rhel6, nfs4, kerberos a nefunkcni mount (delsi)
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Neděle Květen 29 19:30:11 CEST 2011
On Sun, 29 May 2011, Zdenek Kaminski wrote:
> May 29 10:10:10 kcln0 rpc.gssd[1149]: Success getting keytab entry for
> 'nfs/kcln0.kvm.valasske-laboratore.cz na KVM.VALASSKE-LABORATORE.CZ'
> May 29 10:10:10 kcln0 rpc.gssd[1149]: WARNING: KDC has no support for
> encryption type while getting initial ticket for principal
Pro mount je potřeba mít machine credentials pro vhodného principála
(např. nfs/stroj) v /etc/krb5.keytab (nebo je potřeba rpc.gssd spustit
s -n a mít nějaký normální tiket jako root, i když pro běžný provoz to
není moc vhodné).
Otestovat to lze i ručně pomocí kinit -k -t /etc/krb5.conf principál
Tady sice klíč pro nfs/kcln0 v keytabu je, jak potvrzuje přiložený výpis:
> na kcln0 pak mam:
> kcln0# klist -ke /etc/krb5.keytab
> Keytab name: WRFILE:/etc/krb5.keytab
> KVNO Principal
> ----
> --------------------------------------------------------------------------
> 2 host/kcln0.kvm.valasske-laboratore.cz na KVM.VALASSKE-LABORATORE.CZ
> (des3-cbc-sha1)
> 2 host/kcln0.kvm.valasske-laboratore.cz na KVM.VALASSKE-LABORATORE.CZ
> (des-cbc-crc)
> 2 nfs/kcln0.kvm.valasske-laboratore.cz na KVM.VALASSKE-LABORATORE.CZ
> (des-cbc-crc)
ale rpc.gssd se s ním nemůže přihlásit ke KDC a získat tiket a to
z toho důvodu, že KDC odmítá enctype (des-cbc-crc).
> No a konecne ve /var/kerberos/krb5kdc/kdc.conf na kdc0 mam krome jineho:
> master_key_type = des-cbc-crc
> supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal
Nastavení master_key_type je asi hloupost, to je afaik šifrování použité
na databázi KDC.
Nastavení supported_enctypes vypadá dobře. Otázka zní, zda to KDC (a
klient) bere na vědomí, když tam není allow_weak_crypto.
Jiná věc je, že jádro, které je v RHEL6, by už mělo podporovat i lepší
enctypes než des-cbc-crc (konečně!): des-cbc-md4, des-cbc-md5, rc4-hmac,
des3-hmac-sha1, aes128-cts a aes256-cts.
--
Pavel Kankovsky aka Peak / Jeremiah 9:21 \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /
Další informace o konferenci Linux