Tôi có một máy chủ NFS kerberized đang hoạt động. nó hoạt động khỏe với MacOS, Debian (Sid) và Raspbian. Nó không hoạt động với Impish Indri và tôi không thể hiểu tại sao.
- Đăng nhập GSSAPI bằng SSH hoạt động tốt với Impish
- Tôi có khóa nfs/ và nó không sử dụng các mật mã không dùng nữa:
Sudo klist -e -k /etc/krb5.keytab
Tên tab khóa: TỆP:/etc/krb5.keytab
Hiệu trưởng KNO
---- ------------------------------------------ ----------------------------
4 nfs/[email protected] (aes256-cts-hmac-sha1-96)
4 nfs/[email protected] (aes128-cts-hmac-sha1-96)
4 máy chủ/[email protected] (aes256-cts-hmac-sha1-96)
4 máy chủ/[email protected] (aes128-cts-hmac-sha1-96)
/srv/video *(rw,async,mp,root_squash,no_subtree_check,insecure,sec=krb5p)
Và như tôi đã nói - trên mọi hệ điều hành tôi đã thử ngoại trừ impish, gắn kết làm việc.
Tuy nhiên, trên impish, tôi luôn nhận được:
mount -t nfs4 -o rw,soft,sec=krb5p server.foo.net:/srv/video /mnt
mount.nfs4: một tùy chọn gắn kết không chính xác đã được chỉ định
Tôi bắt đầu ghi nhật ký thông qua RPCGSSDOPTS="-vvvrr" trên khách hàng và bạn bè của nó RPCSVCGSSDOPTS="-vvvrr" trên máy chủ.
Nếu bất kỳ máy chủ nào khác cố gắng gắn kết qua NFS - rpc.svcgssd có đầu ra thông thường trên máy chủ:
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: rời khỏi cuộc thăm dò ý kiến
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: xử lý yêu cầu null
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: svcgssd_limit_krb5_enctypes: Gọi gss_set_allowable_enctypes với 6 mã hóa từ kernel
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: sname = [email protected]
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: thực hiện cuộc gọi xuống
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: mech: krb5, hndl len: 4, ctx len 52, timeout: 1642124615 (35942 từ bây giờ), clnt: <null>, uid: 1000, gid: 1000 , num aux grps: 21:
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 1) 1000
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 2) 27
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 3) 100
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 4) 123
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 5) 30
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 6) 1005
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 7) 4
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 8) 20
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 9) 24
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 10) 29
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 11) 34
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 12) 40
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 13) 44
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 14) 46
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 15) 102
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 16) 116
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 17) 1006
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 18) 111
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 19) 151
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 20) 157
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: ( 21) 1011
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: gửi trả lời null
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: soạn tin nhắn: <Chuỗi dữ liệu hext>
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: xử lý xong yêu cầu null
Ngày 13 tháng 1 08:44:33 máy chủ rpc.svcgssd[1681508]: tham gia cuộc thăm dò ý kiến
, và rpc.gssd có đầu ra mong đợi trên máy khách
handle_gssd_upcall: 'mech=krb5 uid=0 service=* enctypes=18,17,16,3,1,2' (nfs/clnt25)
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: krb5_use_machine_creds: uid 0 tgtname (null)
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: Tên máy chủ đầy đủ cho 'server.foo.net' là 'server.foo.net'
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: Tên máy chủ đầy đủ cho 'tock.foo.net' là 'tock.foo.net'
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: Không tìm thấy mục nhập bảng khóa nào cho [email protected] trong khi nhận mục nhập keytab cho '[email protected]'
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: Không tìm thấy mục nhập bảng khóa nào cho [email protected] trong khi nhận mục nhập keytab cho '[email protected]'
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: Không tìm thấy mục nhập bảng khóa nào cho root/[email protected] trong khi nhận mục nhập keytab cho 'root/tock.foo.net@ FOO.NET'
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: Nhận thành công mục keytab cho 'nfs/[email protected]'
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: THÔNG TIN: Thông tin xác thực trong CC 'FILE:/tmp/krb5ccmachine_FOO.NET' vẫn tốt cho đến 1642095679
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: THÔNG TIN: Thông tin xác thực trong CC 'FILE:/tmp/krb5ccmachine_FOO.NET' vẫn tốt cho đến 1642095679
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: tạo ứng dụng khách tcp cho máy chủ server.foo.net
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: GỠ LỖI: cổng đã được đặt thành 2049
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: tạo ngữ cảnh với máy chủ [email protected]
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: trong authgss_create_default()
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: trong authgss_create()
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: trong authgss_refresh()
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: Mã thông báo đang được gửi (độ dài 673):
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: trong authgss_marshal()
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: xdr_rpc_gss_buf: mã hóa thành công ((nil):0)
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: xdr_rpc_gss_cred: mã hóa thành công (v 1, proc 1, seq 0, svc 1, ctx (nil):0)
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: trong authgss_wrap()
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: xdr_rpc_gss_buf: mã hóa thành công (0x7620c680:673)
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: xdr_rpc_gss_init_args: mã hóa thành công (mã thông báo 0x7620c680:673)
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: trong authgss_validate()
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: trong authgss_unwrap()
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: xdr_rpc_gss_buf: giải mã thành công (0x7620ea50:4)
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: xdr_rpc_gss_buf: giải mã thành công (0x762047a8:156)
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: xdr_rpc_gss_init_res giải mã thành công (ctx 0x7620ea50:4, maj 0, min 0, win 128, token 0x762047a8:156)
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: Mã thông báo chúng tôi vừa nhận được (độ dài 156):
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: trong authgss_get_private_data()
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: thực hiện cuộc gọi xuống: life_rec=7007 [email protected]
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: trong authgss_free_private_data()
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: trong authgss_destroy()
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]: trong authgss_destroy_context()
Ngày 13 tháng 1 08:44:32 tock.foo.net rpc.gssd[5440]:
-- và nó hoạt động trên MacOS, Debian (Sid), Raspbian, v.v.
Tuy nhiên, khi tôi cố gắng sử dụng impish -- không có gì truy cập vào máy chủ (không có nhật ký cho rpc.svcgssd, và rpc.gssd không hiển thị không tí nào hoạt động trên máy khách. Tôi muốn hiển thị những gì đang xảy ra, nhưng impish không cung cấp bất kỳ dữ liệu nào ngoại trừ một tùy chọn gắn kết không chính xác đã được chỉ định bất cứ khi nào giây=krb5p được cung cấp.
Tôi không hiểu. Là kerberized NFS bị hỏng trong tinh nghịch?
