小野寛生です。 samba4 を Active Directory の DC にしているのですが、こいつを KDC にして NFSv4 で -sec=krb5 でマウントしたいと考えています。
https://wiki.freebsd.org/KerberizedNFS https://lists.samba.org/archive/samba/2014-November/186562.html を参考にしました。 -sec=sys で NFSv4 でマウントできるところまでは確認しました。 その後、下記の手順で keytab を作成して、 # mount_nfs -o nfsv4,sec=krb5 image.oikumene.ukehi.net:/exports/data /mnt としたのですが、マウントはできて、ls でファイルのリストは出てくるものの、 # cat /mnt/data.txt とすると nfsv4 err=10016 cat: /mnt/data.txt: Input/output error とエラーになります。 https://marc.info/?l=freebsd-fs&m=136148869906047&w=2 によれば > Error 10016 is NFS4ERR_WRONGSEC. This means that the server expects a > different security flavour (sys maybe) at some point in the mount. ということなんですが、どうすれば -sec=krb5 でマウントできるのかわかる方教えてください。 NFS server の /etc/exports: V4: / -sec=kerb5p:krb5i:krb5 -network 192.168.0.0 -mask 255.255.255.0 /exports/data -network 192.168.0/24 keytab 作成手順: 1) DC host で user を作成 # samba-tool user create nfs-user --random-password # samba-tool user setexpiry --noexpiry nfs-user 2) SPN を追加 # jexec dc samba-tool spn add nfs/IMAGE.OIKUMENE.UKEHI.NET nfs-user 3) keytab を export # samba-tool domain exportkeytab /tmp/nfs.image.keytab --principal=nfs/IMAGE.OIKUMENE.UKEHI.NET # samba-tool domain exportkeytab /tmp/nfs.image.keytab --principal=image\$ 4) 確認 # ktutil --keytab=/tmp/nfs.image.keytab list Vno Type Principal Aliases 2 arcfour-hmac-md5 nfs/image.oikumene.ukehi....@oikumene.ukehi.net 2 des-cbc-md5 nfs/image.oikumene.ukehi....@oikumene.ukehi.net 2 des-cbc-crc nfs/image.oikumene.ukehi....@oikumene.ukehi.net 3 arcfour-hmac-md5 image$@OIKUMENE.UKEHI.NET 3 des-cbc-md5 image$@OIKUMENE.UKEHI.NET 3 des-cbc-crc image$@OIKUMENE.UKEHI.NET 5) nfs.image.keytab を、NFS server (image.oikumene.ukehi.net) と client の /etc/krb5.keytab にコピー 6) NFS server と NFS client の /etc/krb5.conf を以下に設定 [libdefaults] default_realm = OIKUMENE.UKEHI.NET dns_lookup_realm = false dns_lookup_kdc = true allow_weak_crypto = true forwardable = true 7) NFS client で kinit 可能なことを確認 % kinit -k nfs/IMAGE.OIKUMENE.UKEHI.NET _______________________________________________ freebsd-users-jp@freebsd.org mailing list https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp To unsubscribe, send any mail to "freebsd-users-jp-unsubscr...@freebsd.org"