Čistá instalace Debian BookWorm, server a klient. NFS jede bez problémů, ale nedokážu to rozjet přes Kerberos se šifrováním.
Návodů je na netu mraky, ale skoro vše je buď pro prehistorické verze, jiný OS, nebo proti AD.
Kerberos se teprve učím, tak spíš experimentuju.

Stanice i server na sebe vidí, doména je staticky přes /etc/hosts, ale získání tiketu selhává - nevezme žádné heslo, jedině když přenesu tabulku klíčů a načtu v kinit.
Ale ani potom neprojde mapování disku, vrací "mount.nfs4: an incorrect mount option was specified"

Pomohl by mi i odkaz na ověřený postup, není problém vrátit se na předchozí snapshot a udělat novou konfiguraci...

Název: Re:NFSv4 a Kerberos na Debianu
Přispěvatel: MarekG 02. 08. 2024, 13:42:14

Ahoj,

rozbehaval som to síce na Fedore, ale asi to bude rovnaké.

1. Vyrobiť pricipal pre server:

# kadmin.local
add_princ -randkey nfs/server.example.com
ktadd nfs/server.example.com

2. Vyexportovať filesystem:

/etc/exports.d/client.exports:
/path/to/share client.example.com(rw,root_squash,anonuid=65534,anongid=65534,sec=krb5)

3. Na serveri vyrobiť principal pre client.example.com:

# kadmin.local
add_princ -randkey nfs/client.example.com
ktadd -k client.keytab nfs/client.example.com

4. Skopírovať vyrobený client.keytab do keytabu na klientskej stanici.

5. Na klientovi pridať do /etc/fstab:

server.example.com:/path/to/share /path/to/mount nfs4 _netdev,defaults,sec=krb5,soft,intr,timeo=14,acl,x-systemd.automount    0 0

6. V prípade, že sa jedná o domovské adresáre a používa sa selinux:

# setsebool use_nfs_home_dirs on

Dúfam, že pomohlo.

S pozdravom

Marek

Název: Re:NFSv4 a Kerberos na Debianu
Přispěvatel: aigor.net 02. 08. 2024, 15:39:48

Díky ti!, konečně rozlousknuto...

• ve spoustě návodů chyběl podstatný detail o přetažení keytab tabulky na klienta
• při vytváření add_princ & ktadd jsem použil @REALM místo domény

Shodou okolností sem v každém zkoušeném postupu dělat buď jednu, druhou, nebo obě uvedené chyby  :-\
Mít tě poblíž, zvu tě dnes na pivo!  ;) 8)

Název: Re:NFSv4 a Kerberos na Debianu
Přispěvatel: MarekG 02. 08. 2024, 18:13:57

Som rád, že som mohol pomôcť.

Marek