« vorheriges nächstes »
Seiten: [1]   Nach unten

Autor Thema: kerberized NFSv4  (Gelesen 1855 mal)

xyll

  • Gast
kerberized NFSv4
« am: 23. Oktober 2008, 13:53:40 »
Hi, All!
Seit einigen Wochen versuche kerberized NFS unter Solaris 10(Sparc) aufzusetzen. Kerberos-server(Heimdal-KDC) läuft auf einem separaten server, KDC hat host-principal für NFS-Server und user-principals
der clients. Auf NFS-Server läuft LDAP-Client, krb5-client, keytab mit host-principal liegt vor.  Ich möchte homeverzeichnisse exportieren OHNE keytab an client-seite, sondern mit user-principal. Dafür gibt es gssd und gsscred. Die gsscred-Tabelle
habe ich der Dokumentation entsprechend generiert. Mit kinit user1 bekomme ich authentication-ticket und beim versuch share zu mounten bekomme ich auch service-ticket.
HELP!  ???

Vielen Dank im Voraus!!! ;)


bash-3.00#kinit user1
Password for user1@DOMAIN.ORG:
bash-3.00# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user1@DOMAIN.ORG

Valid starting                Expires                Service principal
10/23/08 13:37:54  10/24/08 13:37:54  krbtgt/DOMAIN.ORG@DOMAIN.ORG
        renew until 10/30/08 12:37:54

bash-3.00# mount -F nfs -o sec=krb5 nfsserver.domain.org:/export/home/user1 /mnt/user1
nfs mount: mount: /mnt/user1: Permission denied
bash-3.00# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user1@DOMAIN.ORG

Valid starting                Expires                Service principal
10/23/08 13:37:54  10/24/08 13:37:54  krbtgt/DOMAIN.ORG@DOMAIN.ORG
        renew until 10/30/08 12:37:54
10/23/08 13:41:25  10/24/08 13:37:54  nfs/nfsserver.domain.org@DOMAIN.ORG
        renew until 10/30/08 12:37:54
bash-3.00#



bash-3.00# klist -k
Name der Schlüsseltabelle: FILE:/etc/krb5/krb5.keytab
KVNO-ZeitstempelKVNO-Hauptbenutzer
---- --------------------------------------------------------------------------
   1 nfs/nfsserver.domain.org@DOMAIN.ORG


bash-3.00# share
-               /export/home/user1   sec=krb5:krb5i:krb5p,rw=user1   "Users home directories"
-               /export/home/user2   sec=krb5,root=user2   "Users home directories"

bash-3.00# gsscred -l | grep user1
0401000B060000000000007120102020000001966696C6970706F7340434D532E48552D4245524C494E2E4445        45525   user1@DOMAIN.ORG, kerberos_v5

bash-3.00#less /etc/nfssec.conf
...
krb5            390003  kerberos_v5     default -               # RPCSEC_GSS
krb5i           390004  kerberos_v5     default integrity       # RPCSEC_GSS
krb5p           390005  kerberos_v5     default privacy         # RPCSEC_GSS
default         390003  -       -       -                       # default is AUTH_SYS
...

bash-3.00# cat /etc/inetd.conf
100234/1 tli rpc/ticotsord wait root /usr/lib/gss/gssd gssd

bash-3.00#  ps -ef | grep nfsd
daemon   617     1   0 15:10:51 ?           0:00 /usr/lib/nfs/nfsd

bash-3.00#  ps -ef | grep mountd
    root   612     1   0 15:10:51 ?           0:00 /usr/lib/nfs/mountd
    root   580     1   0 15:10:49 ?           0:00 /usr/lib/autofs/automountd
    root   581   580   0 15:10:49 ?           0:01 /usr/lib/autofs/automountd

bash-3.00#  ps -ef | grep gssd
    root  1157   429   0 15:41:33 ?           0:00 /usr/lib/gss/gssd

Gespeichert

sonnenblen.de - Das unabhängige Sun User Forum

kerberized NFSv4
« am: 23. Oktober 2008, 13:53:40 »
Seiten: [1]   Nach oben
« vorheriges nächstes »