Kerberos: mount.nfs: доступ запрещен сервером при монтировании

Question

Kerberos: mount.nfs: доступ запрещен сервером при монтировании

Сервер IPA, обеспечивающий DNS, NTP и Kerberos аутентификацию на двух моих лабораторных серверах, при попытке смонтировать общий ресурс Kerberised NFS я получаю эту ошибку:

mount.nfs: доступ запрещен сервером при монтировании

DNS, NTP stratum и User Auth via Kerberos работают нормально, только NFS-ресурсы не монтируются.

На сервере NFS:

[root@server5 secureshare]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 host/server5.example.com@EXAMPLE.COM
   3 host/server5.example.com@EXAMPLE.COM
   3 nfs/server5.example.com@EXAMPLE.COM
   3 nfs/server5.example.com@EXAMPLE.COM
[root@server5 secureshare]# klist -l
Principal name                 Cache name
--------------                 ----------
admin@EXAMPLE.COM              KEYRING:persistent:0:0

На клиенте:

[root@server6 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   4 host/server6.example.com@EXAMPLE.COM
   4 host/server6.example.com@EXAMPLE.COM
   3 nfs/server6.example.com@EXAMPLE.COM
   3 nfs/server6.example.com@EXAMPLE.COM
[root@server6 ~]# klist -l
Principal name                 Cache name
--------------                 ----------
host/server6.example.com@EXAMP KEYRING:persistent:0:krb_ccache_9N4UHQt (Expired)
admin@EXAMPLE.COM              KEYRING:persistent:0:krb_ccache_h4clFv7
[root@server6 ~]# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*labipa.example. 139.59.50.38     3 u   56  128  177    0.316  -773.02  31.477
 LOCAL(0)        .LOCL.           5 l  266   64  360    0.000    0.000   0.000

На сервере IPA я вижу эти ошибки в журналах krb5kdc для обоих узлов:

Mar 08 13:53:07 labipa.example.com krb5kdc[2322](info): AS_REQ (8 etypes {18 17 20 19 16 23 25 26}) 192.168.4.151: NEEDED_PREAUTH: host/server6.example.com@EXAMPLE.COM for krbtgt/EXAMPLE.COM@EXAMPLE.COM, Additional pre-authentication required

Что может привести к этой ошибке. Служба NFS-Secure также работает на обоих узлах.

0

redhat nfs kerberos rhel7 freeipa

Источник

Ardneliahs 08 мар '19 в 19:30

1 ответ

Решение

Другие вопросы по тегам redhat nfs kerberos rhel7 freeipa

Ardneliahs 09 мар '19 в 06:31 2019-03-09 06:31 · Accepted Answer · 2019-03-09 06:31

Обнаружил, что ntpd не был синхронизирован должным образом на сервере IPA, мне пришлось закомментировать несколько строк:

### Added by IPA Installer ###
#server 127.127.1.0 iburst
#fudge 127.127.1.0 stratum 10

И я должен был убедиться, что он использует пул ntp, предоставленный Centos, после этого уровень IPA изменился на 2, а на моих серверах - на 3.

И это было установлено без проблем вообще:

[root@server6 ~]# mount -t nfs -vvv -o sec=krb5p server5.example.com:/srv/secureshare /mnt/securenfs
mount.nfs: timeout set for Sat Mar  9 01:23:02 2019
mount.nfs: trying text-based options 'sec=krb5p,vers=4.1,addr=192.168.4.150,clientaddr=192.168.4.151'


server5.example.com:/srv/secureshare   17G  1.3G   16G   8% /mnt/securenfs