Ich habe folgendes erfolgreich mit UCS-4.2duchgeführt – allerdings funktioniert es derzeit nicht mit Samba4:
Zunächst einige Variablen:
FQDN="$(hostname -f)"
DOMAIN="$(dnsdomainname)"
REALM="$(ucr get kerberos/realm)"
PRINCIPAL="nfs/${FQDN}@${REALM}"
BASE="cn=kerberos,$(ucr get ldap/base)"
Für den NFS-Server einen Kerberos-Principal anlegen:
udm kerberos/kdcentry create \
--position "$BASE" \
--set name="$PRINCIPAL" \
--set generateRandomPassword=1
Diesen in die Keytab exportieren:
kadmin -l ext_keytab -k /etc/krb5.keytab "$PRINCIPAL"
Ein Verzeichnis exportieren: Hier wird krb5i verwendet, was nur die Integrität sicherstellt, aber nicht die Daten verschlüsselt. Will man das haben, muss man krb5p verwenden.
echo '/home gss/krb5i(rw,sync,no_subtree_check)' >>/etc/exports
Dafür sorgen, dass der RPC Server GSS Dienst gestartet ist:
sed -i -re 's/#?(NEED_SVCGSSD=).*/\1yes/' \
/etc/univention/templates/files/etc/default/nfs-kernel-server
ucr commit /etc/default/nfs-kernel-server
service nfs-kernel-server restart
Mounten kann man das ganze testweise dann so:
mount -t nfs4 -o sec=krb5i $FQDN:/home /mnt
Wichtig ist hier, dann man hier das selbe Verfahren wie oben angibt.
Für weitere Tests:
su - Administrator
cd /mnt/Administrator # schlägt fehl
kinit
cd /mnt/Administrator # jetzt geht's
kdestroy