LINUX.ORG.RU

История изменений

Исправление router, (текущая версия) :

  1. Можно ли для NFS клиентов не выдавать krb5.keytab? Можно ли только по user/pass? kinit же, вроде?..

Можно, но работать не будет. Веренее, через kerberos не будет

  1. Если нельзя не выдавать, что там должно быть? Привязка по username или к хосту?

К хосту. добавь принципалы и для nfs/, и для host/, лишним не будет. После изменения keytab’а gssd нужно перезапустить. Ну это ты вроде уже нашёл.

На сервере тоже. И кроме gssd, нужен ещё и idmapd (для nfs4)

  1. Можно ли не привязываться к reverse DNS? Ну не хочу я быть настолько параноиком. Тем более, что клиенты - DHCP. rdns = false это же оно?

Не пробовал. Вроде да. Но для начала лучше добейся работы в ситуации, когда в обратной зоне все есть

Клиент:

ЕМНИП, на клиенте ещё нужен principal для host/. Даже если не требуется, лишним не будет

Но в других источниках говорится, что на NFS клиенты тоже нужно класть keytab файл.. Кому верить?

Нужно

sudo mount -t nfs4 -o sec=krb5 main.3r.ru:/opt/docs/ /mnt/

содержимое /etc/exports с сервера?

Кроме того, для nfs4 должны быть запущены idmapd, и для kerberos - gssd

По мануалу openSUSE - да, там просто создаётся principal «suzanne», задаётся пароль, и должно работать

Думаю, ты начал читать мануал не с начала. В начале там неверняка добавление в домен, что автоматически настраивает kerberos и sssd

Исходная версия router, :

  1. Можно ли для NFS клиентов не выдавать krb5.keytab? Можно ли только по user/pass? kinit же, вроде?..

Можно, но работать не будет. Веренее, через kerberos не будет

  1. Если нельзя не выдавать, что там должно быть? Привязка по username или к хосту?

К хосту. добавь и nfs/, и host/, лишним не будет. После изменения keytab’а gssd нужно перезапустить. Ну это ты вроде уже нашёл

  1. Можно ли не привязываться к reverse DNS? Ну не хочу я быть настолько параноиком. Тем более, что клиенты - DHCP. rdns = false это же оно?

Не пробовал. Вроде ды. Но для начала лучше добейся работы в ситуации, когда в обратной зоне все есть

Клиент:

ЕМНИП, на клиенте ещё нужен principal для host. Даже если не требуется, лишним не будет

Но в других источниках говорится, что на NFS клиенты тоже нужно класть keytab файл.. Кому верить?

Нужно

sudo mount -t nfs4 -o sec=krb5 main.3r.ru:/opt/docs/ /mnt/

содержимое /etc/exports с сервера?

Кроме того, для nfs4 должны быть запущены idmapd, и для kerberos - gssd

По мануалу openSUSE - да, там просто создаётся principal «suzanne», задаётся пароль, и должно работать

Думаю, ты начал читать мануал не с начала. В начале там неверняка добавление в домен, что автоматически настраивает kerberos и sssd