Vraag NFS (met Kerberos) mount mislukt als gevolg van "Server niet gevonden in Kerberos-database" -fout


Tijdens het hardlopen:

sudo mount -t nfs4 -o sec=krb5 sol.domain.com:/ /mnt

Ik krijg deze foutmelding op de client:

mount.nfs4: access denied by server while mounting sol.domain.com:/

En op de server syslogs die ik heb gelezen

UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for nfs/ip-#-#-#-#.ec2.internal@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/EC2.INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/COM@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/DOMAIN.COM@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for nfs/ip-#-#-#-#.ec2.internal@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/EC2.INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/COM@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/DOMAIN.COM@SOL.DOMAIN.COM, Server not found in Kerberos database

Server keytab bestand:

ubuntu@sol:~$ sudo klist -e -k /etc/krb5.keytab
Keytab name: WRFILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   7 host/sol.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   7 host/sol.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   7 host/sol.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   7 host/sol.domain.com@SOL.DOMAIN.COM (des-cbc-crc) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (des-cbc-crc)

Client keytab bestand:

ubuntu@mercury:~$ sudo klist -e -k /etc/krb5.keytab
Keytab name: WRFILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 host/mercury.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   3 host/mercury.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   3 host/mercury.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   3 host/mercury.domain.com@SOL.DOMAIN.COM (des-cbc-crc) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (des-cbc-crc)

8
2018-04-04 18:13


oorsprong


deel alstublieft uw /etc/krb5.conf en /var/kerberos/krb5kdc/kdc.conf bestanden van uw server en client. - cikuraku
@cikuraku Ik gebruik alleen de standaard Ubuntu-degenen met uitzondering van het toevoegen allow_weak_crypto = true naar het einde. - Kendall Hopkins
Brengt het ip-adres voor mercury.domein.com terug naar de juiste hostnaam? Heeft kwik.domein.nl meer dan één adres geconfigureerd op de interfaces? - larsks
Ook ... zijn ieder klanten succesvol met het opbouwen van gedeelde mappen van deze server? Of is dit je enige klant? - larsks
Er zijn geen clients verbonden. - Kendall Hopkins


antwoorden:


Het lijkt erop dat de reverse-naamresolutie voor het IP-adres niet overeenkomt met de naam die u verwacht. Zeker weten dat mercury.domain.com en sol.domain.com zijn de eerste naam die je hebt toegevoegd /etc/hosts na het relevante IP-adres. Voeg om veilig te zijn een paar regels toe aan de bovenkant met het IP-adres van de machine en de hostnaam die kerberos verwachten.

10.x.y.z sol.domain.com sol ip-blah-blah
10.a.b.c mercury.domain.com mercury ip-other-other

Zorg ervoor dat beide lijnen aanwezig zijn beide de client en de server.

Het is ook een goed idee om de instellingen te controleren door de volgende opdracht uit te voeren op zowel de client als de server. Zorg ervoor dat de eerste hostnaam die voor elk IP-adres wordt afgedrukt, degene is die u verwacht.

getent hosts 10.x.y.z 10.a.b.c

1
2018-05-10 05:59