Почему я получаю ошибку «отсутствие учетных данных» при установке общего ресурса Kerberized NFS?

У меня две системы в локальной сети, nfsclient (CentOS 7) и nfsserver (CentOS 6). Эти имена правильно разрешают их IP-адреса, и Kerberos работает между ними (nfsserver – KDC). У меня есть файл Kerberized NFSv4, экспортированный на nfsserver; мой / etc / exports выглядит следующим образом:

/export *(rw,sync,fsid=0,no_subtree_check,sec=krb5p) /export/home *(rw,sync,no_subtree_check,no_root_squash,sec=krb5p) 

Я вижу этот экспорт из nfsclient:

 [root@nfsclient ~]# showmount -e nfsserver Export list for nfsserver: /export/home * /export * 

Если я удалю опции sec = krb5p в / etc / exports, я смогу установить общий ресурс из nfsclient, используя

 [root@nfsclient ~]# mount -t nfs4 nfsserver:/ /mnt/nfs 

Однако, когда NFS Kerberized, все идет не так:

 [root@nfsclient ~]# mount -t nfs4 -o sec=krb5p nfsserver:/ /mnt/nfs mount.nfs4: access denied by server while mounting nfsserver:/ 

Это сопровождается рядом повторяющихся сообщений об ошибках в / var / log / messages:

 Jun 22 19:55:02 oxo gssproxy: gssproxy[769]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure. Minor code may provide more information, No credentials cache found Jun 22 19:55:02 oxo gssproxy: gssproxy[769]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure. Minor code may provide more information, No credentials cache found Jun 22 19:55:02 oxo gssproxy: gssproxy[769]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure. Minor code may provide more information, No credentials cache found Jun 22 19:55:02 oxo gssproxy: gssproxy[769]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure. Minor code may provide more information, No credentials cache found Jun 22 19:55:02 oxo gssproxy: gssproxy[769]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure. Minor code may provide more information, No credentials cache found Jun 22 19:55:02 oxo gssproxy: gssproxy[769]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure. Minor code may provide more information, No credentials cache found 

Ничего не отображается в журналах на сервере. Запуск klist на клиенте показывает, что у root есть кеш учетных данных в / tmp / krb5cc_0, поэтому мне показалось, что проблема связана с gss-proxy.

/etc/gssproxy/gssproxy.conf:

 [gssproxy] [service/HTTP] mechs = krb5 cred_store = keytab:/etc/gssproxy/http.keytab cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U euid = 48 [service/nfs-server] mechs = krb5 socket = /run/gssproxy.sock cred_store = keytab:/etc/krb5.keytab trusted = yes kernel_nfsd = yes euid = 0 [service/nfs-client] mechs = krb5 cred_store = keytab:/etc/krb5.keytab cred_store = ccache:FILE:/var/lib/gssproxy/clients/krb5cc_%U cred_store = client_keytab:/var/lib/gssproxy/clients/%U.keytab cred_usage = initiate allow_any_uid = yes trusted = yes euid = 0 

Поэтому gss-proxy должен искать кэш учетных данных в / var / lib / gssproxy / clients. Он также получает ключи от /etc/krb5.keytab (у которого есть ключи для принципов nfs / nfsclient и host / nfsclient). Тем не менее, / var / lib / gssproxy / клиенты всегда остаются пустыми на nfsclient.

Я что-то упустил? Я не могу понять, что именно происходит с установкой этой доли.

  • mount to nfs server failed, системная ошибка: нет маршрута к хосту
  • Debian Jessie запускает rpcbind и nfs-common при загрузке с помощью systemd
  • Разрешение Virt-manager Отказано при доступе к пулу NFS
  • Сколько санкционированных кнопок может / должно быть установлено в SSHD?
  • Как настроить фиксированный идентификатор пользователя на сервере NFS?
  • Подождите, пока папка перемещения будет завершена, прежде чем пытаться ее удалить.
  • Есть ли способ достижения контекстно-зависимых имен путей (CDPN) в NFS?
  • Если символическая ссылка на NFS указывает на локальный диск, будет ли потерян локальный диск?
  • 2 Solutions collect form web for “Почему я получаю ошибку «отсутствие учетных данных» при установке общего ресурса Kerberized NFS?”

    Существует проблема с файловой конфигурацией по умолчанию, определяющая путь кэширования с этой конфигурацией клиента:

     [service/nfs-client] mechs = krb5 cred_store = keytab:/etc/krb5.keytab cred_store = ccache:FILE:/tmp/krb5cc_%U cred_usage = initiate allow_any_uid = yes trusted = yes euid = 0 debug = true 

    убедитесь, что ваш клиент подключен к домену.

     ipa-client-install --force-join 

    Затем убедитесь, что у вас есть билет

     kinit admin 

    и затем дважды проверьте krb5.keytab

     restorecon -v /etc/krb5.keytab 

    убедитесь, что ваш клиент находится в keytab

     kinit -k host/ < client > . < domain > @REALM 

    Затем вы можете смонтировать с sec=krb5p

    Interesting Posts

    Ошибка Rhythmbox при сохранении информации о композиции: не удалось мультиплексировать поток

    Почему запуск второго сервера X визуализировал клавиши Ctrl + Alt + Fn, неспособные переключать настольные компьютеры?

    Как сменный текст отображается в терминале?

    Шифровать вывод apt-listchanges перед отправкой электронной почты

    Apache дает мне 403 на виртуальном хосте

    Chrome – Gdk: gdk_window_set_user_time вызван на не-уровень

    Linux Mint 16 случайно замерзает и зависает всегда после приостановки пробуждения

    Сетевой интерфейс USB0 не встает

    Как изменить размер шрифта экрана при использовании виртуальной консоли?

    Проблема с пониманием системы отчетов об ошибках Debian

    Перенаправление портов PPTP

    Ethernet отключил Wi-Fi и почти заморозил Debian stretch

    Проверьте использование CPU / потока для узла в менеджере заданий Slurm

    Как сортировать столбцы на основе первой строки?

    Запуск сценария с заголовками LSB не работает правильно (проблема зависимости)?

    Linux и Unix - лучшая ОС в мире.