Sie sind nicht angemeldet.

21

29.08.2017, 13:57

sudo mount UbServNFS.local.net:/files/data /media/test
Jedoch wird dann anscheinend nicht NFS4 mit kerberos verwendet.
War ja dann auch nicht verlangt. Und wenn Kerberos zwingend nötig ist, sollte das irgendwann auch unterbunden werden. Aber erst, wenn das aktuelle Problem behoben ist.

Was ist, wenn du es manuell mit Kerberos probierst?

Ich erhalte immer noch die Fehlermeldung
Meinst du diese:
Fehlermeldung am Client:
mount.nfs: access denied by server while mounting
Dann wäre der nächste Schritt ein Blick in das Server-Log für diesen Zugriff.
me is all sausage
but don't call me Ferdl

  • »Joe2017« ist der Autor dieses Themas

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

22

29.08.2017, 16:03

meinst du mit manuell mit Kerberos probieren, indem ich das beim mounten mit angebe?

Quellcode

1
mount -t nfs4 -o sec=krb5

Dann erhalte ich ebenfalls die Fehlermeldung: mount.nfs: access denied by server while mounting

deshalb habe ich auch alle Möglichkeiten in der /etc/exports ausprobiert.

Quellcode

1
2
3
4
/files/data gss/krb5(rw,sync,no_subtree_check)
/files/data gss/krb5i(rw,sync,no_subtree_check)
/files/data gss/krb5p(rw,sync,no_subtree_check)
/files/data 	192.168.240.0/24(sec=krb5p,rw,sync,no_subtree_check)

Natürlich immer nur eine Schreibweise!

Ich bin leider erst neu im Thema Linux/Ubuntu.

23

29.08.2017, 22:11

meinst du mit manuell mit Kerberos probieren, indem ich das beim mounten mit angebe?
Ja, genau. Mit Angabe des Server-shares und des mount-points natürlich, das scheint klar zu sein.

die Fehlermeldung: mount.nfs: access denied by server while mounting
Ok, dann wäre ein Ausschnitt aus dem Server-Log wichtig.
tail -f /var/log/daemon.log zum NFS-mount-Versuch selbst. Da sollte ein Hinweis auftauchen, warum die Anfrage abgelehnt wird.

Kerberos und LDAP loggen normalerweise in /var/log/syslog, man kann aber bei Bedarf die log-level erhöhen bzw. debugging einschalten.
me is all sausage
but don't call me Ferdl

  • »Joe2017« ist der Autor dieses Themas

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

24

30.08.2017, 09:41

Also ich glaube ich habe etwas herausgefunden... Wenn ich im LDAP/Kerberos Server schaue gibt es jedoch beide Eintrage.

Quellcode

1
2
nfs/UbClient001.local.net@LOCAL.NET
nfs/UbServNFS.local.net@LOCAL.NET



CLIENT auth.log

Quellcode

1
2
3
4
5
6
7
8
Aug 30 09:27:05 UbClient001 sudo:  	admin : TTY=pts/18 ; PWD=/home/users/admin ; USER=root ; COMMAND=/bin/mount -t nfs4 -o sec=krb5 UbServNFS.local.net:/files/data /mount/data/

Aug 30 09:27:05 UbClient001 sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Aug 30 09:27:05 UbClient001 sudo: pam_unix(sudo:session): session closed for user root

Aug 30 09:27:13 UbClient001 sudo:  	admin : TTY=pts/18 ; PWD=/home/users/admin ; USER=root ; COMMAND=/usr/bin/gedit /var/log/auth.log

Aug 30 09:27:13 UbClient001 sudo: pam_unix(sudo:session): session opened for user root by (uid=0)




LDAP/KERBEROS SERVER auth.log

Quellcode

1
Aug 30 07:30:02 UbServLDAP krb5kdc[409]: TGS_REQ (4 etypes {18 17 16 23}) 192.168.240.186: LOOKING_UP_SERVER: authtime 0,  nfs/UbClient001.local.net@LOCAL.NET for nfs/ubservnfs.local.net@LOCAL.NET, Server not found in Kerberos database

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »Joe2017« (30.08.2017, 17:11)


25

30.08.2017, 16:33

Einige dich auf beiden Seiten auf Groß- oder Kleinschreibung. Ich würde durchgehende Kleinschreibung empfehlen.
me is all sausage
but don't call me Ferdl

  • »Joe2017« ist der Autor dieses Themas

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

26

30.08.2017, 17:10

Zitat

Einige dich auf beiden Seiten auf Groß- oder Kleinschreibung. Ich würde durchgehende Kleinschreibung empfehlen.
Du meinst sicherlich wegen den Logfiles...

Quellcode

1
nfs/UbClient001.local.net@LOCAL.NET for nfs/ubservnfs.local.net@LOCAL.NET, Server not found in Kerberos database


Das merkwürdige ist, dass ich die Schreibweiße immer wie folgt verwendet habe:

Quellcode

1
2
nfs/UbClient001.local.net@LOCAL.NET
nfs/UbServNFS.local.net@LOCAL.NET


Im letzten Beitrag hab ich leider ein Fehler mit der groß und Kleinschreibung gehabt. Dies passe ich jetzt noch direkt an.
Im Log steht der Server jedoch wirklich komplett in Kleinbuchstaben?

27

30.08.2017, 20:50

Scheinbar wandelt einer der beteiligten Dienste alles auf Kleinschreibung um, was bei hostnamen eigentlich ok wäre. Wenn Kerberos aber, was Linux-like wäre, case-sensitive arbeitet geht das schief. Deshalb habe ich durchgehende Kleinschreibung empfohlen. Dann kann dieses Problem ausgeschlossen werden.

Wo genau war der Fehler im letzten posting? Es wäre schon gut, wenn die Ausgaben 1:1 kopiert würden, das erspart falsche Fährten.
me is all sausage
but don't call me Ferdl

  • »Joe2017« ist der Autor dieses Themas

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

28

31.08.2017, 10:59

Hallo Fredl und vielen Dank für den Tipp!

Ich habe meine Server (LDAP/KERBEROS, NFS, DNS) und meine Clients jetzt auf Kleinbuchstaben im Hostnamen angepasst.

Und das war das ganze Problem! Irgendwo wurde dies wohl im Hintergund falsch verwendet.

Jetzt funktioniert mein mount mit allen Schreibweisen.

Quellcode

1
2
3
4
5
/files/data 	gss/krb5(rw,secure,sync,no_subtree_check)
/files/data 	gss/krb5i(rw,secure,sync,no_subtree_check)
/files/data 	gss/krb5p(rw,secure,sync,no_subtree_check)
/files/data 	192.168.240.0/24(rw,sync,no_subtree_check)
/files/data 	192.168.240.0/24(rw,sync,no_subtree_check,sec=krb5)


VIELEN VIELEN DANK für diesen Tipp.

29

31.08.2017, 12:22

Gern geschehen.

Daß hostnamen klein übertragen werden macht ja Sinn. Daß Kerberos es aber sehr genau nimmt, natürlich auch.
Mit den Logs wurde das Problem augenscheinlich. Deshalb habe ich auch ein paarmal danach gefragt.

Wenn die Sicherheit bei dir so wichtig ist, ist aber noch einiges zu tun. Es kann z.B. auch ohne Kerberos gemountet werden, was ein ziemlich offenes Tor ist, speziell wenn die erlaubten Client-IPs nicht besonders eingeschränkt sind.
Aber wenigstens ist CIFS erstmal aus dem Spiel :)

--
Wenn das Problem damit gelöst ist setze bitte noch das passende Präfix vor die Überschrift, damit das jeder gleich erkennen kann. Danke!
Wie man ein Thema markiert ist in unseren Einsteiger-Infos erklärt.
me is all sausage
but don't call me Ferdl