使用 nfsv4 设置 kerberos 以实现 no_root_squash 挂载

使用 nfsv4 设置 kerberos 以实现 no_root_squash 挂载

我对 kerberos 和 nfs 非常陌生。请帮忙了解这是否可行。NFS 服务器是 Truenas scale,客户端是 ubuntu 22.04 桌面版。

  1. Truenas 服务器中启用了 nfs v4,并将 /export/home 导出为 no_root_squash 和 sec=krb5

  2. 要求是通过 fstab 将 /export/home 挂载到 ubuntu 客户端的 /mnt/home。权限按照文件系统权限设置。没有 sec=krb5 也可以。但 no_root_squash 有其所有的安全隐患。我希望通过确保只有那些具有 kerberos keytabs 的主机才能从 Truenas 服务器挂载来将其最小化。

  3. 我不需要基于用户级 Kerberos 主体的身份验证,而只需要基于主机的身份验证。这假设主机内的用户是可信任的。

  4. Kerberos 服务器位于另一台虚拟机上。

我尝试在 kerberos 服务器 VM 中为 truenas 和客户端创建主机主体。相应的密钥表分别通过 scp 传输到 truenas 和 ubuntu 客户端,rkt/wkt 用于将密钥表更新到 ubuntu 客户端的 /etc/krb5.keytabs 中,如果是 Truenas,则使用 GUI。

但是 nfs.mount 说操作不允许!!!

任何关于如何在 Truenas 规模服务器和 ubuntu 客户端上执行此操作的指导都值得赞赏。此外,有关如何调试此操作的指导也非常有用。

-关于速度

相关内容