12 pièce(s) jointe(s)
Problème montage un partage nfsv4 auth kerberos
Bonjour,
J'ai un souci pour monter un partage réseau NFSv4 depuis un client sous Linux Mint vers le FreeNAS 11U2, pour accéder au partage l'utilisateur doit s'authentifier sur le serveur Kerberos et ce serveur envoie la requête au serveur LDAP.
Le message d'erreur :
Code:
1 2 3 4 5 6 7 8 9 10 11 12 13
| root@PC-client:~# mount.nfs4 -vv -o sec=krb5 freenas.toto.tutu:/mnt/monpartage /root/auth/
mount.nfs4: timeout set for Wed Jun 17 16:42:59 2020
mount.nfs4: trying text-based options 'sec=krb5,vers=4.2,addr=X.X.Y.Z,clientaddr=X.X.W.C'
mount.nfs4: mount(2): Protocol not supported
mount.nfs4: trying text-based options 'sec=krb5,vers=4.1,addr=X.X.Y.Z,clientaddr=X.X.W.C'
mount.nfs4: mount(2): Operation not permitted
mount.nfs4: trying text-based options 'sec=krb5,addr=X.X.Y.Z'
mount.nfs4: prog 100003, trying vers=3, prot=6
mount.nfs4: trying X.X.Y.Z prog 100003 vers 3 prot TCP port 2049
mount.nfs4: prog 100005, trying vers=3, prot=17
mount.nfs4: trying X.X.Y.Z prog 100005 vers 3 prot UDP port 30000
mount.nfs4: mount(2): Invalid argument
mount.nfs4: an incorrect mount option was specified |
Fichier krb5.conf sur le client :
Code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
| [logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
default_realm = TOTO.TUTU
[realms]
TOTO.TUTU = {
kdc = srv-kerberos.toto.tutu
admin_server = srv-kerberos.toto.tutu
default_domain = toto.tutu
}
[domain_realm]
.toto.tutu = TOTO.TUTU
toto.tutu = TOTO.TUTU |
La configuration FreeNas 11U2 :
Onglet system :
Pièce jointe 573173
Pièce jointe 573174
Pièce jointe 573175
Onglet Storage :
Pièce jointe 573176
Pièce jointe 573177
Pièce jointe 573178
Pièce jointe 573179
Permissions :
Pièce jointe 573180
Pièce jointe 573181
Onglet Share :
Pièce jointe 573182
Pièce jointe 573183
Onglet Services :
Pièce jointe 573184
5 pièce(s) jointe(s)
Suite des captures d'écrans config FreeNas
Config NFS :
Pièce jointe 573187
Pièce jointe 573188
Onglet Kerberos Realms :
Pièce jointe 573189
Onglet Kerberos Keytab :
Pièce jointe 573190
Fichier krb5.keytab via la commande ktutil :
Code:
1 2 3 4 5 6
| root@freenas[~]# ktutil list
FILE:/etc/krb5.keytab:
Vno Type Principal Aliases
2 aes256-cts-hmac-sha1-96 host/freenas.toto.tutu@TOTO.TUTU
2 aes128-cts-hmac-sha1-96 host/freenas.toto.tutu@TOTO.TUTU |
Onglet Settings Kerberos dans Freenas :
Pièce jointe 573191
Si quelqu'un peut m'aide pour ce problème, ça fait pas mal de semaines que je tourne.
J'ai même chercher dans la doc editeur qui n'est pas explicite à ce sujet pour le Kerberos linux.
Je précise sans auth Kerberos ça marche très bien.
Changement de distribution sur de l'RHEL
pour info FreeNas : Cette solution a été sur la partie Kerberos linux pas suivie, je suis allé sur plusieurs forums ceux qu'ils mettent en place ce genre de solution ont fini par abandonner. Par contre, la partie Active Directory est maintenue. Du coup, j'ai changé sur RHEL 8. C'était trop prise de tête ça faisait plusieurs semaines j'étais dessus. J'ai réussi monter un partage NFS avec une authentification Kerberos sous RHEL 8. C'est comme même mieux avec RHEL que sur Freenas.
Activation seul du NFSv4 RHEL
https://access.redhat.com/documentat...s-serverconfig
Pour 2 keytab (host/srv-nfs-server.domain et nfs/srv-nfs-server.domain) sur le serveur nfs (générer sur le serveur Kerberos puis exporter avec la commande ktadd. envoyer le fichier via SSH. importer du fichier par
Code:
1 2 3 4 5
| ktutil
rkt nom_fichier.keytab ==> lire le fichier
wkt /etc/krb5.keytab ==> écrire les entrées dans le fichier krb5.keytab
list => Visualiser le contenu
q |
raccourci pour voir le fichier /etc/krb5.keytab klist -k
https://codingbee.net/rhce/nfs-use-k...ss-on-centos-7
Pour la configuration des partages :
https://computingforgeeks.com/instal...n-centos-rhel/
Pour le débogage :
https://wiki.archlinux.org/index.php...roubleshooting
mount.nfs4: Invalid argument
Code:
systemctl status nfs-client.target ==> Vérifier si le service démarrer sur le serveur NFS
mount.nfs4: an incorrect mount option was specified
Vérifier si l'un des 2 services est démarré nfs-client.service et/ou rpc-gssd.service sur le client.
Pour mon cas s'est rpc-gssd.service qui est actif.
Il est nécessaire pour le mount
Code:
1 2 3 4 5
| kinit -p toto
klist
sudo mount -t nfs -o sec=krb5 srv-nfs-server:/mnt/monpartage /home/toto/auth |
Cela permet déjà d'accéder au partage par une authentification Kerberos.
Pour autoriser d'écrire sur un partage
C'est bon pour l'écriture ça fonctionne via Kerberos.
Il fallait créer un groupe sur le serveur NFS pour permettre des modifications dans le partage et l'affecter avec nobody en groupe secondaire.
https://www.tecmint.com/setting-up-n...uthentication/