Ich bin sehr neu bei Kerberos und NFS. Bitte helfen Sie mir, herauszufinden, ob dies machbar ist. Der NFS-Server ist Truenas Scale und der Client ist Ubuntu 22.04 Desktop.
nfs v4 ist im Truenas-Server aktiviert und exportiert /export/home als no_root_squash und sec=krb5
Die Anforderung besteht darin, /export/home über fstab in /mnt/home des Ubuntu-Clients zu mounten. Die Berechtigungen entsprechen den Berechtigungseinstellungen des Dateisystems. Ohne sec=krb5 funktioniert dies. Aber no_root_squash hat alle damit verbundenen Sicherheitsimplikationen. Ich möchte dies minimieren, indem ich sicherstelle, dass nur Hosts mit Kerberos-Keytabs vom Truenas-Server mounten können.
Ich möchte keine auf Benutzerebene basierende Kerberos-Principal-Authentifizierung, sondern nur eine auf Host basierende. Dies setzt voraus, dass die Benutzer innerhalb des Hosts vertrauenswürdig sind.
der Kerberos-Server befindet sich auf einer anderen VM.
Ich habe es versucht, indem ich Host-Principals für Truenas und Client in der Kerberos-Server-VM erstellt habe. Die jeweiligen Keytabs werden per SCP an Truenas bzw. Ubuntu-Client gesendet und rkt/wkt wird verwendet, um die Keytabs in /etc/krb5.keytabs des Ubuntu-Clients zu aktualisieren, und im Fall von Truenas wird die GUI verwendet.
Aber nfs.mount sagt, Vorgang nicht zulässig!!!
Wir sind für alle Hinweise dankbar, wie dies auf dem Truenas Scale-Server und dem Ubuntu-Client funktioniert. Auch Hinweise zum Debuggen sind sehr hilfreich.
- Grüße Tachy