Kerberos를 사용하여 NFSv4를 설정했지만(훌륭하게 작동함) 이제 Kerberos를 사용하여 NFSv3을 추가해야 합니다. NFSv3 내보내기를 마운트하려고 하면 클라이언트에서 권한 필요 오류가 발생하고 서버에서 "일치하지 않는 호스트" 오류가 발생합니다.
In /etc/export I just have:
/test gss/krb5(rw,sync)
"호스트 불일치" 오류는 일반적으로 클라이언트가 서버에 액세스할 수 있는 내보내기 파일을 지정하지 않았음을 의미합니다. 하지만 Kerberos를 사용하면 이 작업을 수행할 필요가 없습니다. 내보낸 man 파일에는 다음과 같이 명시되어 있습니다.
RPCSEC_GSS 보안 rpcsec_gss 보안을 사용하여 내보내기에 대한 액세스를 제한하려면 특수 문자열 "gss/krb5"를 클라이언트로 사용하십시오. rpcsec_gss를 요청하는 동시에 클라이언트의 IP 주소를 요청하는 것은 불가능합니다.
저는 Kerberos가 올바르게 설정되었다고 확신합니다(Kerberos가 포함된 NFSv4도 제대로 작동함). 온라인에서 읽은 내용에 따르면 NFS 서버가 올바르게 설정되었으며(아래 설정) 필요한 서비스가 실행되고 있는 것 같습니다. 현재 Ubuntu 10.4에서 테스트 중이지만 Novell SLED 10.3에서도 동일한 문제가 있습니다.
내가 뭘 잘못하고 있는지 아는 사람 있나요? 아니면 Kerberos가 포함된 NFSv3 사용법을 알려 주실 수 있나요?
nss-common:
NEED_STATD=yes
STATDOPTS=
NEED_IDMAPD=no
NEED_GSSD=yes
nss-kernel-srever:
RPCNFSDCOUNT="8 --no-nfs-version 4 --no-nfs-version 2"
RPCNFSDPRIORITY=0
RPCMOUNTDOPTS="--manage-gids"
NEED_SVCGSSD=yes
RPCSVCGSSDOPTS=" -vvv "
답변1
저는 실제로 집에 있는 일부 컴퓨터(CentOS 5와 Gentoo 클라이언트 및 서버, Gentoo KDC의 혼합) 간에 NFS v3 + Kerberos를 사용하고 있습니다. 작동시키려면 다음과 같이 /etc/exports 항목을 사용했습니다.
/export hostname.local.lan(rw,insecure,sync,sec=krb5p:krb5i:krb5)
클라이언트에서 /etc/fstab에는 다음이 포함됩니다.
hostname.local.lan:/export /nfs/hostname/export nfs sec=krb5p,nfsvers=3,mountvers=3,proto=tcp,acl,rw,soft,bg,intr 0 0
마운트 후 "mount"는 파일 시스템에 대해 다음을 반환합니다.
hostname.local.lan:/export on /nfs/hostname/export type nfs (rw,sec=krb5p,nfsvers=3,mountvers=3,proto=tcp,acl,soft,bg,intr,addr=192.168.1.15)
NFSv4를 실험하면서 여전히 rpc.idmapd가 실행되고 있지만 v3에서는 이를 필요로 하지 않는다고 생각합니다.
마지막으로 까다로운 부분은 설정할 때 /etc/exports 비트였습니다. 많은 튜토리얼에는 위의 gss/krb5 내보내기 항목과 같은 다른 항목이 나열되어 있지만 nfs utils 소스 코드를 읽으면 그래야 할 것처럼 보이지만 이것은 나에게 전혀 효과가 없었습니다.
이것이 다른 사람들을 올바른 방향으로 안내하기를 바랍니다. 행운을 빌어요.
답변2
변경/확인하고 싶은 사항은 다음과 같습니다.
새로운 GSS 내보내기 구문을 사용하고 무결성/개인정보 보호를 허용합니다.
/test (sec=krb5:krb5i:krb5p,rw,sync)
필요한 커널 모듈을 사용할 수 있는지 확인하십시오: rpcsec_gss_krb5,auth_rpcgss
설치 명령 옵션을 확인하세요. 질문에 추가할 수도 있습니다.