The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблемы Kerberos + NFS4"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Проблемы Kerberos + NFS4"  
Сообщение от Heretic (ok) on 14-Май-08, 19:29 
Доброго дня суток all.
Первый раз пробую настроить MIT Kerberos и появилась проблемка, при попытке подключения nfs клиента к nfs серверу выдает такие ошибки
rpc.svcgssd[13547]: WARNING: gss_accept_sec_context failed
rpc.svcgssd[13547]: ERROR: GSS-API: error in handle_nullreq: gss_accept_sec_context(): Unspecified GSS failure.  Minor code may provide more information - Key version number for principal in key table is incorrect

Так как я еще не особо освоил Kerberos (пришлось изучать по руководствам которые нашел в гугле) то прошу помочь в данной проблеме, от чего такие ошибки могут появиться и как их побороть.

Т.к я думаю что телепаты в отпуске на данный момент предлагаю настройки своего клиента/сервера:


Сервер: OS Ubuntu 7.10
Hostname savko-desktop.tophouse.local

less /etc/krb5.conf
[libdefaults]
        default_realm = TOPHOUSE.LOCAL
[realms]
        TOPHOUSE.LOCAL = {
                kdc = savko-desktop.tophouse.local
                admin_server = savko-desktop.tophouse.local
        }
[domain_realm]
        .tophouse.local = TOPHOUSE.LOCAL    
[logging]
     kdc = SYSLOG:INFO:DAEMON
     admin_server = SYSLOG:INFO:DAEMON
     default = SYSLOG:INFO:DAEMON

less /etc/krb5kdc/kdc.conf
[kdcdefaults]
    kdc_ports = 750,88

[realms]
    TOPHOUSE.LOCAL = {
        database_name = /var/lib/krb5kdc/principal
        admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
        acl_file = /etc/krb5kdc/kadm5.acl
        key_stash_file = /etc/krb5kdc/stash
        kdc_ports = 750,88
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = des3-hmac-sha1
        supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
        default_principal_flags = +preauth
    }

Сервер откликается и билеты выдает:
klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: nfs/savko-desktop.tophouse.local@TOPHOUSE.LOCAL

Valid starting     Expires            Service principal
05/14/08 19:05:37  05/15/08 05:05:37  krbtgt/TOPHOUSE.LOCAL@TOPHOUSE.LOCAL
        renew until 05/15/08 19:05:37


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

Принципиалы создавал по принципу host/savko-desktop.tophouse.local nfs/savko-desktop.tophouse.local и соовтественно для клиента так же host/heretic-desktop.tophouse.local nfs/heretic-desktop.tophouse.local

Как добавлял принипиалы для nfs(в примере только клиента):
kadmin -q "addprinc -randkey nfs/nfs-client.domain"
kadmin -q "ktadd -e des-cbc-crc:normal -k /root/keytab.nfs-client nfs/heretic-desktop.tophouse.local"
scp -p /root/keytab.nfs-client heretic-desktop.tophouse.local:/etc/krb5.keytab

Принципиалы созданы и ключи клиента и сервера были отправлены соответсвенно клиенту и серверу в /etc/krb5.keytab

Клиент: OS Ubuntu 8.04
Hostname heretic-desktop.tophouse.local

/etc/krb5.conf был скопирован с сервера
/etc/krb5.keytab был получен с сервера

NFS Клиент и сервер были настроены по документации убунты: https://help.ubuntu.com/community/NFSv4Howto

Спасибо за ответ.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблемы Kerberos + NFS4"  
Сообщение от Heretic (ok) on 15-Май-08, 11:03 
Ну не ужели никто эту связку не поднимал и такой ошибки небыло? Укажите куда копать хотя бы, а то мозга своего нехватает =))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Проблемы Kerberos + NFS4"  
Сообщение от geekkoo email(??) on 15-Май-08, 12:21 
>Доброго дня суток all.
>Первый раз пробую настроить MIT Kerberos и появилась проблемка, при попытке подключения
>nfs клиента к nfs серверу выдает такие ошибки
>rpc.svcgssd[13547]: WARNING: gss_accept_sec_context failed
>rpc.svcgssd[13547]: ERROR: GSS-API: error in handle_nullreq: gss_accept_sec_context(): Unspecified GSS failure.  Minor
>code may provide more information - Key version number for principal
>in key table is incorrect
>

Скорее всего это означает, что у тебя какой-то из ключей в keytab-ах старый. Попробуй создать и извлечь их (для клиента и сервера) заново.

>[оверквотинг удален]
>
>Клиент: OS Ubuntu 8.04
>Hostname heretic-desktop.tophouse.local
>
>/etc/krb5.conf был скопирован с сервера
>/etc/krb5.keytab был получен с сервера
>
>NFS Клиент и сервер были настроены по документации убунты: https://help.ubuntu.com/community/NFSv4Howto
>
>Спасибо за ответ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Проблемы Kerberos + NFS4"  
Сообщение от Heretic (ok) on 15-Май-08, 13:05 
>Скорее всего это означает, что у тебя какой-то из ключей в keytab-ах
>старый. Попробуй создать и извлечь их (для клиента и сервера) заново.

Проблема оказалась в не настроеном ipmapd.conf:
Вставил туда строки

[Translation]
Method = nsswitch

и соединился с nfs сервером.
Но не могу понять почему NFS4 все равно не передает права на файлы, настраивать эту связку начал из-за того что требуется NFS4, как я понимаю он лучше обрабатывает лок на файлы и побыстрее будет работать нежели NFS3. Правда к LDAP я не подключался но пользователь root то должен отображаться а он отображается как nobody и nogroup. Хотя на сервере я указал параметр "no_root_squash" должен ли рут тоже быть занесенным в Kerberos? Пока не понимаю эту связку до конца, подскажите кому не лень =)
Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Проблемы Kerberos + NFS4"  
Сообщение от geekkoo email(??) on 15-Май-08, 13:25 
>[оверквотинг удален]
>
>[Translation]
>Method = nsswitch
>
>и соединился с nfs сервером.
>Но не могу понять почему NFS4 все равно не передает права на
>файлы, настраивать эту связку начал из-за того что требуется NFS4, как
>я понимаю он лучше обрабатывает лок на файлы и побыстрее будет
>работать нежели NFS3. Правда к LDAP я не подключался но пользователь
>root то должен отображаться а он отображается как nobody и nogroup.

Отображаются права на файлы. Права привязаны к UID и GID, которые уже на клиенте транслируются в имена пользователей и групп. Так что на клиенте и сервере UID,GID,пользователи и группы должны быть одинаковыми. Или синхронизировать passwd или настраивать nsswitch.

>Хотя на сервере я указал параметр "no_root_squash" должен ли рут тоже
>быть занесенным в Kerberos?

Если хочешь чтобы root мог иметь доступ к директориям, то да. NFS4, в отличии от ранних версий, проверяет каждого пользователя. Так что недостаточно иметь UID=0

>Пока не понимаю эту связку до конца,
>подскажите кому не лень =)
>Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Проблемы Kerberos + NFS4"  
Сообщение от Heretic (ok) on 15-Май-08, 13:51 
>Отображаются права на файлы. Права привязаны к UID и GID, которые уже
>на клиенте транслируются в имена пользователей и групп. Так что на
>клиенте и сервере UID,GID,пользователи и группы должны быть одинаковыми.

Создал пользователя с одинаковыми UID,GID на клиенте и сервере. Но почему то все равно отображает nobody,nogroup. Из под этого пользователя с клиента скопировал файл на сервер файл копировался очень долго (подвисал) хотя файл и маленький, на сервере права выставились корректно с UID, GID пользователя, но клиенте все равно показывает nobody,nogroup.
Можно ли еще идейку?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Проблемы Kerberos + NFS4"  
Сообщение от Heretic (ok) on 15-Май-08, 14:03 
>>Отображаются права на файлы. Права привязаны к UID и GID, которые уже
>>на клиенте транслируются в имена пользователей и групп. Так что на
>>клиенте и сервере UID,GID,пользователи и группы должны быть одинаковыми.
>
>Создал пользователя с одинаковыми UID,GID на клиенте и сервере. Но почему то
>все равно отображает nobody,nogroup. Из под этого пользователя с клиента скопировал
>файл на сервер файл копировался очень долго (подвисал) хотя файл и
>маленький, на сервере права выставились корректно с UID, GID пользователя, но
>клиенте все равно показывает nobody,nogroup.
>Можно ли еще идейку?

А idmapd.conf должен быть настроен на клиенте и на сервере?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Проблемы Kerberos + NFS4"  
Сообщение от Heretic (ok) on 15-Май-08, 14:08 
>А idmapd.conf должен быть настроен на клиенте и на сервере?

Сам же отвечу на этот вопрос ДА!

И последний вопрос. При копировании файлов у меня скорость выше 4 Mb/s не поднимается, что бы вы могли посоветовать для увеличения производительности сервера.
Клиентом монтирую так:
mount -t nfs4 -o rw,sync,bg,hard,intr 192.168.0.2:/ /mnt/test
Сервер:
/export/users 192.168.0.0/24(rw,async,wdelay,nohide,insecure,no_root_squash,no_subtree_check)
Так когда из-под пользователя копируешь папку с файлами то потом ни папку и файлы внутри папки не удалить, ругается на права. Что бы могло быть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Проблемы Kerberos + NFS4"  
Сообщение от geekkoo email(??) on 16-Май-08, 10:02 
>[оверквотинг удален]
>И последний вопрос. При копировании файлов у меня скорость выше 4 Mb/s
>не поднимается, что бы вы могли посоветовать для увеличения производительности сервера.
>
>Клиентом монтирую так:
>mount -t nfs4 -o rw,sync,bg,hard,intr 192.168.0.2:/ /mnt/test
>Сервер:
>/export/users 192.168.0.0/24(rw,async,wdelay,nohide,insecure,no_root_squash,no_subtree_check)
>Так когда из-под пользователя копируешь папку с файлами то потом ни папку
>и файлы внутри папки не удалить, ругается на права. Что бы
>могло быть?

Ты уверен, что тебя KDC аутнтифицирует? nobody очень похож на пользователя по-умолчанию (неаутентифицированного). Что команда klist на клиенте показывает до и после подключения к серверу?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Проблемы Kerberos + NFS4"  
Сообщение от Heretic (ok) on 16-Май-08, 15:56 
>[оверквотинг удален]
>>mount -t nfs4 -o rw,sync,bg,hard,intr 192.168.0.2:/ /mnt/test
>>Сервер:
>>/export/users 192.168.0.0/24(rw,async,wdelay,nohide,insecure,no_root_squash,no_subtree_check)
>>Так когда из-под пользователя копируешь папку с файлами то потом ни папку
>>и файлы внутри папки не удалить, ругается на права. Что бы
>>могло быть?
>
>Ты уверен, что тебя KDC аутнтифицирует? nobody очень похож на пользователя по-умолчанию
>(неаутентифицированного). Что команда klist на клиенте показывает до и после подключения
>к серверу?

До и после подключения пишет
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_1001)


Kerberos 4 ticket cache: /tmp/tkt1001
klist: You have no tickets cached

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Проблемы Kerberos + NFS4"  
Сообщение от geekkoo email(??) on 16-Май-08, 16:16 
>[оверквотинг удален]
>>Ты уверен, что тебя KDC аутнтифицирует? nobody очень похож на пользователя по-умолчанию
>>(неаутентифицированного). Что команда klist на клиенте показывает до и после подключения
>>к серверу?
>
>До и после подключения пишет
>klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_1001)
>
>
>Kerberos 4 ticket cache: /tmp/tkt1001
>klist: You have no tickets cached

Ну, а если kinit предварительно попробовать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Проблемы Kerberos + NFS4"  
Сообщение от Heretic (ok) on 16-Май-08, 19:09 
>[оверквотинг удален]
>>>к серверу?
>>
>>До и после подключения пишет
>>klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_1001)
>>
>>
>>Kerberos 4 ticket cache: /tmp/tkt1001
>>klist: You have no tickets cached
>
>Ну, а если kinit предварительно попробовать?

heretic@heretic-desktop:~$ kinit
Password for heretic@TOPHOUSE.LOCAL:

heretic@heretic-desktop:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1001
Default principal: heretic@TOPHOUSE.LOCAL

Valid starting     Expires            Service principal
05/16/08 19:07:59  05/17/08 05:07:59  krbtgt/TOPHOUSE.LOCAL@TOPHOUSE.LOCAL
    renew until 05/17/08 19:05:22
    
    
    Kerberos 4 ticket cache: /tmp/tkt1001
    klist: You have no tickets cached

Вроде все корректно выдал. Под рутом не дал мне сделать kinit ибо не заведен.
Ну так после того как я на клиент скопировал файл idmapd.conf он пользователей nobody,nogroup перевел в нормальные (я про это писал выше). А вот при копировании папки с файлами не удаляет ни папку ни файлы. Если создать папку и туда скопировать файлы, то удалит или же просто скопировать файл в папку с разрешением на запись тоже удалит. Вот это проблему я так и не решил.
С idmapd.conf я правильно сделал?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру