NFS Kerberosを実装すると、マウント後に〜/ .Xauthorityを読み取ることができません。

私はKerberos、LDAP、SSSDがすべて動作するDebian Busterを使用しています。 NFSを使用してクライアントにホームディレクトリをマウントしましたが、これは安全ではないことに気づきました。だからKerberosマウントを実装しました。

ただし、起動時にlightdmでログインしようとすると黒に変わり、エラーなしでlightdmログイン画面に戻ります。私はこれを以下で見つけました/var/log/syslog：

Error reading existing Xauthority: Failed to open file “/home/ben/.Xauthority”: Permission denied
Error writing X authority: Failed to open X authority /home/ben/.Xauthority: Permission denied

tty1su benそれ以来 root 、 run でログインしていましたが、kinit私が所有しているホームディレクトリのどのファイルも読み書きできないようです。他のファイルに設定されているファイルのみが可能です。

/etc/exports私のサーバーの内容は次のとおりです。

/home/ 192.168.16.0/24(rw,sec=krb5p,sync,fsid=0,crossmnt,no_subtree_check)

これは私のものです/etc/fstab：

192.168.16.20:/home /home nfs defaults,exec 0 0

要求に応じてクライアントのkeytabファイルを提供してください。

host/client@DOMAIN
host/client@DOMAIN
nfs/client@DOMAIN
nfs/client@DOMAIN

サーバー上のKadminのNFSプリンシパル：

nfs/server@DOMAIN
nfs/client@DOMAIN

私はこれをしばらくデバッグしてきましたが、実際にどこに行くのに苦労しています。マウントが正しく取り付けられているようです。私のユーザーにKerberosのチケットがあります。権限は完璧に見え、サーバー上で同じユーザーに読み書きすることができます。

この問題を解決するのに役立つ追加情報が必要な場合は、お知らせください。

修正する クライアントにログインしようとすると、サーバーの認証ログにこれが見つかりました。

NEEDED_PREAUTH: ben@DOMAIN for krbtgt/DOMAIN@DOMAIN, Additional pre-authentication required
ISSUE: authtime 1622558991, etypes {rep=18 tkt=18 ses=18}, ben@DOMAIN for krbtgt/DOMAIN@DOMAIN

ntpdateしかし、サーバーでNTPを実行してクライアントからサーバーを指すので、理由はわかりません。また、watch -n 1 date -Rクライアントとサーバーで実行して端末ウィンドウを並べて配置すると、まったく同じ時間が表示されます。このエラーは認証時にも発生しますが、kinitこの問題に関連しているかどうかはわかりません。