Добрый день. Пытаюсь настроить связку, указанную в заголовке. По мотивам https://github.com/nfs-ganesha/nfs-ganesha/wiki/Kerberos-setup-for-NFS-Ganesha-in-Ceph (эта страница имеет еще две копии с небольшими отличиями - на сайте rh и ibm). Я в отличие от автора не могу добиться подключения.
Что было сделано:
- Развернуты ноды под ceph и 2 доп сервера (centos 9)
- Все это включено в домен freeipa стандартными средствами
- Развернут ceph, через cephadm
- На одном из доп серверов (далее - сервер4) развернут nfs-ganesha из тех же пакетов, которые используются в образе ceph:main (используется cephadm)
- Со второго дополнительного сервера (далее - клиент) пытаюсь монтировать cephfs непосредственно с ceph (через стандартный образ) и ту же cephfs через сервер4.
Монтирование nfs4+krb5 с сервера4 на клиент проходит. Монтирование nfs4+krb5 c ceph не проходит, хотя:
- проходит nfs4+sys
- krb билет внутри контейнера получаю успешно по keytab хостовой ВМ проброшенному внутрь контейнера
- настройки /etc/ganesha/ganesha.conf идентичны в контейнере и на сервере4
- Сравнил набор пакетов в контейнере и на сервере4. Если чего-то в контейнере и не хватает, то я этого не вижу/не понимаю.
Какой то явной ошибки в debug логе контейнера не вижу. При сравнении удачной сессии (сервер4) и неудачной (контейнер) записи схожи до момента, когда контейнер выдает:
process_one_op :NFS4 :DEBUG :Request 0: opcode 44 is OP_DESTROY_SESSION
, а сервер4:
process_one_op :NFS4 :DEBUG :Request 0: opcode 53 is OP_SEQUENCE
Есть еще одна ссылка (https://www.spinics.net/lists/ceph-users/msg79198.html) в которой с одной стороны утверждается: Currently, cephadm doesn’t have support for kerberos because it lacks the server side components needed to connect to krb5/ldap. С другой стороны там же: Right, even if the container host is set up for kerberos, the needed properties dont’ propagate to the container. Насколько я понимаю, я корректно выполнил propagate the needed properties to the container, поскольку krb билет внутри контейнера я получаю успешно.
Вопросы:
- Озадачивался ли кто-нибудь подобной задачей? Как успехи?
- Есть ли какие либо соображения, почему на standalone хосте связка nfs-ganesha + krb работает, а в контейнере - нет?