Zamontować serwer NFS serwera Mac OSX z Linux <krb5> LDAP?

13

Próbuję zamontować udział NFS z Fedory 16. Serwer to Mac OS X Server, skonfigurowany przez mojego współpracownika. Uważam, że wymaga to uwierzytelnienia Kerberos / LDAP, więc zacznę (prawdopodobnie uciążliwy) proces zrozumienia tego, ale jest kilka rzeczy, których nie rozumiem.

showmount -e SERVERdaje oczekiwany udział i uprawnienia IP i ma <krb5>.

# sudo mount -v SERVER:SHARE MNT 
mount: no type was given - I'll assume nfs because of the colon mount.nfs: timeout set for Wed Nov 28 15:10:32 2012 
mount.nfs: trying text-based options 'vers=4,addr=XXX.XXX.XXX.XXX,clientaddr=XXX.XXX.XXX.XXX' mount.nfs:
mount(2): Protocol not supported 
mount.nfs: trying text-based options 'addr=XXX.XXX.XXX.XXX' mount.nfs: prog 100003, trying vers=3, prot=6
mount.nfs: trying XXX.XXX.XXX.XXX prog 100003 vers 3 prot TCP port 2049
mount.nfs: prog 100005, trying vers=3, prot=17 
mount.nfs: trying XXX.XXX.XXX.XXX prog 100005 vers 3 prot UDP port 676 
mount.nfs: mount(2): Permission denied mount.nfs: access denied by server while mounting SERVER:SHARE

To mnie trochę dezorientuje, ponieważ gdybym został odrzucony z powodu Kerberos, spodziewałbym się, że tak będzie vers=4?

Widziałem także posty, które mówią, że muszę mieć ten sam identyfikator użytkownika, ale to nie ma większego sensu.

Czy powinienem po prostu iść naprzód i spróbować uzyskać poświadczenia w LDAP? Jeśli tak, czy istnieje wskaźnik, jak to zrobić w kontekście systemu Mac / Linux? Czy może jest jeszcze jakieś inne narzędzie do debugowania?

Chinasaur
źródło
Nigdy tego nie próbowałem, ponieważ nie mam doświadczenia w montowaniu udziału OSX NFS z Linux-a, ale musisz dodać krb5i ldapdo stosu PAM w Fedorze, aby uwierzytelnić się na serwerze OSX. Najpierw zainstaluj pakiety pam_krb5i pam_ldap. Następnie poproś współpracownika o dodanie konta na serwerze OSX. Raz można zalogować się przez SSH z uwierzytelnianiem za pomocą protokołu Kerberos i / lub LDAP, a następnie spróbuj zamontować eksport NFS.
jayhendren
Jeśli ty i twoja maszyna nie jesteście częścią królestwa Kerberos, nie pozwoli wam to nic zrobić. Kombinacja użytkownika i hosta musi zostać uwierzytelniona i mieć dostęp do określonego zestawu serwerów i usług. Następnie, jak wspomniano powyżej, musisz zmodyfikować stos PAM, a jeśli poświadczenia są pobierane z LDAP, musisz również zintegrować go z NSS. Redhead używa SSSD w większości przypadków. Jeśli nie jest to relacja długoterminowa, szukałbym prostszych sposobów uwierzytelnienia. Chciałbym użyć jakiejś formy ssh.
paradokson

Odpowiedzi:

1

Najpierw sprawdź klistTGT, jeśli nie kinit;klist.

Spróbuj dodać -o sec=krb5do polecenia mount tj

sudo mount -o sec=krb5 -v SERVER:SHARE MNT

Sprawdź plik /etc/krb5.conf, aby upewnić się, że wszystko jest skonfigurowane odpowiednio do środowiska

metacom
źródło
-1

Ponieważ istnieją komunikaty związane z portami, z którymi próbuje się połączyć, możesz spróbować dodać -o resvport.

WayneB
źródło