forum.opennet.ru - "kerberized NFSv4" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"kerberized NFSv4"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"kerberized NFSv4"
Сообщение от xyll (ok) on 24-Окт-08, 16:05
Приятного времени суток, дорогие товарищи! Уже несколько недель бьюсь с проблемой сабжа. Вкратце опишу ситуацию. есть сервер Solaris10(Sparc). на нем есть энное количество пользователей и их домашних директорий. есть отдельно стоящий kerberos-сервер(os - debian etch, KDC - Heimdal). на KDC проложены user-principals для всех пользователей(главным образом используется для OpenAFS). Посредством NFSv4 надо дать юзерам возможность маунтить свои домашние директории не используя user.keytab для отдельного пользователя. т.е. пользователи должны получать service-ticket от KDC посредством kinit username. Далее - листинг настроек и пример попытки маунта! С нетерпением жду вопросов и ответов! С уважением, xyll bash-3.00#kinit user1 Password for user1@DOMAIN.ORG: bash-3.00# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: user1@DOMAIN.ORG Valid starting Expires Service principal 10/23/08 13:37:54 10/24/08 13:37:54 krbtgt/DOMAIN.ORG@DOMAIN.ORG renew until 10/30/08 12:37:54 bash-3.00# mount -F nfs -o sec=krb5 nfsserver.domain.org:/export/home/user1 /mnt/user1 nfs mount: mount: /mnt/user1: Permission denied bash-3.00# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: user1@DOMAIN.ORG Valid starting Expires Service principal 10/23/08 13:37:54 10/24/08 13:37:54 krbtgt/DOMAIN.ORG@DOMAIN.ORG renew until 10/30/08 12:37:54 10/23/08 13:41:25 10/24/08 13:37:54 nfs/nfsserver.domain.org@DOMAIN.ORG renew until 10/30/08 12:37:54 bash-3.00# bash-3.00# klist -k Name der Schlüsseltabelle: FILE:/etc/krb5/krb5.keytab KVNO-ZeitstempelKVNO-Hauptbenutzer ---- -------------------------------------------------------------------------- 1 nfs/nfsserver.domain.org@DOMAIN.ORG bash-3.00# share - /export/home/user1 sec=krb5:krb5i:krb5p,rw=user1 "Users home directories" - /export/home/user2 sec=krb5,root=user2 "Users home directories" bash-3.00# gsscred -l \| grep user1 0401000B060000000000007120102020000001966696C6970706F7340434D532E48552D4245524C494E2E4445 45525 user1@DOMAIN.ORG, kerberos_v5 bash-3.00#less /etc/nfssec.conf ... krb5 390003 kerberos_v5 default - # RPCSEC_GSS krb5i 390004 kerberos_v5 default integrity # RPCSEC_GSS krb5p 390005 kerberos_v5 default privacy # RPCSEC_GSS default 390003 - - - # default is AUTH_SYS ... bash-3.00# cat /etc/inetd.conf 100234/1 tli rpc/ticotsord wait root /usr/lib/gss/gssd gssd bash-3.00# ps -ef \| grep nfsd daemon 617 1 0 15:10:51 ? 0:00 /usr/lib/nfs/nfsd bash-3.00# ps -ef \| grep mountd root 612 1 0 15:10:51 ? 0:00 /usr/lib/nfs/mountd root 580 1 0 15:10:49 ? 0:00 /usr/lib/autofs/automountd root 581 580 0 15:10:49 ? 0:01 /usr/lib/autofs/automountd bash-3.00# ps -ef \| grep gssd root 1157 429 0 15:41:33 ? 0:00 /usr/lib/gss/gssd
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

kerberized NFSv4, deepwalker, 19:45 , 24-Окт-08, (1)

kerberized NFSv4, xyll, 20:31 , 24-Окт-08, (2)

kerberized NFSv4, deepwalker, 21:18 , 24-Окт-08, (3)

kerberized NFSv4, xyll, 22:51 , 24-Окт-08, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "kerberized NFSv4"

Сообщение от deepwalker (ok) on 24-Окт-08, 19:45

Отладку на стороне сервера посмотри. Еще вопрос надо показывать klist -v, ибо как еще узнать какой тип шифрования билета использовался. Должен dec-cbc-crc, ибо другие на данный момент тупо не пашут.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "kerberized NFSv4"

Сообщение от xyll (ok) on 24-Окт-08, 20:31

>Отладку на стороне сервера посмотри. Еще вопрос надо показывать klist -v, ибо
>как еще узнать какой тип шифрования билета использовался. Должен dec-cbc-crc, ибо
>другие на данный момент тупо не пашут.
bash-3.00# klist -ke
Name der Schl�sseltabelle: FILE:/etc/krb5/krb5.keytab
KVNO-ZeitstempelKVNO-Hauptbenutzer
---- --------------------------------------------------------------------------
1 nfs/nfsserver.domain.org@DOMAIN.ORG (DES cbc mode with CRC-32)
могу отсниффить snoop'ом или wiresharkom. пиши что надо! :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "kerberized NFSv4"

Сообщение от deepwalker (ok) on 24-Окт-08, 21:18

Ой, а вот про солярис то я и пропустил : )
А ты на этот же сервер с него же и монтируешь? Просто из камней помню что nfs/ принципиалы должны быть как у сервера, так и машины на которую монтируется. А вообще мне помогало чтение отладки с обеих сторон - в линуксе по кр мере можно заставить много информации сыпать в лог.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "kerberized NFSv4"

Сообщение от xyll (ok) on 24-Окт-08, 22:51

>Ой, а вот про солярис то я и пропустил : )
>А ты на этот же сервер с него же и монтируешь? Просто
>из камней помню что nfs/ принципиалы должны быть как у сервера,
>так и машины на которую монтируется. А вообще мне помогало чтение
>отладки с обеих сторон - в линуксе по кр мере можно
>заставить много информации сыпать в лог.
Салям еще раз! :)
маунтить пробовал и и соляриса(другая тачка) и с debian etch. ответ один - permissoin denied. Кста, если можно тебе позвонить - скинь телефон на мыло xyllophon@gmail.com!
С уважением, xyll

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "kerberized NFSv4"
Сообщение от deepwalker (ok) on 24-Окт-08, 19:45
Отладку на стороне сервера посмотри. Еще вопрос надо показывать klist -v, ибо как еще узнать какой тип шифрования билета использовался. Должен dec-cbc-crc, ибо другие на данный момент тупо не пашут.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "kerberized NFSv4"
	Сообщение от xyll (ok) on 24-Окт-08, 20:31
	>Отладку на стороне сервера посмотри. Еще вопрос надо показывать klist -v, ибо >как еще узнать какой тип шифрования билета использовался. Должен dec-cbc-crc, ибо >другие на данный момент тупо не пашут. bash-3.00# klist -ke Name der Schl�sseltabelle: FILE:/etc/krb5/krb5.keytab KVNO-ZeitstempelKVNO-Hauptbenutzer ---- -------------------------------------------------------------------------- 1 nfs/nfsserver.domain.org@DOMAIN.ORG (DES cbc mode with CRC-32) могу отсниффить snoop'ом или wiresharkom. пиши что надо! :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "kerberized NFSv4"
	Сообщение от deepwalker (ok) on 24-Окт-08, 21:18
	Ой, а вот про солярис то я и пропустил : ) А ты на этот же сервер с него же и монтируешь? Просто из камней помню что nfs/ принципиалы должны быть как у сервера, так и машины на которую монтируется. А вообще мне помогало чтение отладки с обеих сторон - в линуксе по кр мере можно заставить много информации сыпать в лог.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "kerberized NFSv4"
	Сообщение от xyll (ok) on 24-Окт-08, 22:51
	>Ой, а вот про солярис то я и пропустил : ) >А ты на этот же сервер с него же и монтируешь? Просто >из камней помню что nfs/ принципиалы должны быть как у сервера, >так и машины на которую монтируется. А вообще мне помогало чтение >отладки с обеих сторон - в линуксе по кр мере можно >заставить много информации сыпать в лог. Салям еще раз! :) маунтить пробовал и и соляриса(другая тачка) и с debian etch. ответ один - permissoin denied. Кста, если можно тебе позвонить - скинь телефон на мыло xyllophon@gmail.com! С уважением, xyll
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]