Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Dell EMC Unity, Secure NFS en Active Directory

Pagina: 1
Acties:

  • noskill
  • Registratie: april 2010
  • Laatst online: 21-06 10:36
Hey allemaal,

heb al een tijdje een probleem op het werk waar ik, en mn Dell support vrienden, voorlopig nog geen oplossing voor kunnen vinden. Ik hoop dat ik hier een NFS/Kerberos pro kan vinden die misschien nog goede ideeen heeft...

De Unity appliance gaat onze storage regelen. Het is een apparaat dat een soort van containerized opslag kan delen op verschillende manieren. Zo heb ik een block van x TB dat via iSCSI aangeboden wordt aan mn vCenter cluster. Daarnaast heb ik een pool van x TB dat een filesystem deelt via Samba en NFS.

We werken op kantoor met een mixed Windows/Linux omgeving, en er wordt veel gesymlinked op de shares. In de eerste instantie wou ik Samba inzetten, ook op de Linux clients, om er voor te zorgen dat de gebruikers zich daadwerkelijk moeten authenticeren voordat ze toegang krijgen. Via standaard NFS wordt toegang verleend op basis van host IP, en filesystem permissies op basis van het UID van de lokale user die verbindt. Helaas ondersteund Samba geen symlinking, en ben ik genoodzaakt NFS te blijven gebruiken. Om het authenticatie probleem op te lossen, wil ik de NFS exports enkel exporteren met kerberos security enabled, zodat er ook voor de Linux gebruikers daadwerkelijk authenticatie plaats moet vinden (doormiddel van kerberos). De Active Directory server zal de KDC worden.

Ik heb in mijn lab de Unity in een test domein gejoined, en bevestigd dat de juiste kerberos service principals aangemaakt zijn. Ik heb een Linux client aan het zelfde domain gejoined, en bevestigd dat de juiste host principals aangemaakt zijn. Volgens mij zou dit voldoende moeten zijn om te share te kunnen mounten, maar dat blijkt niet het geval...

code:
1
2
root@LIN-VIRT-01:/home/local# mount -t nfs -o sec=krb5 nas1.domein.local:/share /media
mount.nfs: access denied by server while mounting nas1.domein.local:/share


Vreemd genoeg, wanneer ik nas1.domein.local:/ mount, werkt het wel. Ik krijg op deze manier echter geen toegang om daadwerkelijk wijzigingen te doen (geen rechten, Unity staat enkel wijzigingen van permissies toe op de share).

Het gedoe is, dat de root user moet mounten. De root user heeft geen kerberos ticket. Er zou dus (als ik het goed begrepen heb) authenticatie tussen de client machine en de storage machine plaats moeten vinden op basis van de toegekende host principals aan de client, en de geconfigureerde service principals aan de share kant.

Keytab client:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
root@LIN-VIRT-01:~# klist -ek
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   2 LIN-VIRT-01$@DOMEIN.LOCAL (arcfour-hmac)
   2 LIN-VIRT-01$@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 LIN-VIRT-01$@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 host/LIN-VIRT-01@DOMEIN.LOCAL (arcfour-hmac)
   2 host/LIN-VIRT-01@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 host/LIN-VIRT-01@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 host/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (arcfour-hmac)
   2 host/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 host/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 RestrictedKrbHost/LIN-VIRT-01@DOMEIN.LOCAL (arcfour-hmac)
   2 RestrictedKrbHost/LIN-VIRT-01@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 RestrictedKrbHost/LIN-VIRT-01@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 RestrictedKrbHost/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (arcfour-hmac)
   2 RestrictedKrbHost/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 RestrictedKrbHost/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 nfs/LIN-VIRT-01@DOMEIN.LOCAL (arcfour-hmac)
   2 nfs/LIN-VIRT-01@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 nfs/LIN-VIRT-01@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 nfs/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (arcfour-hmac)
   2 nfs/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 nfs/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)


Keytab Unity:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
09:59:38 service@VIRT1947PW6JVR spa:~/user# svc_nas nas1 -kerberos -keytab


keytab file major version = 0, minor version 0

-- Entry number 1 --
principal: NAS1$@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 23:54:28

-- Entry number 2 --
principal: NAS1$@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 3 --
principal: NAS1$@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 4 --
principal: NAS1$@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 5 --
principal: NAS1$@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 6 --
principal: host/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 7 --
principal: host/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 8 --
principal: host/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 9 --
principal: host/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 10 --
principal: host/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 11 --
principal: host/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 12 --
principal: host/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 13 --
principal: host/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 14 --
principal: host/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 15 --
principal: host/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 16 --
principal: cifs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:46

-- Entry number 17 --
principal: cifs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 18 --
principal: cifs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 19 --
principal: cifs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 20 --
principal: cifs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 21 --
principal: cifs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 22 --
principal: cifs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 23 --
principal: cifs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 24 --
principal: cifs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 25 --
principal: cifs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 26 --
principal: RestrictedKrbHost/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:42:01

-- Entry number 27 --
principal: RestrictedKrbHost/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 28 --
principal: RestrictedKrbHost/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 29 --
principal: RestrictedKrbHost/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 30 --
principal: RestrictedKrbHost/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 31 --
principal: RestrictedKrbHost/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 32 --
principal: RestrictedKrbHost/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 33 --
principal: RestrictedKrbHost/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 34 --
principal: RestrictedKrbHost/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 35 --
principal: RestrictedKrbHost/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 36 --
principal: nfs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:50

-- Entry number 37 --
principal: nfs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 38 --
principal: nfs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 39 --
principal: nfs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 40 --
principal: nfs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 41 --
principal: nfs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 42 --
principal: nfs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 43 --
principal: nfs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 44 --
principal: nfs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 45 --
principal: nfs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08


Als er gegadigden zijn die ervaring hebben met soortgelijke deployments, hoor ik erg graag van jullie.

*edit*
Mocht iemand hier in de toekomst in geintereseerd zijn, ben iets dichterbij een oplossing. Het Unity apparaat accepteert geen tickets van hostname$ principals. Dit is de default userprincipalname van computer objecten in AD (te zien in client keytab hierboven). Probleem is mogelijk op te lossen door te domain-joinen en een andere userprincipalname op te geven (host/hostname). Topic mag wat mij betreft gesloten worden.

[Voor 3% gewijzigd door noskill op 03-07-2020 15:11]


  • remyz
  • Registratie: februari 2010
  • Laatst online: 16:21
Wat heb je aan de Linux client kant geconfigureerd? Hoe heb je de join gedaan? Draait gssd?

  • noskill
  • Registratie: april 2010
  • Laatst online: 21-06 10:36
Gejoined via realmd, sssd-ad. rpc.gssd service draait. Die principals in de keytab van de client zijn, op de nfs service principal na, automatisch aangemaakt na het joinen. De nfs principal heb ik later via adcli toegevoegd.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True