NFS-Mount (mit Kerberos) schlägt fehl, weil der Fehler "Server in Kerberos-Datenbank nicht gefunden" vorliegt

8

Beim Laufen:

sudo mount -t nfs4 -o sec=krb5 sol.domain.com:/ /mnt

Ich erhalte diesen Fehler auf dem Client:

mount.nfs4: access denied by server while mounting sol.domain.com:/

Und auf den Server-Syslogs habe ich gelesen

UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for nfs/ip-#-#-#-#.ec2.internal@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/EC2.INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/COM@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/DOMAIN.COM@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for nfs/ip-#-#-#-#.ec2.internal@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/EC2.INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/COM@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/DOMAIN.COM@SOL.DOMAIN.COM, Server not found in Kerberos database

Server-Keytab-Datei:

ubuntu@sol:~$ sudo klist -e -k /etc/krb5.keytab
Keytab name: WRFILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   7 host/sol.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   7 host/sol.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   7 host/sol.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   7 host/sol.domain.com@SOL.DOMAIN.COM (des-cbc-crc) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (des-cbc-crc)

Client-Keytab-Datei: 

ubuntu@mercury:~$ sudo klist -e -k /etc/krb5.keytab
Keytab name: WRFILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 host/mercury.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   3 host/mercury.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   3 host/mercury.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   3 host/mercury.domain.com@SOL.DOMAIN.COM (des-cbc-crc) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (des-cbc-crc)
amazon-ec2  nfs  mount  kerberos 
Kendall Hopkins
quelle
Bitte teilen Sie Ihre Dateien /etc/krb5.conf und /var/kerberos/krb5kdc/kdc.conf von Ihrem Server und Client.
Cikuraku
@cikuraku Ich verwende nur die Standard-Ubuntu-Versionen mit Ausnahme des Hinzufügens allow_weak_crypto = truezum Ende.
Kendall Hopkins
Wird die IP-Adresse für mercury.domain.com auf den richtigen Hostnamen zurückgesetzt? Hat mercury.domain.com mehr als eine Adresse auf seinen Schnittstellen konfiguriert?
Larsks
Auch ... sind alle Kunden erfolgreich Aktien von diesem Server Montage? Oder ist das Ihr einziger Kunde?
Larsks
Es werden keine Clients verbunden.
Kendall Hopkins

Antworten:

1

Es scheint, dass die umgekehrte Namensauflösung für die IP nicht mit dem erwarteten Namen übereinstimmt. Stellen Sie sicher , dass mercury.domain.comund sol.domain.comsind der erste Name, den Sie hinzugefügt , um /etc/hostsnach der entsprechenden IP - Adresse. Fügen Sie zur Sicherheit einfach ein paar Zeilen oben mit der IP-Adresse des Computers und dem von Kerberos erwarteten Hostnamen hinzu.

10.x.y.z sol.domain.com sol ip-blah-blah
10.a.b.c mercury.domain.com mercury ip-other-other

Stellen Sie sicher, dass beide Zeilen sowohl auf dem Client als auch auf dem Server vorhanden sind.

Es ist auch eine gute Idee, das Setup zu überprüfen, indem Sie den folgenden Befehl sowohl auf dem Client als auch auf dem Server ausführen. Stellen Sie sicher, dass der erste Hostname, der für jede IP-Adresse gedruckt wird, der erwartete ist.

getent hosts 10.x.y.z 10.a.b.c
Chutz
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.