3 votos

macOS High Sierra emite un número creciente de recursos compartidos de NFSv4

Estoy usando FreeIPA para LDAP/Kerberos y he creado un director para un dispositivo de almacenamiento (Dell/EMC UnityVSA VM). Tengo el programa de instalación de la VSA con una clave de API, también he de instalación dentro de la VSA la configuración de LDAP y creó un NAS con soporte para Kerberizadas de los recursos compartidos NFS. Ambos IPA y VSA no son informes de todos los problemas y las cosas se ven nominalmente bien ahí.

A partir de un macOS cliente (High Sierra), soy capaz de montar el NFSv4 compartir cuando Kerberos en el servidor está desactivado (así los conceptos básicos de trabajo). Sin embargo, cuando me especificar Kerberos para la seguridad de los que comparten soy incapaz de conectar ("Permiso denegado").

El comando que estoy utilizando para el monte es:

sudo mount_nfs -vv -o sec=krb5,vers=4 <storage-server>:/test ~/test

El resultado es:

mount <storage-server>:/test on /Users/<user>/test
mount flags: 0x0
socket: type:any,nomntudp
file system locations:
/test
  <storage-server>
    inet <ip of storage server>
NFS options:     fg,retrycnt=1,vers=4,hard,nointr,noresvport,conn,callback,negnamecache,nonamedattr,acl,noaclonly,nocallumnt,locks,quota,rsize=32768,wsize=32768,readahead=16,dsize=32768,nordirplus,nodumbtimr,timeo=10,retrans=10,maxgroups=16,acregmin=5,acregmax=60,acdirmin=5,acdirmax=60,deadtimeout=0,nomutejukebox,noephemeral,nonfc,sec=krb5
mount_nfs: can't mount /test from <storage-server> onto <mount-point>:    Permission denied

Soy capaz de conseguir un boleto en el KDC en el lado del cliente. El klist comando muestra la siguiente salida después de que yo intente conectarse al recurso compartido NFS, donde la segunda entrada es el IPA principal para VSA (servidor de almacenamiento).

Credentials cache: API:A2FC2CF2-BA23-CE06-BC50-D5CA1180C946
        Principal: admin@<REALM>

  Issued                Expires               Principal
Feb 20 21:13:07 2019  Feb 21 21:12:46 2019  krbtgt/<REALM>@<REALM>
Feb 20 21:18:12 2019  Feb 21 21:12:46 2019  nfs/<storage-server>.<domain>@<REALM>

El /etc/krb5.conf archivo de mi cliente se parece a esto:

[libdefaults]
 default_realm = <REALM>
 dns_lookup_realm = false
 dns_lookup_kdc = true
 rdns = false
 ticket_lifetime = 24h
 forwardable = true
 udp_preference_limit = 0
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 <REALM> = {
  kdc = tcp/<FQDN of IPA>
  admin_server = tcp/<FQDN of IPA>
}

[domain_realm]
 .<domain> = <REALM>
 <domain> = <REALM>
 <FQDN of IPA> = <REALM>
 <FQDN of storage-server> = <REALM>

Como un aparte, no puedo obtener un kadmin a trabajar. Por ejemplo, el comando

kadmin admin@REALM.COM

devuelve el siguiente resultado:

kadmin: kadm5_init_with_password: Cannot contact any KDC for requested realm

Alguna idea de lo que me estoy perdiendo aquí? Necesito el krb5.conf archivo, o debe IPA ser capaz de manejar todo con servicio de registros en DNS?

Actualización

Cuando me especificar AUTH_SYS en el extremo del servidor que parece funcionar bien en términos de NFS conectividad.

Actualización 2: WireShark Volcado

El siguiente volcado de la muestra NFS tráfico entre el cliente y el servidor NFS durante el montaje comando anterior. El primero es el cliente, el segundo es la respuesta del servidor (continúa en pares de abajo):

Client-NFS-Server traffic during mount

2voto

Tom Marthenal Puntos 558

Resulta ser un problema con la especificación del esquema en el UnityVSA, por lo que no podía hacer una búsqueda LDAP correctamente; Kerberizados NFS funciona ahora.

Todavía no sabemos por qué kadmin devuelve lo que hace en macOS.

Para el registro, /etc/krb5.conf (o el equivalente archivo en /Library/Preferences/...) no es necesaria en absoluto y DNS se encarga de todo el trabajo pesado. No crypto configuración necesaria para macOS con IPA, funciona fuera de la caja.

Para referencia en el futuro, en términos de comportamiento, incluso si la Kerberos identidad se especifica en el macOS Billete de Visor (con contraseña almacenados en el llavero), uno debe pedir explícitamente un billete (si un billete no está activo, pero la identidad es especificado, el billete no es implícitamente solicitado al acceder al recurso compartido de NFS en el buscador, por ejemplo).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: