Kerberos

NFS w/Kerberos - 網路更改破壞了身份驗證?

  • September 8, 2018

所以,我最近稍微改變了我的網路設置,出於某種原因,我仍在試圖用新的 PFSense 盒子替換舊路由器,這似乎以某種方式破壞了網路內的身份驗證。網路設置使用 Kerberos KDC(作為 FreeIPA 域的一部分)來驗證對 NFSv4 文件共享的訪問。

這是一個小型家庭網路,使用 pfsense 機器執行 DHCP 和基本 DNS。

  • 我已經測試了反向查找,並且 IP 地址可以正確地解析為主機名,所以不是這樣。
  • 所有機器上的時鐘都是同步的。
  • 票似乎被檢索得很好,並且至少有一個其他基於 kerberos 的服務可以工作(我有一個執行 Trac 的網路伺服器,它也使用 KDC 來讓人們登錄)。

使用 rpcdebug 進行日誌記錄發現了一條看起來像是罪魁禍首的錯誤消息,儘管Google搜尋此消息並沒有發現任何有用的資訊。

Sep  8 19:00:34 weatherwax kernel: NFSD: warning: no callback path to client Linux NFSv4.2 stibbons.lan.deimos-legion.net: error -22

好的,仍然不太確定實際問題是什麼,但我強烈懷疑這歸因於 dnsmasq 和 unbound 管理服務記錄的方式存在一些差異(在 dnsmasq 設置下,我設法將 Kerberos 和 LDAP 的一些 SRV 記錄拼湊到位,我曾嘗試對 unbound 做同樣的事情,但成功有限)。

調整配置以使所有內容都依賴於明確的主機名而不是 DNS SRV 記錄,從而使所有內容都重新上線。

引用自:https://serverfault.com/questions/930021