Échec du montage NFS (avec Kerberos) en raison d'une erreur «Serveur introuvable dans la base de données Kerberos»

8

Lors de l'exécution:

sudo mount -t nfs4 -o sec=krb5 sol.domain.com:/ /mnt

Je reçois cette erreur sur le client:

mount.nfs4: access denied by server while mounting sol.domain.com:/

Et sur les syslogs du serveur, je lis

UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for nfs/ip-#-#-#-#.ec2.internal@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/EC2.INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/COM@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/DOMAIN.COM@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for nfs/ip-#-#-#-#.ec2.internal@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/EC2.INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/COM@SOL.DOMAIN.COM, Server not found in Kerberos database
UNKNOWN_SERVER: authtime 0,  nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/DOMAIN.COM@SOL.DOMAIN.COM, Server not found in Kerberos database

Fichier de clés de serveur:

ubuntu@sol:~$ sudo klist -e -k /etc/krb5.keytab
Keytab name: WRFILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   7 host/sol.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   7 host/sol.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   7 host/sol.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   7 host/sol.domain.com@SOL.DOMAIN.COM (des-cbc-crc) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   9 nfs/sol.domain.com@SOL.DOMAIN.COM (des-cbc-crc)

Fichier de clés client: 

ubuntu@mercury:~$ sudo klist -e -k /etc/krb5.keytab
Keytab name: WRFILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 host/mercury.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   3 host/mercury.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   3 host/mercury.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   3 host/mercury.domain.com@SOL.DOMAIN.COM (des-cbc-crc) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (aes256-cts-hmac-sha1-96) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (arcfour-hmac) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (des3-cbc-sha1) 
   3 nfs/mercury.domain.com@SOL.DOMAIN.COM (des-cbc-crc)
amazon-ec2  nfs  mount  kerberos 
Kendall Hopkins
source
veuillez partager vos fichiers /etc/krb5.conf et /var/kerberos/krb5kdc/kdc.conf à partir de votre serveur et client.
cikuraku
@cikuraku J'utilise simplement ceux d'Ubuntu par défaut à l'exception de l'ajout allow_weak_crypto = trueà la fin.
Kendall Hopkins
L'adresse IP de mercury.domain.com est-elle inversée au nom d'hôte correct? Mercury.domain.com a-t-il plus d'une adresse configurée sur ses interfaces?
larsks
Aussi ... des clients ont-ils réussi à monter des partages à partir de ce serveur? Ou est-ce votre seul client?
larsks
Aucun client ne se connecte.
Kendall Hopkins

Réponses:

1

Il semble que la résolution de nom inversée pour l'IP ne correspond pas au nom que vous attendez. Assurez - vous que mercury.domain.comet sol.domain.comsont le premier nom que vous avez ajouté à /etc/hostsaprès l'adresse IP correspondante. Pour être sûr, ajoutez simplement quelques lignes en haut avec l'adresse IP de la machine et le nom d'hôte que Kerberos attend.

10.x.y.z sol.domain.com sol ip-blah-blah
10.a.b.c mercury.domain.com mercury ip-other-other

Assurez - vous que ces deux lignes sont présentes sur les deux le client et le serveur.

Il est également recommandé de vérifier la configuration en exécutant la commande suivante sur le client et le serveur. Assurez-vous que le premier nom d'hôte imprimé pour chaque adresse IP est celui que vous attendez.

getent hosts 10.x.y.z 10.a.b.c
chutz
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.