使用 AD 用户在 Linux 上挂载到 FSx 会在间隔后断开连接;初始挂载成功,但一段时间后会出现 HOST IS DOWN 消息

使用 AD 用户在 Linux 上挂载到 FSx 会在间隔后断开连接;初始挂载成功,但一段时间后会出现 HOST IS DOWN 消息

当我运行 mount 命令时,我能够 connect/ls 到共享,直到出现似乎是票证续订的时间。然后我得到主机已关闭。

我浏览了所有建议的类似问题,并在网上搜索过。请参阅下面的“背景介绍”

我似乎无法在日志/日记中找到任何可以告诉我发生了什么事或何时发生的信息。

我的环境是:

  • AWS 亚马逊 Linux 2
  • 具有永不过期的用户设置的 AWS Active Directory
  • AWS FSx 共享

在 Linux 服务器上,我运行了 k5start、一个 fstab 文件和一个 krb5.conf 文件(见下文)

简单介绍一下背景,我在另一个环境中使用过这个,但看不出有什么不同。我们最初聘请了一位顾问来帮助设置,但他们无法提供帮助。

我们的要求是:

  1. 不要将 Linux 机器加入到 AD,
  2. 不要在机器上使用带有用户名/密码的计划文本文件
  3. 该共享可供计算机上的所有进程使用
  4. 自动更新权限/票证
  5. 重启时自动挂载

我们的配置:


k5start.service 文件:

[Unit]
Description=Kerberos Credential Cache Manager Daemon for FSx Mount
After=network.target
Before=mnt-fsx.mount


[Service]
Type=simple
User=ec2-user
Group=ec2-user
ExecStart=/usr/bin/k5start -aLK 15 -l 1hr -f /etc/myUser.keytab “[email protected]"

[Install]
WantedBy=multi-user.target

fstab 文件:

//my.fsx.myAD.aws.msad.com/share /mnt/fsx cifs vers=3.0,cache=none,user=ec2-user,cruid=ec2-user,sec=krb5,uid=1000,gid=1000,ip=myFSxIP

使用以下方式创建的 keytab 文件:

  • ktutil
  • addent -password -p [email protected] -k 1 -e RC4-HMAC 
- 输入用户名密码 -
  • wkt myUser.keytab
  • q
  • 然后我将文件移动到磁盘上的另一个位置,并将权限更改为 755

安装先决条件:

sudo yum -y install sssd realmd krb5-workstation samba-common-tools
sudo yum install -y cifs-utils
sudo amazon-linux-extras enable epel
sudo yum install -y epel-release
sudo yum install -y kstart

==========

通过以下方式安装服务:

sudo systemctl daemon-reload
sudo systemctl enable k5start
sudo systemctl start k5start
sudo systemctl status k5start -l

输出:

k5start.service - Kerberos Credential Cache Manager Daemon for FSx Mount
   Loaded: loaded (/usr/lib/systemd/system/k5start.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2022-09-12 22:43:52 UTC; 24h ago
 Main PID: 2990 (k5start)
   CGroup: /system.slice/k5start.service
           └─2990 /usr/bin/k5start -a -L -K 15 -l 1h -f /etc/myUser.keytab [email protected]

——-

我运行了一些命令来尝试解决问题......

如果我运行这两个命令,挂载将重新上线,但会间隔一段时间再次消失

  • sudo umount -l /mnt/fsx
  • sudo mount -a --verbose

dig myAD.AWS.MSAD.COM

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> myAD.AWS.MSAD.COM
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30388
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;myAD.AWS.MSAD.COM.     IN  A

;; ANSWER SECTION:
myAD.AWS.MSAD.COM.  600 IN  A   172.31.xxx.xxx
myAD.AWS.MSAD.COM.  600 IN  A   172.31.xxx.xxx

;; Query time: 0 msec
;; SERVER: 172.31.19.208#53(172.31.19.208)
;; WHEN: Tue Sep 13 23:27:25 UTC 2022
;; MSG SIZE  rcvd: 83

klist

Ticket cache: KEYRING:persistent:1000:1000
Default principal: [email protected]

Valid starting       Expires              Service principal
09/12/2022 22:22:46  09/12/2022 23:22:46  krbtgt/[email protected]
    renew until 09/19/2022 22:22:46

感谢您的观看!

相关内容