Active Directory в качестве KDC для NFS сервера

0

1

Здравствуйте!

Есть поднятый КД на Windows Server 2008R2. Есть NFS сервер на openSuse 11.3. Необходимо раздавать клиентским машинам NFS-шару, закрывая её Керберосом. Собственно, все упирается в ошибку на NFS сервере, а именно при попытке включения модуля, отвечающего за аутентификацию с помощью Керберос, вываливается ошибка:
/etc/init.d/svcgssd start failed

Далее,
/usr/sbin/rpc.svcgssd -f
ERROR: GSS-API: error in gss_acquire_cred(): Miscellaneous failure - No principal in keytab matches desired name
unable to obtain root (machine) credentials
do you have a keytab entry for nfs/<your.host>@<YOUR.REALM> in /etc/krb5.keytab?

Соответствующий кейтаб был ранее создан на Виндовом сервере след. образом:
ktpass -princ nfs/hostname.domain.com@DOMAIN.COM -mapuser DOMAIN\username -pass xxxxxxx -ptype KRB5_NT_PRINCIPAL -out krb5.keytab
, где DOMAIN\username - ранее созданный доменный юзер для ассоциации с этим хостом. После этого кейтаб был перекинут на NFS сервер.

Тем не менее, проблемы это не решило и нужная служба также не запускается.

Где копать и что может быть причиной?

Ссылка

← Что должен знать системный администратор сети Линукс

Скрипт копирования с FTP серверов →

какой kerberos на NFS сервере? MIT или Heimdal?

ключ созданый на винде совместим с mit, но не совместим с heimdal.

klist -c /etc/krb5.keytab -l

что говорит?

Atlant ★★★★★
(23.10.10 08:50:30 MSK)

Ответ на: комментарий от Atlant 23.10.10 08:50:30 MSK

Ну по Вашей команде кидает ошибки о неправильном синтаксисе, а вот если так: klist -k /etc/krb5.keytab

, то будет так:

Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 8 nfs/ip-10-243-1-2.domain.com@DOMAIN.COM

Имя домена закрыл domain.com. То есть вроде бы нормально видит.

LMW ★
(23.10.10 08:58:33 MSK)

Ответ на: комментарий от Atlant 23.10.10 08:50:30 MSK

MIT и Heimdal - это же разные реализации Kerberos-сервера, как я понимаю. Сервер Kerberos у меня виндовый (он поднимается автоматом вместе с AD). Ну а клиенты MIT'овские, krb5.

LMW ★
(23.10.10 09:05:08 MSK)

Ответ на: комментарий от LMW 23.10.10 08:58:33 MSK

А это один и тот же адрес(имя)?
nfs/hostname.domain.com@DOMAIN.COM ( из сообщения rpc.svcgssd)
и
nfs/ip-10-243-1-2.domain.com@DOMAIN.COM ( из сообщения klist )

Atlant ★★★★★
(23.10.10 10:50:34 MSK)

Ответ на: комментарий от LMW 23.10.10 09:05:08 MSK

Верно. Просто ключи получаемые от программы ktpass на windows у меня не подходили к heimdal клиенту.

Atlant ★★★★★
(23.10.10 10:52:09 MSK)

Ссылка

Ответ на: комментарий от Atlant 23.10.10 10:50:34 MSK

Да, адреса полностью идентичны.

LMW ★
(23.10.10 11:05:20 MSK)

Ответ на: комментарий от LMW 23.10.10 11:05:20 MSK

покажи тогда /etc/krb5.conf и кстати обычный kinit user@domain.com проходит нормально?

Atlant ★★★★★
(23.10.10 15:48:57 MSK)

Ответ на: комментарий от Atlant 23.10.10 15:48:57 MSK

Да, kinit username (или username@domain.com) проходит нормально и тикет выдается без проблем. Так же тикет выдается при логине на машну под доменным пользователем.
Вот /etc/krb5.conf:

[libdefaults]
default_realm = DOMAIN.COM
clockskew = 300
dns_lookup_realm = true
dns_lookup_kdc = true
default_tkt_enctypes = des-cbc-crc ; or des-cbc-md5
default_tgs_enctypes = des-cbc-crc ; or des-cbc-md5

[realms]
DOMAIN.COM = {
kdc = f.q.d.n
default_domain = DOMAIN.COM
admin_server = f.q.d.n
}
[domain realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM

[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
external = sshd
use_shmem = sshd
minimum_uid = 0
retain_after_close = false
try_first_pass = true

Кстати, kadmin'ом не получается залогиниться под админом (хотя, я так понимаю, что если kdc - виндовый АД, это и невозможно).

LMW ★
(23.10.10 20:16:22 MSK)

Ответ на: комментарий от LMW 23.10.10 20:16:22 MSK

Хм, а если hostname -fqdn выдает hostname.domain2.com2? То есть этот виртуальный сервак находится в облаке Amazon EC2. Получается, надо делать keytab так: ktpass -princ nfs/ip-10-243-1-2.domain2.com2@DOMAIN.COM -mapuser DOMAIN\nfs10 -pass XXXXXX -ptype KRB5_NT_PRINCIPAL -out krb5.keytab

LMW ★
(24.10.10 05:53:09 MSK)

Ответ на: комментарий от LMW 24.10.10 05:53:09 MSK

может где в настройках есть возможность жестко закрепить нужное имя?

Atlant ★★★★★
(24.10.10 15:41:16 MSK)

Ответ на: комментарий от Atlant 24.10.10 15:41:16 MSK

Хрен его знает, написал на форумах Novell, может там кто чего подскажет, тк у меня идеи кончились.

LMW ★
(25.10.10 02:36:02 MSK)

Ответ на: комментарий от LMW 25.10.10 02:36:02 MSK

просьба озвучить результат

psv1967 ★★★★★
(25.10.10 10:42:24 MSK)

Ответ на: комментарий от psv1967 25.10.10 10:42:24 MSK

В результате оказалось, что не совсем правильно генерировал keytab на виндовом сервере. После вдумчивого прочтения описания на сайте МС сгенерировал правильный keytab и svcgssd поднялась.

regexp
(14.11.10 18:30:42 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← Что должен знать системный администратор сети Линукс

Admin

Скрипт копирования с FTP серверов →

Похожие темы