Toon posts:

Dell EMC Unity, Secure NFS en Active Directory

Pagina: 1
Acties:

  • noskill
  • Registratie: April 2010
  • Laatst online: 29-09 11:41
Hey allemaal,

heb al een tijdje een probleem op het werk waar ik, en mn Dell support vrienden, voorlopig nog geen oplossing voor kunnen vinden. Ik hoop dat ik hier een NFS/Kerberos pro kan vinden die misschien nog goede ideeen heeft...

De Unity appliance gaat onze storage regelen. Het is een apparaat dat een soort van containerized opslag kan delen op verschillende manieren. Zo heb ik een block van x TB dat via iSCSI aangeboden wordt aan mn vCenter cluster. Daarnaast heb ik een pool van x TB dat een filesystem deelt via Samba en NFS.

We werken op kantoor met een mixed Windows/Linux omgeving, en er wordt veel gesymlinked op de shares. In de eerste instantie wou ik Samba inzetten, ook op de Linux clients, om er voor te zorgen dat de gebruikers zich daadwerkelijk moeten authenticeren voordat ze toegang krijgen. Via standaard NFS wordt toegang verleend op basis van host IP, en filesystem permissies op basis van het UID van de lokale user die verbindt. Helaas ondersteund Samba geen symlinking, en ben ik genoodzaakt NFS te blijven gebruiken. Om het authenticatie probleem op te lossen, wil ik de NFS exports enkel exporteren met kerberos security enabled, zodat er ook voor de Linux gebruikers daadwerkelijk authenticatie plaats moet vinden (doormiddel van kerberos). De Active Directory server zal de KDC worden.

Ik heb in mijn lab de Unity in een test domein gejoined, en bevestigd dat de juiste kerberos service principals aangemaakt zijn. Ik heb een Linux client aan het zelfde domain gejoined, en bevestigd dat de juiste host principals aangemaakt zijn. Volgens mij zou dit voldoende moeten zijn om te share te kunnen mounten, maar dat blijkt niet het geval...

code:
1
2
root@LIN-VIRT-01:/home/local# mount -t nfs -o sec=krb5 nas1.domein.local:/share /media
mount.nfs: access denied by server while mounting nas1.domein.local:/share


Vreemd genoeg, wanneer ik nas1.domein.local:/ mount, werkt het wel. Ik krijg op deze manier echter geen toegang om daadwerkelijk wijzigingen te doen (geen rechten, Unity staat enkel wijzigingen van permissies toe op de share).

Het gedoe is, dat de root user moet mounten. De root user heeft geen kerberos ticket. Er zou dus (als ik het goed begrepen heb) authenticatie tussen de client machine en de storage machine plaats moeten vinden op basis van de toegekende host principals aan de client, en de geconfigureerde service principals aan de share kant.

Keytab client:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
root@LIN-VIRT-01:~# klist -ek
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   2 LIN-VIRT-01$@DOMEIN.LOCAL (arcfour-hmac)
   2 LIN-VIRT-01$@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 LIN-VIRT-01$@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 host/LIN-VIRT-01@DOMEIN.LOCAL (arcfour-hmac)
   2 host/LIN-VIRT-01@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 host/LIN-VIRT-01@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 host/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (arcfour-hmac)
   2 host/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 host/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 RestrictedKrbHost/LIN-VIRT-01@DOMEIN.LOCAL (arcfour-hmac)
   2 RestrictedKrbHost/LIN-VIRT-01@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 RestrictedKrbHost/LIN-VIRT-01@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 RestrictedKrbHost/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (arcfour-hmac)
   2 RestrictedKrbHost/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 RestrictedKrbHost/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 nfs/LIN-VIRT-01@DOMEIN.LOCAL (arcfour-hmac)
   2 nfs/LIN-VIRT-01@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 nfs/LIN-VIRT-01@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)
   2 nfs/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (arcfour-hmac)
   2 nfs/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes128-cts-hmac-sha1-96)
   2 nfs/LIN-VIRT-01.DOMEIN.local@DOMEIN.LOCAL (aes256-cts-hmac-sha1-96)


Keytab Unity:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
09:59:38 service@VIRT1947PW6JVR spa:~/user# svc_nas nas1 -kerberos -keytab


keytab file major version = 0, minor version 0

-- Entry number 1 --
principal: NAS1$@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 23:54:28

-- Entry number 2 --
principal: NAS1$@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 3 --
principal: NAS1$@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 4 --
principal: NAS1$@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 5 --
principal: NAS1$@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 6 --
principal: host/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 7 --
principal: host/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 8 --
principal: host/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 9 --
principal: host/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 10 --
principal: host/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 11 --
principal: host/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 12 --
principal: host/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 13 --
principal: host/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 14 --
principal: host/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 15 --
principal: host/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 16 --
principal: cifs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:46

-- Entry number 17 --
principal: cifs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 18 --
principal: cifs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 19 --
principal: cifs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 20 --
principal: cifs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 21 --
principal: cifs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 22 --
principal: cifs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 23 --
principal: cifs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 24 --
principal: cifs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 25 --
principal: cifs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 26 --
principal: RestrictedKrbHost/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:42:01

-- Entry number 27 --
principal: RestrictedKrbHost/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 28 --
principal: RestrictedKrbHost/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 29 --
principal: RestrictedKrbHost/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 30 --
principal: RestrictedKrbHost/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 31 --
principal: RestrictedKrbHost/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 32 --
principal: RestrictedKrbHost/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 33 --
principal: RestrictedKrbHost/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 34 --
principal: RestrictedKrbHost/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 35 --
principal: RestrictedKrbHost/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 36 --
principal: nfs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:50

-- Entry number 37 --
principal: nfs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 38 --
principal: nfs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 39 --
principal: nfs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 40 --
principal: nfs/nas1.DOMEIN.local@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 41 --
principal: nfs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes256-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 42 --
principal: nfs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: aes128-cts-hmac-sha1-96
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 43 --
principal: nfs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: rc4-hmac-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 44 --
principal: nfs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-md5
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08

-- Entry number 45 --
principal: nfs/nas1@DOMEIN.LOCAL
realm: DOMEIN.LOCAL
encryption type: des-cbc-crc
principal type: 1, key version: 2
Timestamp: 06/02/20 14:41:08


Als er gegadigden zijn die ervaring hebben met soortgelijke deployments, hoor ik erg graag van jullie.

*edit*
Mocht iemand hier in de toekomst in geintereseerd zijn, ben iets dichterbij een oplossing. Het Unity apparaat accepteert geen tickets van hostname$ principals. Dit is de default userprincipalname van computer objecten in AD (te zien in client keytab hierboven). Probleem is mogelijk op te lossen door te domain-joinen en een andere userprincipalname op te geven (host/hostname). Topic mag wat mij betreft gesloten worden.

[Voor 3% gewijzigd door noskill op 03-07-2020 15:11]


  • remyz
  • Registratie: Februari 2010
  • Laatst online: 20:17
Wat heb je aan de Linux client kant geconfigureerd? Hoe heb je de join gedaan? Draait gssd?

  • noskill
  • Registratie: April 2010
  • Laatst online: 29-09 11:41
Gejoined via realmd, sssd-ad. rpc.gssd service draait. Die principals in de keytab van de client zijn, op de nfs service principal na, automatisch aangemaakt na het joinen. De nfs principal heb ik later via adcli toegevoegd.



Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee