Kerberos:mount.nfs:挂载时服务器拒绝访问

Kerberos:mount.nfs:挂载时服务器拒绝访问

一个 IPA 服务器为我的两个实验室服务器提供 DNS、NTP 和 Kerberos 身份验证,当我尝试挂载 Kerberised NFS 共享时,出现以下错误:

mount.nfs:挂载时服务器拒绝访问

DNS、NTP 层和通过 Kerberos 的用户身份验证工作正常,只有 NFS 共享尚未挂载。

在 NFS 服务器上:

[root@server5 secureshare]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 host/[email protected]
   3 host/[email protected]
   3 nfs/[email protected]
   3 nfs/[email protected]
[root@server5 secureshare]# klist -l
Principal name                 Cache name
--------------                 ----------
[email protected]              KEYRING:persistent:0:0

在客户端:

[root@server6 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   4 host/[email protected]
   4 host/[email protected]
   3 nfs/[email protected]
   3 nfs/[email protected]
[root@server6 ~]# klist -l
Principal name                 Cache name
--------------                 ----------
host/server6.example.com@EXAMP KEYRING:persistent:0:krb_ccache_9N4UHQt (Expired)
[email protected]              KEYRING:persistent:0:krb_ccache_h4clFv7
[root@server6 ~]# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*labipa.example. 139.59.50.38     3 u   56  128  177    0.316  -773.02  31.477
 LOCAL(0)        .LOCL.           5 l  266   64  360    0.000    0.000   0.000

在 IPA 服务器上,我在两个节点的 krb5kdc 日志中看到以下错误:

Mar 08 13:53:07 labipa.example.com krb5kdc[2322](info): AS_REQ (8 etypes {18 17 20 19 16 23 25 26}) 192.168.4.151: NEEDED_PREAUTH: host/[email protected] for krbtgt/[email protected], Additional pre-authentication required

什么可能导致此错误。nfs-secure 服务也在两个节点上运行。

答案1

发现了,ntpd 没有在 IPA 服务器上正确同步,我不得不注释掉几行:

### Added by IPA Installer ###
#server 127.127.1.0 iburst
#fudge 127.127.1.0 stratum 10

并且必须确保它使用 Centos 提供的 ntp 池,之后 IPA 上的层更改为 2,而我的服务器上的层更改为 3。

并且它安装起来没有任何问题:

[root@server6 ~]# mount -t nfs -vvv -o sec=krb5p server5.example.com:/srv/secureshare /mnt/securenfs
mount.nfs: timeout set for Sat Mar  9 01:23:02 2019
mount.nfs: trying text-based options 'sec=krb5p,vers=4.1,addr=192.168.4.150,clientaddr=192.168.4.151'


server5.example.com:/srv/secureshare   17G  1.3G   16G   8% /mnt/securenfs

相关内容