ここで説明されているように、NFSとKerberosを設定しました。Red Hat Enterprise Linux 7でKerberos NFSサーバーを構成する方法
すべての診断結果は良好ですが、クライアントに共有をマウントしようとすると、次のメッセージが表示されます。
mount.nfs4: access denied by server while mounting kdc.example.com:/var/backup
サーバーとクライアントIPの両方は、/ etc / hosts(サーバーとクライアントコンピュータ)のIPの後の最初の場所にあります。私の設定は次のとおりです
/etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
EXAMPLE.COM = {
kdc = kdc.example.com
admin_server = kdc.example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
/etc/export:
/var/backup client.example.com(rw,sync,no_wdelay,nohide,no_subtree_check,no_root_squash,sec=krb5)
/mnt/storage client.example.com(rw,sync,no_wdelay,nohide,no_subtree_check,no_root_squash,sec=krb5)
/var/kerberos/krb5kdc:
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
EXAMPLE.COM = {
kdc_ports = 88
admin_keytab = /etc/kadm5.keytab
database_name = /var/kerberos/krb5kdc/principal
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/stash
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauth
}
krb5kdc および kadmin サービスがサーバーで実行されています。
クライアントの /etc/fstab:
#NFS area
kdc.example.com:/var/backup /mnt/backup nfs4 rsize=65536,wsize=65536,nolock,hard,sec=krb5
kdc.example.com:/mnt/storage /mnt/storage nfs4 rsize=65536,wsize=65536,nolock,hard,sec=krb5
私がするとき:
mount -vv -t nfs4 -o sec=krb5 kdc.example.com:/var/backup backup
次のメッセージを受け取りました。
mount.nfs4: timeout set for Mon May 22 23:32:59 2017
mount.nfs4: trying text-based options 'sec=krb5,addr=95.85.33.75,clientaddr=192.168.0.2'
mount.nfs4: mount(2): Permission denied
mount.nfs4: access denied by server while mounting kdc.example.com:/var/backup
最初のコメント - /etc/hostsに設定されているclient.example.com以外のclientaddrが192.168.0.2であるのはなぜですか?とにかく、mountの-oオプションにclientaddr = client.example.comを追加すると、同じメッセージが表示されます。
2番目のメッセージは、サーバーの/var/log/krb5kdc.logにあります。
CLIENT_NOT_FOUND: [email protected] for krbtgt/[email protected], Client not found in Kerberos database
サーバー上の klist -k:
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 host/[email protected]
3 host/[email protected]
3 host/[email protected]
3 nfs/[email protected]
3 nfs/[email protected]
3 nfs/[email protected]
クライアントの klist -k:
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 nfs/[email protected]
2 nfs/[email protected]
2 nfs/[email protected]
kadmin -p ルート/管理者:
kadmin: listprincs
K/[email protected]
[email protected]
host/[email protected]
host/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
krbtgt/[email protected]
nfs/[email protected]
nfs/[email protected]
root/[email protected]
それでは、問題は何ですか? NFS共有をマウントできないのはなぜですか?
ベストアンサー1
私は同じ問題に直面しました。この小さなチュートリアルによるとhttps://www.certdepot.net/rhel7-use-kerberos-control-access-nfs-network-shares/ サーバー側ではnfs-secure-serverサービスを有効にし、クライアント側ではnfs-secureサービスを有効にする必要があります。これはトリックを行う必要があります。