Discussion :

[ageofempiresz]

Bonjour,

J'ai un souci pour monter un partage réseau NFSv4 depuis un client sous Linux Mint vers le FreeNAS 11U2, pour accéder au partage l'utilisateur doit s'authentifier sur le serveur Kerberos et ce serveur envoie la requête au serveur LDAP.

Le message d'erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
root@PC-client:~# mount.nfs4 -vv -o sec=krb5 freenas.toto.tutu:/mnt/monpartage /root/auth/
mount.nfs4: timeout set for Wed Jun 17 16:42:59 2020
mount.nfs4: trying text-based options 'sec=krb5,vers=4.2,addr=X.X.Y.Z,clientaddr=X.X.W.C'
mount.nfs4: mount(2): Protocol not supported
mount.nfs4: trying text-based options 'sec=krb5,vers=4.1,addr=X.X.Y.Z,clientaddr=X.X.W.C'
mount.nfs4: mount(2): Operation not permitted
mount.nfs4: trying text-based options 'sec=krb5,addr=X.X.Y.Z'
mount.nfs4: prog 100003, trying vers=3, prot=6
mount.nfs4: trying X.X.Y.Z prog 100003 vers 3 prot TCP port 2049
mount.nfs4: prog 100005, trying vers=3, prot=17
mount.nfs4: trying X.X.Y.Z prog 100005 vers 3 prot UDP port 30000
mount.nfs4: mount(2): Invalid argument
mount.nfs4: an incorrect mount option was specified

Fichier krb5.conf sur le client :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    default_realm = TOTO.TUTU
 
[realms]
TOTO.TUTU = {
    kdc = srv-kerberos.toto.tutu
    admin_server = srv-kerberos.toto.tutu
    default_domain = toto.tutu
}
 
[domain_realm]
  .toto.tutu = TOTO.TUTU
  toto.tutu = TOTO.TUTU

La configuration FreeNas 11U2 :
Onglet system :




Onglet Storage :





Permissions :



Onglet Share :



Onglet Services :

[ageofempiresz]

Config NFS :



Onglet Kerberos Realms :


Onglet Kerberos Keytab :


Fichier krb5.keytab via la commande ktutil :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
root@freenas[~]# ktutil list
FILE:/etc/krb5.keytab:
 
Vno  Type                     Principal                               Aliases
  2  aes256-cts-hmac-sha1-96  host/freenas.toto.tutu@TOTO.TUTU
  2  aes128-cts-hmac-sha1-96  host/freenas.toto.tutu@TOTO.TUTU

Onglet Settings Kerberos dans Freenas :


Si quelqu'un peut m'aide pour ce problème, ça fait pas mal de semaines que je tourne.
J'ai même chercher dans la doc editeur qui n'est pas explicite à ce sujet pour le Kerberos linux.
Je précise sans auth Kerberos ça marche très bien.

[ageofempiresz]

pour info FreeNas : Cette solution a été sur la partie Kerberos linux pas suivie, je suis allé sur plusieurs forums ceux qu'ils mettent en place ce genre de solution ont fini par abandonner. Par contre, la partie Active Directory est maintenue. Du coup, j'ai changé sur RHEL 8. C'était trop prise de tête ça faisait plusieurs semaines j'étais dessus. J'ai réussi monter un partage NFS avec une authentification Kerberos sous RHEL 8. C'est comme même mieux avec RHEL que sur Freenas.

Activation seul du NFSv4 RHEL

https://access.redhat.com/documentat...s-serverconfig

Pour 2 keytab (host/srv-nfs-server.domain et nfs/srv-nfs-server.domain) sur le serveur nfs (générer sur le serveur Kerberos puis exporter avec la commande ktadd. envoyer le fichier via SSH. importer du fichier par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
ktutil
rkt nom_fichier.keytab ==> lire le fichier 
wkt /etc/krb5.keytab ==> écrire les entrées dans le fichier krb5.keytab
list => Visualiser le contenu
q

raccourci pour voir le fichier /etc/krb5.keytab klist -k

https://codingbee.net/rhce/nfs-use-k...ss-on-centos-7

Pour la configuration des partages :

https://computingforgeeks.com/instal...n-centos-rhel/

Pour le débogage :

https://wiki.archlinux.org/index.php...roubleshooting

mount.nfs4: Invalid argument

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

systemctl status nfs-client.target ==> Vérifier si le service démarrer sur le serveur NFS

mount.nfs4: an incorrect mount option was specified

Vérifier si l'un des 2 services est démarré nfs-client.service et/ou rpc-gssd.service sur le client.

Pour mon cas s'est rpc-gssd.service qui est actif.

Il est nécessaire pour le mount

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
kinit -p toto
 
klist
 
sudo mount -t nfs -o sec=krb5 srv-nfs-server:/mnt/monpartage /home/toto/auth

Cela permet déjà d'accéder au partage par une authentification Kerberos.

[ageofempiresz]

C'est bon pour l'écriture ça fonctionne via Kerberos.
Il fallait créer un groupe sur le serveur NFS pour permettre des modifications dans le partage et l'affecter avec nobody en groupe secondaire.
https://www.tecmint.com/setting-up-n...uthentication/