一个 IPA 服务器为我的两个实验室服务器提供 DNS、NTP 和 Kerberos 身份验证,当我尝试挂载 Kerberised NFS 共享时,出现以下错误:
mount.nfs:挂载时服务器拒绝访问
DNS、NTP 层和通过 Kerberos 的用户身份验证工作正常,只有 NFS 共享尚未挂载。
在 NFS 服务器上:
[root@server5 secureshare]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 host/[email protected]
3 host/[email protected]
3 nfs/[email protected]
3 nfs/[email protected]
[root@server5 secureshare]# klist -l
Principal name Cache name
-------------- ----------
[email protected] KEYRING:persistent:0:0
在客户端:
[root@server6 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
4 host/[email protected]
4 host/[email protected]
3 nfs/[email protected]
3 nfs/[email protected]
[root@server6 ~]# klist -l
Principal name Cache name
-------------- ----------
host/server6.example.com@EXAMP KEYRING:persistent:0:krb_ccache_9N4UHQt (Expired)
[email protected] KEYRING:persistent:0:krb_ccache_h4clFv7
[root@server6 ~]# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
*labipa.example. 139.59.50.38 3 u 56 128 177 0.316 -773.02 31.477
LOCAL(0) .LOCL. 5 l 266 64 360 0.000 0.000 0.000
在 IPA 服务器上,我在两个节点的 krb5kdc 日志中看到以下错误:
Mar 08 13:53:07 labipa.example.com krb5kdc[2322](info): AS_REQ (8 etypes {18 17 20 19 16 23 25 26}) 192.168.4.151: NEEDED_PREAUTH: host/[email protected] for krbtgt/[email protected], Additional pre-authentication required
什么可能导致此错误。nfs-secure 服务也在两个节点上运行。
答案1
发现了,ntpd 没有在 IPA 服务器上正确同步,我不得不注释掉几行:
### Added by IPA Installer ###
#server 127.127.1.0 iburst
#fudge 127.127.1.0 stratum 10
并且必须确保它使用 Centos 提供的 ntp 池,之后 IPA 上的层更改为 2,而我的服务器上的层更改为 3。
并且它安装起来没有任何问题:
[root@server6 ~]# mount -t nfs -vvv -o sec=krb5p server5.example.com:/srv/secureshare /mnt/securenfs
mount.nfs: timeout set for Sat Mar 9 01:23:02 2019
mount.nfs: trying text-based options 'sec=krb5p,vers=4.1,addr=192.168.4.150,clientaddr=192.168.4.151'
server5.example.com:/srv/secureshare 17G 1.3G 16G 8% /mnt/securenfs