Hallo nochmal,
nach dem ich ja vor einigen Wochen die LDAP/Kerberos Anbindung bis zum erfolgreichen Benutzerlogin erreicht habe, wenn auch noch simpel und nicht besonderes abgesichert, habe ich nun endlich wieder Zeit gefunden weiter mit der Integration voran zu schreiten. Dabei habe ich im Thema NFSv4 und Kerberos einen nächsten Stolperstein gefunden, der aber zunächst relativ Kerberos spezifisch ist und auch eine paar grundlegende Fragen zu Kerberos auf dem UCS 3.0 aufwirft, die ich leider nirgends dokumentiert gefunden habe.
Folgt man dem Artikel [wiki]NFSv4_mit_UCS[/wiki] (welcher wohl ebenfalls für 2.4 ist) bedarf es bei der gesicherten NFSv4 Anbindung zuerst der Erstellung und Einbindung von Zertifikaten bzw. Principals für den Service. Dabei scheitert es sofort beim Einholen eines Tickets auf dem UCS (master) für den Prinzipal “kadmin/admin” (mittels kinit), da dieser zumindest nicht über das während der Installation vergebene Passwort von root/Administrator verfügt. Daher gleich die 1. Frage: Ist kadmin eine Art superuser der Kerberos-Datenbank selbst und wie sieht es mit der Authentifizierung und der Nutzung hierzu aus?
Versucht man sein Glück alternativ mittels “kinit” bzw. “kinit Administrator” bekommt man zwar ein Ticket, aber das Hinzufügen eines NFS Prinzipals für den Server mittels “kadmin add -r nfs/nfs-server.domain” scheitert nach Festlegung der weiteren Details an der zweiten Passworteingabe:
kadmin: kadm5_create_principal: Client (Administrator/admin@DOMAIN.LOCAL) unknown
kadmin: adding nfs/ucs.domain.local@DOMAIN.LOCAL: Client (Administrator/admin@DOMAIN.LOCAL) unknown
Mit “kadmin -l” lässt sich dies dann aber vollziehen, was zur 2. Frage führt: Woher rührt das unterschiedliche Verhalten zwischen “kadmin -l” und der normalen Benutzung des Administrator Accounts?
Will man den NFS Prinzipal nun in die Keytab aufnehmen (ktutil get nfs/nfs-server.domain) scheitert das wieder an der oberigen Problematik und leider ist es meines Verständnis nach nicht möglich dies über “kadmin -l” zu erledigen. 3. Frage: Auf welchem Wege (zur Not auch per dump und einfügen mittels Editor) lässt sich der Eintrag noch in die keytab bringen?
Letztlich führen alle genannten Probleme dazu, dass der NFS-Server sich wohl erwartungsgemäß beschwert:
ucs rpc.svcgssd[4698]: ERROR: GSS-API: error in gss_acquire_cred(): Unspecified GSS failure. Minor code may provide more information - Key table entry not found
ucs rpc.svcgssd[4698]: unable to obtain root (machine) credentials
ucs rpc.svcgssd[4698]: do you have a keytab entry for nfs/<your.host>@<YOUR.REALM> in /etc/krb5.keytab?
Über weitere Erkenntnisse zum Kerberos Setup auf dem UCS 3.0 und allgemein zu NFSv4 wäre ich wie bisher sehr dankbar