Re: ошибка при монтировании NFSv4 + Kerberos AD Win 2008 R2
Dmitry A. Zhiglov писал(а) в своём письме Fri, 11 Nov 2011 17:10:42 +0400: 11 ноября 2011 г. 15:15 пользователь Kramarenko A. Maksim написал: Kerberos вроде работает, но NFS отказывается ((( Мне тоже кажется что в gss дело. Экспортирование вот такое? /archiv-big gss/krb5(rw,sync,nohide,no_subtree_check,crossmnt) Может имеет смысл попробовать gss/krb5i ? И пройтись по tips из документа [1] -- [1] http://wiki.debian.org/NFS/Kerberos Крберос с Win2k8 корректно заработал только на скачанном wheezy-дистрибутиве. Я попробовал в squeeze установить nfs-common и krb5-user c зависимостями из тестовой ветки, но при монтировании rpc.gssd безнадежно падает. Причем сам процесс остается, но уже не на что не реагирует и при второй попытке монтирования, команда mount завершается таймаутом. В лог при монтировании вот что сыпется: === Nov 13 01:43:25 nfs-client rpc.gssd[573]: handling gssd upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt0) Nov 13 01:43:25 nfs-client rpc.gssd[573]: handle_gssd_upcall: 'mech=krb5 uid=0 ' Nov 13 01:43:25 nfs-client rpc.gssd[573]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt0) Nov 13 01:43:25 nfs-client rpc.gssd[573]: process_krb5_upcall: service is '' Nov 13 01:43:25 nfs-client rpc.gssd[573]: Full hostname for 'debian.sag.local' is 'debian.sag.local' Nov 13 01:43:25 nfs-client rpc.gssd[573]: Full hostname for 'nfs-client.sag.local' is 'nfs-client.sag.local' Nov 13 01:43:25 nfs-client rpc.gssd[573]: Key table entry not found while getting keytab entry for 'NFS-CLIENT$@SAG.LOCAL' Nov 13 01:43:25 nfs-client rpc.gssd[573]: Key table entry not found while getting keytab entry for 'root/nfs-client.sag.local@SAG.LOCAL' Nov 13 01:43:25 nfs-client rpc.gssd[573]: Success getting keytab entry for 'nfs/nfs-client.sag.local@SAG.LOCAL' Nov 13 01:43:25 nfs-client rpc.gssd[573]: Successfully obtained machine credentials for principal 'nfs/nfs-client.sag.local@SAG.LOCAL' stored in ccache 'FILE:/tmp/krb5cc_machine_SAG.LOCAL' Nov 13 01:43:25 nfs-client rpc.gssd[573]: INFO: Credentials in CC 'FILE:/tmp/krb5cc_machine_SAG.LOCAL' are good until 1321170228 Nov 13 01:43:25 nfs-client rpc.gssd[573]: using FILE:/tmp/krb5cc_machine_SAG.LOCAL as credentials cache for machine creds Nov 13 01:43:25 nfs-client rpc.gssd[573]: using environment variable to select krb5 ccache FILE:/tmp/krb5cc_machine_SAG.LOCAL Nov 13 01:43:25 nfs-client rpc.gssd[573]: creating context using fsuid 0 (save_uid 0) Nov 13 01:43:25 nfs-client rpc.gssd[573]: creating tcp client for server debian.sag.local Nov 13 01:43:25 nfs-client rpc.gssd[573]: DEBUG: port already set to 2049 Nov 13 01:43:25 nfs-client rpc.gssd[573]: creating context with server n...@debian.sag.local Nov 13 01:43:25 nfs-client rpc.gssd[573]: WARNING: Failed to create krb5 context for user with uid 0 for server debian.sag.local Nov 13 01:43:25 nfs-client rpc.gssd[573]: WARNING: Failed to create machine krb5 context with credentials cache FILE:/tmp/krb5cc_machine_SAG.LOCAL for server debian.sag.local Nov 13 01:43:25 nfs-client rpc.gssd[573]: WARNING: Machine cache is prematurely expired or corrupted trying to recreate cache for server debian.sag.local Nov 13 01:43:25 nfs-client rpc.gssd[573]: Full hostname for 'debian.sag.local' is 'debian.sag.local' Nov 13 01:43:25 nfs-client rpc.gssd[573]: Full hostname for 'nfs-client.sag.local' is 'nfs-client.sag.local' Nov 13 01:43:25 nfs-client rpc.gssd[573]: Key table entry not found while getting keytab entry for 'NFS-CLIENT$@SAG.LOCAL' Nov 13 01:43:25 nfs-client rpc.gssd[573]: Key table entry not found while getting keytab entry for 'root/nfs-client.sag.local@SAG.LOCAL' Nov 13 01:43:25 nfs-client rpc.gssd[573]: Success getting keytab entry for 'nfs/nfs-client.sag.local@SAG.LOCAL' Nov 13 01:43:25 nfs-client rpc.gssd[573]: INFO: Credentials in CC 'FILE:/tmp/krb5cc_machine_SAG.LOCAL' are good until 1321170228 Nov 13 01:43:25 nfs-client rpc.gssd[573]: INFO: Credentials in CC 'FILE:/tmp/krb5cc_machine_SAG.LOCAL' are good until 1321170228 Nov 13 01:43:25 nfs-client rpc.gssd[573]: using FILE:/tmp/krb5cc_machine_SAG.LOCAL as credentials cache for machine creds Nov 13 01:43:25 nfs-client rpc.gssd[573]: using environment variable to select krb5 ccache FILE:/tmp/krb5cc_machine_SAG.LOCAL Nov 13 01:43:25 nfs-client rpc.gssd[573]: creating context using fsuid 0 (save_uid 0) Nov 13 01:43:25 nfs-client rpc.gssd[573]: creating tcp client for server debian.sag.local Nov 13 01:43:25 nfs-client rpc.gssd[573]: DEBUG: port already set to 2049 Nov 13 01:43:25 nfs-client rpc.gssd[573]: creating context with server n...@debian.sag.local Nov 13 01:43:25 nfs-client rpc.gssd[573]: WARNING: Failed to create krb5 context for user with uid 0 for server debian.sag.local Nov 13 01:43:25 nfs-client rpc.gssd[573]: WARNING: Failed to create machine krb5 context with credentials cache FILE:/tmp/krb5cc_machine_SAG.LOCAL for server debian.sag.loc
Re: ошибка при монтировании NFSv4 + Kerberos AD Win 2008 R2
Dmitry A. Zhiglov писал(а) в своём письме Fri, 11
Nov 2011 17:10:42 +0400:
11 ноября 2011 г. 15:15 пользователь Kramarenko A. Maksim
написал:
Kerberos вроде работает, но NFS отказывается (((
Мне тоже кажется что в gss дело.
Экспортирование вот такое?
/archiv-big gss/krb5(rw,sync,nohide,no_subtree_check,crossmnt)
Может имеет смысл попробовать gss/krb5i ?
И пройтись по tips из документа [1]
--
[1] http://wiki.debian.org/NFS/Kerberos
не помогает :(
krb5i задан, сервер перезапущен.
при монтировании:
ARCHIV ~ # mount -v -t nfs4 -o'sec=krb5i' archiv:/archiv-big /mnt
mount.nfs4: timeout set for Fri Nov 11 17:56:38 2011
mount.nfs4: trying text-based options
'sec=krb5i,addr=10.0.0.6,clientaddr=10.0.0.6'
mount.nfs4: mount(2): Permission denied
mount.nfs4: access denied by server while mounting archiv:/archiv-big
В логе то же самое:
Nov 11 17:54:38 archiv rpc.gssd[2213]: handling gssd upcall
(/var/lib/nfs/rpc_pipefs/nfs/clnt28)
Nov 11 17:54:38 archiv rpc.gssd[2213]: handle_gssd_upcall: 'mech=krb5 uid=0 '
Nov 11 17:54:38 archiv rpc.gssd[2213]: handling krb5 upcall
(/var/lib/nfs/rpc_pipefs/nfs/clnt28)
Nov 11 17:54:38 archiv rpc.gssd[2213]: process_krb5_upcall: service is ''
Nov 11 17:54:38 archiv rpc.gssd[2213]: Full hostname for 'archiv.SAG.local' is
'archiv.sag.local'
Nov 11 17:54:38 archiv rpc.gssd[2213]: Full hostname for 'archiv.sag.local' is
'archiv.sag.local'
Nov 11 17:54:38 archiv rpc.gssd[2213]: Key table entry not found while getting
keytab entry for 'root/archiv.sag.local@SAG.LOCAL'
Nov 11 17:54:38 archiv rpc.gssd[2213]: Success getting keytab entry for
'nfs/archiv.sag.local@SAG.LOCAL'
Nov 11 17:54:38 archiv rpc.gssd[2213]: INFO: Credentials in CC
'FILE:/tmp/krb5cc_machine_SAG.LOCAL' are good until 1321043604
Nov 11 17:54:38 archiv rpc.gssd[2213]: INFO: Credentials in CC
'FILE:/tmp/krb5cc_machine_SAG.LOCAL' are good until 1321043604
Nov 11 17:54:38 archiv rpc.gssd[2213]: using FILE:/tmp/krb5cc_machine_SAG.LOCAL
as credentials cache for machine creds
Nov 11 17:54:38 archiv rpc.gssd[2213]: using environment variable to select
krb5 ccache FILE:/tmp/krb5cc_machine_SAG.LOCAL
Nov 11 17:54:38 archiv rpc.gssd[2213]: creating context using fsuid 0 (save_uid
0)
Nov 11 17:54:38 archiv rpc.gssd[2213]: creating tcp client for server
archiv.SAG.local
Nov 11 17:54:38 archiv rpc.gssd[2213]: DEBUG: port already set to 2049
Nov 11 17:54:38 archiv rpc.gssd[2213]: creating context with server
n...@archiv.sag.local
Nov 11 17:54:38 archiv rpc.gssd[2213]: in authgss_create_default()
Nov 11 17:54:38 archiv rpc.gssd[2213]: in authgss_create()
Nov 11 17:54:38 archiv rpc.gssd[2213]: authgss_create: name is 0x81df238
Nov 11 17:54:38 archiv rpc.gssd[2213]: authgss_create: gd->name is 0x81dfe98
Nov 11 17:54:38 archiv rpc.gssd[2213]: in authgss_refresh()
Nov 11 17:54:38 archiv rpc.gssd[2213]: struct rpc_gss_sec:
Nov 11 17:54:38 archiv rpc.gssd[2213]: mechanism_OID: { 1 2 134 72 134 247
18 1 2 2 }
Nov 11 17:54:38 archiv rpc.gssd[2213]: qop: 0
Nov 11 17:54:38 archiv rpc.gssd[2213]: service: 1
Nov 11 17:54:38 archiv rpc.gssd[2213]: cred: 0x81dd540
Nov 11 17:54:38 archiv rpc.gssd[2213]: req_flags: 0002
Nov 11 17:54:38 archiv rpc.gssd[2213]: rpcsec_gss: gss_init_sec_context:
(major) Unspecified GSS failure. Minor code may provide more information -
(minor) No supported encryption types (config file error?)
Nov 11 17:54:38 archiv rpc.gssd[2213]: in authgss_destroy()
Nov 11 17:54:38 archiv rpc.gssd[2213]: in authgss_destroy_context()
Nov 11 17:54:38 archiv rpc.gssd[2213]: authgss_destroy: freeing name 0x81dfe98
Nov 11 17:54:38 archiv rpc.gssd[2213]: authgss_create_default: freeing name
0x81df238
Nov 11 17:54:38 archiv rpc.gssd[2213]: WARNING: Failed to create krb5 context
for user with uid 0 for server archiv.SAG.local
Nov 11 17:54:38 archiv rpc.gssd[2213]: WARNING: Failed to create machine krb5
context with credentials cache FILE:/tmp/krb5cc_machine_SAG.LOCAL for server
archiv.SAG.local
Nov 11 17:54:38 archiv rpc.gssd[2213]: WARNING: Machine cache is prematurely
expired or corrupted trying to recreate cache for server archiv.SAG.local
Nov 11 17:54:38 archiv rpc.gssd[2213]: Full hostname for 'archiv.SAG.local' is
'archiv.sag.local'
Nov 11 17:54:38 archiv rpc.gssd[2213]: Full hostname for 'archiv.sag.local' is
'archiv.sag.local'
Nov 11 17:54:38 archiv rpc.gssd[2213]: Key table entry not found while getting
keytab entry for 'root/archiv.sag.local@SAG.LOCAL'
Nov 11 17:54:38 archiv rpc.gssd[2213]: Success getting keytab entry for
'nfs/archiv.sag.local@SAG.LOCAL'
Nov 11 17:54:38 archiv rpc.gssd[2213]: INFO: Credentials in CC
'FILE:/tmp/krb5cc_machine_SAG.LOCAL' are good until 1321043604
Nov 11 17:54:38 archiv rpc.gssd[2213]: INFO: Credentials in CC
'FILE:/tmp/krb5cc_machine_SAG.LOCAL' are good until 1321043604
Nov 11 17:54:38 archiv rpc.gssd[2213]: using FILE:/tmp/krb5cc_machine_SAG.LOCAL
as credentials cache for machine creds
Nov 11 17:54:38 archiv rpc.gssd[2213]: using e
Re: ошибка при монтировании NFSv4 + Kerberos AD Win 2008 R2
11 ноября 2011 г. 15:15 пользователь Kramarenko A. Maksim написал: > Kerberos вроде работает, но NFS отказывается ((( Мне тоже кажется что в gss дело. Экспортирование вот такое? /archiv-big gss/krb5(rw,sync,nohide,no_subtree_check,crossmnt) Может имеет смысл попробовать gss/krb5i ? И пройтись по tips из документа [1] -- [1] http://wiki.debian.org/NFS/Kerberos
Re: ошибка при монтировании NFSv4 + Kerberos AD Win 2008 R2
Kerberos вроде работает, но NFS отказывается (((
Включил дебаг на клиенте и сервере, вот что мне клиент говорит, при
монтировании командой:
ARCHIV ~ # mount -v -t nfs4 -o'sec=krb5' archiv:/archiv-big /mnt
mount.nfs4: timeout set for Fri Nov 11 15:11:53 2011
mount.nfs4: trying text-based options
'sec=krb5,addr=10.0.0.6,clientaddr=10.0.0.6'
mount.nfs4: mount(2): Permission denied
mount.nfs4: access denied by server while mounting archiv:/archiv-big
в daemolog:
Nov 11 15:09:53 archiv rpc.gssd[2213]: handling gssd upcall
(/var/lib/nfs/rpc_pipefs/nfs/clnt16)
Nov 11 15:09:53 archiv rpc.gssd[2213]: handle_gssd_upcall: 'mech=krb5 uid=0 '
Nov 11 15:09:53 archiv rpc.gssd[2213]: handling krb5 upcall
(/var/lib/nfs/rpc_pipefs/nfs/clnt16)
Nov 11 15:09:53 archiv rpc.gssd[2213]: process_krb5_upcall: service is ''
Nov 11 15:09:53 archiv rpc.gssd[2213]: Full hostname for 'archiv.SAG.local' is
'archiv.sag.local'
Nov 11 15:09:53 archiv rpc.gssd[2213]: Full hostname for 'archiv.sag.local' is
'archiv.sag.local'
Nov 11 15:09:53 archiv rpc.gssd[2213]: Key table entry not found while getting
keytab entry for 'root/archiv.sag.local@SAG.LOCAL'
Nov 11 15:09:53 archiv rpc.gssd[2213]: Success getting keytab entry for
'nfs/archiv.sag.local@SAG.LOCAL'
Nov 11 15:09:53 archiv rpc.gssd[2213]: INFO: Credentials in CC
'FILE:/tmp/krb5cc_machine_SAG.LOCAL' are good until 1321043604
Nov 11 15:09:53 archiv rpc.gssd[2213]: INFO: Credentials in CC
'FILE:/tmp/krb5cc_machine_SAG.LOCAL' are good until 1321043604
Nov 11 15:09:53 archiv rpc.gssd[2213]: using FILE:/tmp/krb5cc_machine_SAG.LOCAL
as credentials cache for machine creds
Nov 11 15:09:53 archiv rpc.gssd[2213]: using environment variable to select
krb5 ccache FILE:/tmp/krb5cc_machine_SAG.LOCAL
Nov 11 15:09:53 archiv rpc.gssd[2213]: creating context using fsuid 0 (save_uid
0)
Nov 11 15:09:53 archiv rpc.gssd[2213]: creating tcp client for server
archiv.SAG.local
Nov 11 15:09:53 archiv rpc.gssd[2213]: DEBUG: port already set to 2049
Nov 11 15:09:53 archiv rpc.gssd[2213]: creating context with server
n...@archiv.sag.local
Nov 11 15:09:53 archiv rpc.gssd[2213]: in authgss_create_default()
Nov 11 15:09:53 archiv rpc.gssd[2213]: in authgss_create()
Nov 11 15:09:53 archiv rpc.gssd[2213]: authgss_create: name is 0x81db118
Nov 11 15:09:53 archiv rpc.gssd[2213]: authgss_create: gd->name is 0x81df3f8
Nov 11 15:09:53 archiv rpc.gssd[2213]: in authgss_refresh()
Nov 11 15:09:53 archiv rpc.gssd[2213]: struct rpc_gss_sec:
Nov 11 15:09:53 archiv rpc.gssd[2213]: mechanism_OID: { 1 2 134 72 134 247
18 1 2 2 }
Nov 11 15:09:53 archiv rpc.gssd[2213]: qop: 0
Nov 11 15:09:53 archiv rpc.gssd[2213]: service: 1
Nov 11 15:09:53 archiv rpc.gssd[2213]: cred: 0x81e27c0
Nov 11 15:09:53 archiv rpc.gssd[2213]: req_flags: 0002
Nov 11 15:09:53 archiv rpc.gssd[2213]: rpcsec_gss: gss_init_sec_context:
(major) Unspecified GSS failure. Minor code may provide more information -
(minor) No supported encryption types (config file error?)
Nov 11 15:09:53 archiv rpc.gssd[2213]: in authgss_destroy()
Nov 11 15:09:53 archiv rpc.gssd[2213]: in authgss_destroy_context()
Nov 11 15:09:53 archiv rpc.gssd[2213]: authgss_destroy: freeing name 0x81df3f8
Nov 11 15:09:53 archiv rpc.gssd[2213]: authgss_create_default: freeing name
0x81db118
Nov 11 15:09:53 archiv rpc.gssd[2213]: WARNING: Failed to create krb5 context
for user with uid 0 for server archiv.SAG.local
Nov 11 15:09:53 archiv rpc.gssd[2213]: WARNING: Failed to create machine krb5
context with credentials cache FILE:/tmp/krb5cc_machine_SAG.LOCAL for server
archiv.SAG.local
Nov 11 15:09:53 archiv rpc.gssd[2213]: WARNING: Machine cache is prematurely
expired or corrupted trying to recreate cache for server archiv.SAG.local
Nov 11 15:09:53 archiv rpc.gssd[2213]: Full hostname for 'archiv.SAG.local' is
'archiv.sag.local'
Nov 11 15:09:53 archiv rpc.gssd[2213]: Full hostname for 'archiv.sag.local' is
'archiv.sag.local'
Nov 11 15:09:53 archiv rpc.gssd[2213]: Key table entry not found while getting
keytab entry for 'root/archiv.sag.local@SAG.LOCAL'
Nov 11 15:09:53 archiv rpc.gssd[2213]: Success getting keytab entry for
'nfs/archiv.sag.local@SAG.LOCAL'
Nov 11 15:09:53 archiv rpc.gssd[2213]: INFO: Credentials in CC
'FILE:/tmp/krb5cc_machine_SAG.LOCAL' are good until 1321043604
Nov 11 15:09:53 archiv rpc.gssd[2213]: INFO: Credentials in CC
'FILE:/tmp/krb5cc_machine_SAG.LOCAL' are good until 1321043604
Nov 11 15:09:53 archiv rpc.gssd[2213]: using FILE:/tmp/krb5cc_machine_SAG.LOCAL
as credentials cache for machine creds
Nov 11 15:09:53 archiv rpc.gssd[2213]: using environment variable to select
krb5 ccache FILE:/tmp/krb5cc_machine_SAG.LOCAL
Nov 11 15:09:53 archiv rpc.gssd[2213]: creating context using fsuid 0 (save_uid
0)
Nov 11 15:09:53 archiv rpc.gssd[2213]: creating tcp client for server
archiv.SAG.local
Nov 11 15:09:53 archiv rpc.gssd[2213]: DEBUG: port already set to 2049
Nov 11 15:09:53 archiv rpc.gssd[2213]: creating context with server
Re: ошибка при монтировании NFSv4 + Kerberos AD Win 2008 R2
Тааак... Спасибо. Шифрование победил.
Теперь буду бороться с NFS
Итого конфиг krb5.conf
ARCHIV ~ # cat /etc/krb5.conf
[libdefaults]
default_realm = SAG.LOCAL
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
permitted_enctypes = rc4-hmac
[realms]
SAG.LOCAL = {
kdc = dc.sag.local
admin_server = dc.sag.local
default_domain = SAG.LOCAL
}
[domain_realm]
.sag.local = SAG.LOCAL
sag.local = SAG.LOCAL
Билетик корректно получается:
ARCHIV ~ # kinit -k -t /etc/krb5.keytab nfs/archiv.sag.local
ARCHIV ~ # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: nfs/archiv.sag.local@SAG.LOCAL
Valid starting ExpiresService principal
11/11/11 11:48:25 11/11/11 21:48:30 krbtgt/SAG.LOCAL@SAG.LOCAL
renew until 11/12/11 11:48:25
Dmitry A. Zhiglov писал(а) в своём письме Thu, 10
Nov 2011 23:09:40 +0400:
10 ноября 2011 г. 19:30 пользователь Kramarenko A. Maksim
написал:
Народ, подскажите хоть в какую сторону копать-то?
Устал уже от этого Kerberos (((
Kramarenko A. Maksim писал(а) в своём письме Tue, 08
Nov 2011 17:26:57 +0400:
Может будет полезна.
http://osdude.wordpress.com/2011/08/12/authenticating-unixlinux-to-windows-2008r2-part-5-kerberos-encryption-types/
Кроме того, интернет подсказывает, что надо будет пересоздать
пользователя и кейтаб, но можно для начала попробовать без.
--
С Уважением,
Re: ошибка при монтировании NFSv4 + Kerberos AD Win 2008 R2
10 ноября 2011 г. 19:30 пользователь Kramarenko A. Maksim написал: > Народ, подскажите хоть в какую сторону копать-то? > Устал уже от этого Kerberos ((( > > Kramarenko A. Maksim писал(а) в своём письме Tue, 08 > Nov 2011 17:26:57 +0400: Может будет полезна. http://osdude.wordpress.com/2011/08/12/authenticating-unixlinux-to-windows-2008r2-part-5-kerberos-encryption-types/ Кроме того, интернет подсказывает, что надо будет пересоздать пользователя и кейтаб, но можно для начала попробовать без.
Re: ошибка при монтировании NFSv4 + Kerberos AD Win 2008 R2
Народ, подскажите хоть в какую сторону копать-то? Устал уже от этого Kerberos ((( Kramarenko A. Maksim писал(а) в своём письме Tue, 08 Nov 2011 17:26:57 +0400: Добрейшего всем времени! Пытаюсь настроить сервер и клиента NFS с Kerberos (KDC - Active Directory Win 2k8 R2 в режиме леса Win 2k3). Не могу заставить работать... Что сделано: 1. Настроен NFS сервер и клиент на Debian 6.0.3: === ARCHIV ~ # dpkg -l | grep nfs ii libnfsidmap2 0.23-2 An nfs idmapping library ii nfs-common 1:1.2.2-4NFS support files common to client and server ii nfs-kernel-server 1:1.2.2-4support for NFS kernel server ARCHIV ~ # grep -v "^#" /etc/default/nfs-common NEED_STATD= STATDOPTS= NEED_IDMAPD=yes NEED_GSSD=yes RPCGSSDOPTS="-vvv" ARCHIV ~ # grep -v "^#" /etc/default/nfs-kernel-server RPCNFSDCOUNT=8 RPCNFSDPRIORITY=0 RPCMOUNTDOPTS=--manage-gids NEED_SVCGSSD=yes RPCSVCGSSDOPTS=-vvv ARCHIV ~ # grep -v "^#" /etc/exports /archiv-small *(rw,fsid=0,sync,nohide,no_subtree_check,crossmnt) /archiv-small gss/krb5(rw,fsid=0,sync,nohide,no_subtree_check,crossmnt) /archiv-small gss/krb5i(rw,fsid=0,sync,nohide,no_subtree_check,crossmnt) /archiv-small gss/krb5p(rw,fsid=0,sync,nohide,no_subtree_check,crossmnt) /archiv-big gss/krb5(rw,sync,nohide,no_subtree_check,crossmnt) ARCHIV ~ # ls -dla /ar* drwxrwxrwt 4 root root 4096 Окт 21 11:55 /archiv-big drwxrwxrwt 4 root root 4096 Ноя 6 00:02 /archiv-small ARCHIV ~ # grep 2049 /etc/services nfs 2049/tcp# Network File System nfs 2049/udp# Network File System ARCHIV ~ # rpcinfo -p прог-ма верс прото порт 102 tcp111 portmapper 102 udp111 portmapper 1000241 udp 47473 status 1000241 tcp 34738 status 1000211 udp 56591 nlockmgr 1000213 udp 56591 nlockmgr 1000214 udp 56591 nlockmgr 1000211 tcp 44284 nlockmgr 1000213 tcp 44284 nlockmgr 1000214 tcp 44284 nlockmgr 132 tcp 2049 nfs 133 tcp 2049 nfs 134 tcp 2049 nfs 132 udp 2049 nfs 133 udp 2049 nfs 134 udp 2049 nfs 151 udp 58700 mountd 151 tcp 54404 mountd 152 udp 58700 mountd 152 tcp 54404 mountd 153 udp 58700 mountd 153 tcp 54404 mountd === Без кербероса монтирование происходит на ура, как локальным клиентом, так и удаленным: === ARCHIV ~ # mount archiv:/archiv-small /mnt ARCHIV ~ # mount | grep arс /dev/sdb1 on /archiv-big type ext4 (rw,noexec,nosuid) /dev/sdc1 on /archiv-small type ext4 (rw,noexec,nosuid) archiv:/archiv-small on /mnt type nfs (rw,addr=127.0.1.1) === 2. Настраиваю керберос (по инструкшену: http://nfsworld.blogspot.com/2005_06_01_archive.html, а так же https://help.ubuntu.com/community/NFSv4Howto и http://wiki.debian.org/NFS/Kerberos и много-много гугла ): 2.1. в AD создан пользователь nfssrv. В свойствах выставлен чекбокс "Использовать тип шифрование Kerberos DES для этой" (пробовал и без него), задан бессрочный пароль с запретом на смену. 2.2. Создан кейтаб на контроллере домена, командой: == C:\tmp>ktpass -princ nfs/archiv.sag.local@SAG.LOCAL -mapuser SAG\nfssrv -pass ** -ptype KRB5_NT_PRINCIPAL -out krb5.keytab Targeting domain controller: DC.sag.local Using legacy password setting method Successfully mapped nfs/archiv.sag.local to nfssrv. Key created. Output keytab to krb5.keytab: Keytab version: 0x502 keysize 65 nfs/archiv.sag.local@SAG.LOCAL ptype 1 (KRB5_NT_PRINCIPAL) vno 5 etyp e 0x17 (RC4-HMAC) keylength 16 (0x21b0dfb3f9419b0c2017d54225c13f12) а так же пробовал: C:\tmp>ktpass -princ nfs/archiv.sag.local@SAG.LOCAL -crypto ALL -mapuser SAG\nfssrv -pass ** -ptype KRB5_NT_PRINCIPAL -out krb5.keytab === 2.3. кейтаб размещен в Debian в /etc/krb5.keytab: == ARCHIV ~ # ls -la /etc/krb5.k* -rw-r--r-- 1 root root 71 Ноя 8 09:41 /etc/krb5.keytab 2.4. Установлены клиентские пакеты MIT kerberos: === ARCHIV ~ # dpkg -l | grep krb ii krb5-config2.2 Configuration files for Kerberos Version 5 ii krb5-user 1.8.3+dfsg-4squeeze2 Basic programs to authenticate using MIT Kerberos ii libgssapi-krb5-2 1.8.3+dfsg-4squeeze2 MIT Kerberos runtime libraries - krb5 GSS-API Mechanism ii libkrb5-3 1.8.3+d
ошибка при монтировании NFSv4 + Kerberos AD Win 2008 R2
Добрейшего всем времени! Пытаюсь настроить сервер и клиента NFS с Kerberos (KDC - Active Directory Win 2k8 R2 в режиме леса Win 2k3). Не могу заставить работать... Что сделано: 1. Настроен NFS сервер и клиент на Debian 6.0.3: === ARCHIV ~ # dpkg -l | grep nfs ii libnfsidmap2 0.23-2 An nfs idmapping library ii nfs-common 1:1.2.2-4NFS support files common to client and server ii nfs-kernel-server 1:1.2.2-4support for NFS kernel server ARCHIV ~ # grep -v "^#" /etc/default/nfs-common NEED_STATD= STATDOPTS= NEED_IDMAPD=yes NEED_GSSD=yes RPCGSSDOPTS="-vvv" ARCHIV ~ # grep -v "^#" /etc/default/nfs-kernel-server RPCNFSDCOUNT=8 RPCNFSDPRIORITY=0 RPCMOUNTDOPTS=--manage-gids NEED_SVCGSSD=yes RPCSVCGSSDOPTS=-vvv ARCHIV ~ # grep -v "^#" /etc/exports /archiv-small *(rw,fsid=0,sync,nohide,no_subtree_check,crossmnt) /archiv-small gss/krb5(rw,fsid=0,sync,nohide,no_subtree_check,crossmnt) /archiv-small gss/krb5i(rw,fsid=0,sync,nohide,no_subtree_check,crossmnt) /archiv-small gss/krb5p(rw,fsid=0,sync,nohide,no_subtree_check,crossmnt) /archiv-big gss/krb5(rw,sync,nohide,no_subtree_check,crossmnt) ARCHIV ~ # ls -dla /ar* drwxrwxrwt 4 root root 4096 Окт 21 11:55 /archiv-big drwxrwxrwt 4 root root 4096 Ноя 6 00:02 /archiv-small ARCHIV ~ # grep 2049 /etc/services nfs 2049/tcp# Network File System nfs 2049/udp# Network File System ARCHIV ~ # rpcinfo -p прог-ма верс прото порт 102 tcp111 portmapper 102 udp111 portmapper 1000241 udp 47473 status 1000241 tcp 34738 status 1000211 udp 56591 nlockmgr 1000213 udp 56591 nlockmgr 1000214 udp 56591 nlockmgr 1000211 tcp 44284 nlockmgr 1000213 tcp 44284 nlockmgr 1000214 tcp 44284 nlockmgr 132 tcp 2049 nfs 133 tcp 2049 nfs 134 tcp 2049 nfs 132 udp 2049 nfs 133 udp 2049 nfs 134 udp 2049 nfs 151 udp 58700 mountd 151 tcp 54404 mountd 152 udp 58700 mountd 152 tcp 54404 mountd 153 udp 58700 mountd 153 tcp 54404 mountd === Без кербероса монтирование происходит на ура, как локальным клиентом, так и удаленным: === ARCHIV ~ # mount archiv:/archiv-small /mnt ARCHIV ~ # mount | grep arс /dev/sdb1 on /archiv-big type ext4 (rw,noexec,nosuid) /dev/sdc1 on /archiv-small type ext4 (rw,noexec,nosuid) archiv:/archiv-small on /mnt type nfs (rw,addr=127.0.1.1) === 2. Настраиваю керберос (по инструкшену: http://nfsworld.blogspot.com/2005_06_01_archive.html, а так же https://help.ubuntu.com/community/NFSv4Howto и http://wiki.debian.org/NFS/Kerberos и много-много гугла ): 2.1. в AD создан пользователь nfssrv. В свойствах выставлен чекбокс "Использовать тип шифрование Kerberos DES для этой" (пробовал и без него), задан бессрочный пароль с запретом на смену. 2.2. Создан кейтаб на контроллере домена, командой: == C:\tmp>ktpass -princ nfs/archiv.sag.local@SAG.LOCAL -mapuser SAG\nfssrv -pass ** -ptype KRB5_NT_PRINCIPAL -out krb5.keytab Targeting domain controller: DC.sag.local Using legacy password setting method Successfully mapped nfs/archiv.sag.local to nfssrv. Key created. Output keytab to krb5.keytab: Keytab version: 0x502 keysize 65 nfs/archiv.sag.local@SAG.LOCAL ptype 1 (KRB5_NT_PRINCIPAL) vno 5 etyp e 0x17 (RC4-HMAC) keylength 16 (0x21b0dfb3f9419b0c2017d54225c13f12) а так же пробовал: C:\tmp>ktpass -princ nfs/archiv.sag.local@SAG.LOCAL -crypto ALL -mapuser SAG\nfssrv -pass ** -ptype KRB5_NT_PRINCIPAL -out krb5.keytab === 2.3. кейтаб размещен в Debian в /etc/krb5.keytab: == ARCHIV ~ # ls -la /etc/krb5.k* -rw-r--r-- 1 root root 71 Ноя 8 09:41 /etc/krb5.keytab 2.4. Установлены клиентские пакеты MIT kerberos: === ARCHIV ~ # dpkg -l | grep krb ii krb5-config2.2 Configuration files for Kerberos Version 5 ii krb5-user 1.8.3+dfsg-4squeeze2 Basic programs to authenticate using MIT Kerberos ii libgssapi-krb5-2 1.8.3+dfsg-4squeeze2 MIT Kerberos runtime libraries - krb5 GSS-API Mechanism ii libkrb5-3 1.8.3+dfsg-4squeeze2 MIT Kerberos runtime libraries ii libkrb5support01.8.3+dfsg-4squeeze2 MIT Kerberos runtime libraries - Support library =
Re: NFSv4
>>>>> Dmitriy Sirant writes:
[…]
> После установки nfs4-acl-tools все стало еще круче... Да, там
> действительно есть ACL но средство для их установки - это нечто...
> Нет ли каких-то средств для установки ACL рекурсивно ?
Не знаком с этим пакетом, но не поможет ли find(1)? Подобно:
$ find /some/where/ -type d -exec change-acl-thingy -v -- NEW-DIR-ACL {} +
$ find /some/where/ -type f -exec change-acl-thingy -v -- NEW-REGFILE-ACL {} +
> И еще вопрос, а если я откачусь на nfs v3 ? Там ACL сразу отпадут
> как недодерживаемые ?
Возможно. Если это ACL, специфичные для NFSv4, то, пожалуй,
наверняка.
> А как там решается вопрос с сопоставлением id ?
Общим отображением имен в идентификаторы. E. g., хранением
пользователей в базах LDAP или NIS, или синхронизацией
passwd(5).
> Мне всего-то нужно хранить вебсайты и почтовые каталоги на удаленном
> сервере хранения, так как там зеркалирование со снапшотами по
> расписанию. Просто если расшаривать блочное устройство - то я смогу
> откатиться на снапшот всего устройства, а если расшаривать CIFS или
> NFS - то есть возможность видеть каждый отдельный файл в каждом
> снапшоте, что гораздо удобней с точки зрения отката на какую-то дату.
В общем случае, я бы предпочел rsync(1), если я, конечно,
правильно понял проблему.
--
FSF associate member #7257
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/86hb66lnss@gray.siamics.net
Re: NFSv4
28 июля 2011, в 04:49, Ivan Shmakov написал(а): >> Dmitriy Sirant writes: >> 27 июля 2011, в 19:38, Ivan Shmakov написал(а): >> Dmitriy Sirant writes: > > […] > Что еще можно посмотреть ? > >>> /etc/idmapd.conf на предмет параметра Domain. > >>> С другой стороны, если запись в предварительно созданный файл была >>> успешна, то едва ли проблема в этом. > >> В исходном письме сказано, что домены одинаковые. > > Действительно. > > IOW, следующая команда успешна на сервере, и приводит к отказу > на клиенте? > > # su skodaweb -c 'touch /var/webdata/newfile' Сервер: root@nexenta:/volumes/data/webdata/skodaweb# su skodaweb -c 'touch newfile' root@nexenta:/volumes/data/webdata/skodaweb# ls cgi-bin html log newfile root@nexenta:/volumes/data/webdata/skodaweb# rm newfile Клиент: root@web:/var/webdata/skodaweb# su skodaweb -c 'touch newfile' touch: невозможно выполнить touch для «newfile»: Отказано в доступе > > Напротив, запись в существующий oldfile успешна в обоих случаях? > Сервер: root@nexenta:/volumes/data/webdata/skodaweb# su skodaweb -c 'echo test > newfile' root@nexenta:/volumes/data/webdata/skodaweb# cat newfile test Клиет: А вот тут я получается наврал, доступа нет на запись существующего файла. root@web:/var/webdata/skodaweb# su skodaweb -c 'echo test_new > newfile' bash: newfile: Отказано в доступе root@web:/var/webdata/skodaweb# su skodaweb -c 'cat newfile' test > Если в /var/webdata/ создать директорию test, > > # install -d -m 0775 -o skodaweb -g hosted -- /var/webdata/test/ > На клиенте дало создать. > удается ли выполнить запись в /var/webdata/test/newfile от > пользователя skodaweb? > Нет, не дает. > Могут ли в проблеме быть как-то «замешаны» ACL? > А вот за этот вопрос спасибо :) После установки nfs4-acl-tools все стало еще круче... Да, там действительно есть ACL но средство для их установки - это нечто... Нет ли каких-то средств для установки ACL рекурсивно ? И еще вопрос, а если я откачусь на nfs v3 ? Там ACL сразу отпадут как недодерживаемые ? А как там решается вопрос с сопоставлением id ? Мне всего-то нужно хранить вебсайты и почтовые каталоги на удаленном сервере хранения, так как там зеркалирование со снапшотами по расписанию. Просто если расшаривать блочное устройство - то я смогу откатиться на снапшот всего устройства, а если расшаривать CIFS или NFS - то есть возможность видеть каждый отдельный файл в каждом снапшоте, что гораздо удобней с точки зрения отката на какую-то дату. -- With best regards, Dmitriy Sirant -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/37e7c8ef-3eb6-4a9e-9252-2938f2f55...@skoda.com.ua
Re: NFSv4
> Dmitriy Sirant writes: > 27 июля 2011, в 19:38, Ivan Shmakov написал(а): > Dmitriy Sirant writes: […] >>> Что еще можно посмотреть ? >> /etc/idmapd.conf на предмет параметра Domain. >> С другой стороны, если запись в предварительно созданный файл была >> успешна, то едва ли проблема в этом. > В исходном письме сказано, что домены одинаковые. Действительно. IOW, следующая команда успешна на сервере, и приводит к отказу на клиенте? # su skodaweb -c 'touch /var/webdata/newfile' Напротив, запись в существующий oldfile успешна в обоих случаях? Если в /var/webdata/ создать директорию test, # install -d -m 0775 -o skodaweb -g hosted -- /var/webdata/test/ удается ли выполнить запись в /var/webdata/test/newfile от пользователя skodaweb? Могут ли в проблеме быть как-то «замешаны» ACL? -- FSF associate member #7257 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86bowfmaxd@gray.siamics.net
Re: NFSv4
27 июля 2011, в 19:38, Ivan Shmakov написал(а): >> Dmitriy Sirant writes: > > […] > >> Server: >> drwxr-xr-x 4 root root 4 May 9 15:52 backups >> drwxrwxr-x 6 root hosted5 Jul 18 12:40 webdata > >> Client: >> drwxrwxr-x 6 root hosted5 Июл 18 12:40 web data > >> skodaweb@web:/var/webdata$ id >> uid=1003(skodaweb) gid=1001(hosted) группы=1001(hosted) >> skodaweb@web:/var/webdata$ touch test >> touch: невозможно выполнить touch для «test»: Отказано в доступе > >> Что еще можно посмотреть ? > > /etc/idmapd.conf на предмет параметра Domain. > > С другой стороны, если запись в предварительно созданный файл > была успешна, то едва ли проблема в этом. > В исходном письме сказано, что домены одинаковые. -- With best regards, Dmitriy Sirant -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/7af2d1d7-23a0-473c-99c6-abd131d1f...@skoda.com.ua
Re: NFSv4
> Dmitriy Sirant writes: […] > Server: > drwxr-xr-x 4 root root 4 May 9 15:52 backups > drwxrwxr-x 6 root hosted5 Jul 18 12:40 webdata > Client: > drwxrwxr-x 6 root hosted5 Июл 18 12:40 web data > skodaweb@web:/var/webdata$ id > uid=1003(skodaweb) gid=1001(hosted) группы=1001(hosted) > skodaweb@web:/var/webdata$ touch test > touch: невозможно выполнить touch для «test»: Отказано в доступе > Что еще можно посмотреть ? /etc/idmapd.conf на предмет параметра Domain. С другой стороны, если запись в предварительно созданный файл была успешна, то едва ли проблема в этом. -- FSF associate member #7257 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86fwlrn0fl@gray.siamics.net
Re: NFSv4
27 июля 2011, в 17:49, Mikhail A Antonov написал(а): > 27.07.2011 18:15, Dmitriy Sirant пишет: >> Пробовал делать chown test:test /var/webdata и chmod 755 /var/webdata - >> ничего не меняется. >> > Это надо делать на сервере. > Сделал. Сервер и клент рестартанул. Server: drwxr-xr-x 4 root root 4 May 9 15:52 backups drwxrwxr-x 6 root hosted5 Jul 18 12:40 webdata Client: drwxrwxr-x 6 root hosted5 Июл 18 12:40 web data skodaweb@web:/var/webdata$ id uid=1003(skodaweb) gid=1001(hosted) группы=1001(hosted) skodaweb@web:/var/webdata$ touch test touch: невозможно выполнить touch для «test»: Отказано в доступе Что еще можно посмотреть ? -- With best regards, Dmitriy Sirant -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/32364a2f-c3b3-4c04-a782-9fdc4a30d...@skoda.com.ua
Re: NFSv4
27.07.2011 18:15, Dmitriy Sirant пишет: > Пробовал делать chown test:test /var/webdata и chmod 755 /var/webdata - > ничего не меняется. > Это надо делать на сервере. -- Best regards, Mikhail. signature.asc Description: OpenPGP digital signature
NFSv4
Добрый день Заблудился в 3 соснах, помогите. Есть сервер раздающий папку по NFSv4 (nexenta, но это не принципиально для общего понимания). Есть клиент (debian stable), который подключается к этой папке. На сервере и клиенте создан пользователь test и группа test. И там и там запущены idmapd. Домены прописаны одинаковые и на клиенте и на сервере. На клиенте папка маунтится из fstab так: nexenta:/volumes/data/webdata/var/webdata nfs4 intr0 0 На сервере отключены anonymous_rw, anonymous доступ, и добавлены параметры rw=@192.168.132.0/24, root=@192.168.132.0/24 Если зайти пользователем test в папке /var/webdata и попробовать создать файл/директорию - получаем permissions deny, но если файл предварительно создать от root, потом сделать ему chown test:tes ./file то пользователь может спокойно в него писать. Пробовал делать chown test:test /var/webdata и chmod 755 /var/webdata - ничего не меняется. Как вообще работает этот idmap в NFSv4 ? Спасибо -- With best regards, Dmitriy Sirant
