Redhat
Kerberos:mount.nfs:掛載時伺服器拒絕訪問
向我的兩台實驗室伺服器提供 DNS、NTP 和 Kerberos 身份驗證的 IPA 伺服器在嘗試掛載 Kerberized NFS 共享時出現此錯誤:
mount.nfs:掛載時伺服器拒絕訪問
DNS、NTP 層和通過 Kerberos 進行的使用者身份驗證工作正常,只有 NFS 共享沒有被掛載。
在 NFS 伺服器上:
[root@server5 secureshare]# klist -k Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 3 host/server5.example.com@EXAMPLE.COM 3 host/server5.example.com@EXAMPLE.COM 3 nfs/server5.example.com@EXAMPLE.COM 3 nfs/server5.example.com@EXAMPLE.COM [root@server5 secureshare]# klist -l Principal name Cache name -------------- ---------- admin@EXAMPLE.COM KEYRING:persistent:0:0
在客戶端:
[root@server6 ~]# klist -k Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 4 host/server6.example.com@EXAMPLE.COM 4 host/server6.example.com@EXAMPLE.COM 3 nfs/server6.example.com@EXAMPLE.COM 3 nfs/server6.example.com@EXAMPLE.COM [root@server6 ~]# klist -l Principal name Cache name -------------- ---------- host/server6.example.com@EXAMP KEYRING:persistent:0:krb_ccache_9N4UHQt (Expired) admin@EXAMPLE.COM KEYRING:persistent:0:krb_ccache_h4clFv7 [root@server6 ~]# ntpq -p remote refid st t when poll reach delay offset jitter ============================================================================== *labipa.example. 139.59.50.38 3 u 56 128 177 0.316 -773.02 31.477 LOCAL(0) .LOCL. 5 l 266 64 360 0.000 0.000 0.000
在 IPA 伺服器上,我在兩個節點的 krb5kdc 日誌中都看到了這些錯誤:
Mar 08 13:53:07 labipa.example.com krb5kdc[2322](info): AS_REQ (8 etypes {18 17 20 19 16 23 25 26}) 192.168.4.151: NEEDED_PREAUTH: host/server6.example.com@EXAMPLE.COM for krbtgt/EXAMPLE.COM@EXAMPLE.COM, Additional pre-authentication required
什麼可能導致此錯誤。nfs-secure 服務也在兩個節點上執行。
找到了,在IPA伺服器上ntpd沒有正確同步,我只好註釋掉幾行:
### Added by IPA Installer ### #server 127.127.1.0 iburst #fudge 127.127.1.0 stratum 10
並且必須確保它使用 Centos 提供的 ntp 池,之後 IPA 上的層數變為 2,而我的伺服器上的層數變為 3。
它安裝時沒有任何問題:
[root@server6 ~]# mount -t nfs -vvv -o sec=krb5p server5.example.com:/srv/secureshare /mnt/securenfs mount.nfs: timeout set for Sat Mar 9 01:23:02 2019 mount.nfs: trying text-based options 'sec=krb5p,vers=4.1,addr=192.168.4.150,clientaddr=192.168.4.151' server5.example.com:/srv/secureshare 17G 1.3G 16G 8% /mnt/securenfs