Redhat

Kerberos:mount.nfs:掛載時伺服器拒絕訪問

  • March 9, 2019

向我的兩台實驗室伺服器提供 DNS、NTP 和 Kerberos 身份驗證的 IPA 伺服器在嘗試掛載 Kerberized NFS 共享時出現此錯誤:

mount.nfs:掛載時伺服器拒絕訪問

DNS、NTP 層和通過 Kerberos 進行的使用者身份驗證工作正常,只有 NFS 共享沒有被掛載。

在 NFS 伺服器上:

[root@server5 secureshare]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
  3 host/server5.example.com@EXAMPLE.COM
  3 host/server5.example.com@EXAMPLE.COM
  3 nfs/server5.example.com@EXAMPLE.COM
  3 nfs/server5.example.com@EXAMPLE.COM
[root@server5 secureshare]# klist -l
Principal name                 Cache name
--------------                 ----------
admin@EXAMPLE.COM              KEYRING:persistent:0:0

在客戶端:

[root@server6 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
  4 host/server6.example.com@EXAMPLE.COM
  4 host/server6.example.com@EXAMPLE.COM
  3 nfs/server6.example.com@EXAMPLE.COM
  3 nfs/server6.example.com@EXAMPLE.COM
[root@server6 ~]# klist -l
Principal name                 Cache name
--------------                 ----------
host/server6.example.com@EXAMP KEYRING:persistent:0:krb_ccache_9N4UHQt (Expired)
admin@EXAMPLE.COM              KEYRING:persistent:0:krb_ccache_h4clFv7
[root@server6 ~]# ntpq -p
    remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*labipa.example. 139.59.50.38     3 u   56  128  177    0.316  -773.02  31.477
LOCAL(0)        .LOCL.           5 l  266   64  360    0.000    0.000   0.000

在 IPA 伺服器上,我在兩個節點的 krb5kdc 日誌中都看到了這些錯誤:

Mar 08 13:53:07 labipa.example.com krb5kdc[2322](info): AS_REQ (8 etypes {18 17 20 19 16 23 25 26}) 192.168.4.151: NEEDED_PREAUTH: host/server6.example.com@EXAMPLE.COM for krbtgt/EXAMPLE.COM@EXAMPLE.COM, Additional pre-authentication required

什麼可能導致此錯誤。nfs-secure 服務也在兩個節點上執行。

找到了,在IPA伺服器上ntpd沒有正確同步,我只好註釋掉幾行:

### Added by IPA Installer ###
#server 127.127.1.0 iburst
#fudge 127.127.1.0 stratum 10

並且必須確保它使用 Centos 提供的 ntp 池,之後 IPA 上的層數變為 2,而我的伺服器上的層數變為 3。

它安裝時沒有任何問題:

[root@server6 ~]# mount -t nfs -vvv -o sec=krb5p server5.example.com:/srv/secureshare /mnt/securenfs
mount.nfs: timeout set for Sat Mar  9 01:23:02 2019
mount.nfs: trying text-based options 'sec=krb5p,vers=4.1,addr=192.168.4.150,clientaddr=192.168.4.151'


server5.example.com:/srv/secureshare   17G  1.3G   16G   8% /mnt/securenfs

引用自:https://serverfault.com/questions/957424