| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| utilisateurs:qedinux:samba_ad_dc_nfs4_kerberized [Le 23/10/2015, 22:13] – En cours de rédaction Qedinux | utilisateurs:qedinux:samba_ad_dc_nfs4_kerberized [Le 11/09/2022, 13:15] (Version actuelle) – Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) moths-art |
|---|
| {{tag>brouillon samba administration windows réseau}} | ~~REDIRECT>tutoriel/samba_ad_dc_nfs4_kerberized~~ |
| ====== Samba AD DC - Partage NFSv4 avec authentification Kerberos ====== | ====== Samba AD DC - Partage NFSv4 avec authentification Kerberos ====== |
| |
| </file> | </file> |
| |
| La première ligne avec l'option **//fsid=0//** (ou fsid=root) défint la racine virtuelle du système de fichier partagé. Ainsi, tout les fichiers et répertoires sous ///export// sont accessibles par le partage NFS. | La première ligne avec l'option **//fsid=0//** (ou fsid=root) définit la racine virtuelle du système de fichiers partagés. Ainsi, tous les fichiers et répertoires sous ///export// sont accessibles par le partage NFS. |
| |
| L'option **//sec=krb5//** définit le niveau de sécurité exigé. Il en existe 3: | L'option **//sec=krb5//** définit le niveau de sécurité exigé. Il en existe 3: |
| |
| ==== Conseils ==== | ==== Conseils ==== |
| Le service //nfs-kernel-server// lorsqu'il démarre va lire le fichier de configuration ///etc/default/nfs-kernel-server//. Par défaut, il ne faut rien y changer. Cependant, si l'on veut augmenter la quantité d'informations envoyées dans le fichier log. On peut ajouter l'option très bavard au démon //rpc.svcgssd// (responsable de l'authentification de la machine vis-à-vis du serveur Kerberos) | Le service //nfs-kernel-server// lorsqu'il démarre va lire le fichier de configuration ///etc/default/nfs-kernel-server//. Par défaut, il ne faut rien y changer. Cependant, si l'on veut augmenter la quantité d'informations envoyées dans le fichier log. On peut ajouter l'option "très bavard" au démon //rpc.svcgssd// (responsable de l'authentification de la machine vis-à-vis du serveur Kerberos) |
| <file - /etc/default/nfs-kernel-server> | <file - /etc/default/nfs-kernel-server> |
| RPCSVCGSSDOPTS="-vvv" | RPCSVCGSSDOPTS="-vvv" |
| NEED_GSSD="yes" | NEED_GSSD="yes" |
| </file> | </file> |
| A la lecture du script Upstart du démon //rpc.gssd//, on constate que ce démon va charger plusieurs modules dont //rpcsec_gss_krb5// et que si le fichier ///etc/fstab// contient une ligne avec une option du type //sec=krb5//, le démon sera automatiquement démarré. | A la lecture du script Upstart du démon //rpc.gssd//, on constate que ce démon va charger plusieurs modules dont //rpcsec_gss_krb5// et que si le fichier ///etc/fstab// contient une ligne avec une option du type //sec=krb5//, le démon sera automatiquement démarré. |
| |
| Afin de faciliter le dépannage en cas de problème avec ce démon, il est possible d'activer son mode très, très bavard avec l'option "-vvv". | Afin de faciliter le dépannage en cas de problème avec ce démon, il est possible d'activer son mode "très, très bavard" avec l'option "-vvv". |
| <code>sudo stop gssd | <code>sudo stop gssd |
| sudo rpc.gssd -vvv</code> | sudo rpc.gssd -vvv</code> |
| </code> | </code> |
| === Absence d'identité === | === Absence d'identité === |
| Le démon //rpc.gssd// va chercher une identité dans le fichier ///etc/krb5.keytab// pour s'authentifier vis-à-vis du serveur Kerberos. Il essaie premièrement l'UPN de l'ordinateur <FQDN$>@<REALM> et ensuite les SPN root/<fqdn>@<REALM>, nfs/<fqdn>@<REALM> et host/<fqdn>@<REALM>. | Le démon //rpc.gssd// va chercher une identité dans le fichier ///etc/krb5.keytab// pour s'authentifier vis-à-vis du serveur Kerberos. Il essaie premièrement l'UPN de l'ordinateur <FQDN$>@<REALM> et ensuite les SPN root/<fqdn>@<REALM>, nfs/<fqdn>@<REALM> et host/<fqdn>@<REALM>. |
| <file - /var/log/syslog> | <file - /var/log/syslog> |
| Oct 7 20:17:08 ubnws01 rpc.gssd[6173]: No key table entry found for UBNWS01.EXAMPLE.COM$@EXAMPLE.COM while getting keytab entry for 'UBNWS01.EXAMPLE.COM$@EXAMPLE.COM' | Oct 7 20:17:08 ubnws01 rpc.gssd[6173]: No key table entry found for UBNWS01.EXAMPLE.COM$@EXAMPLE.COM while getting keytab entry for 'UBNWS01.EXAMPLE.COM$@EXAMPLE.COM' |
| Après avoir résolu ces quelques problèmes, il est possible de monter le partage NFS et d'y accèder. | Après avoir résolu ces quelques problèmes, il est possible de monter le partage NFS et d'y accèder. |
| ==== Automatisation ==== | ==== Automatisation ==== |
| Deux approches sont possibles pour l'automatisation du montage des partages NFS. | Deux approches sont possibles pour l'automatisation du montage des partages NFS. |
| * Ajouter une ligne dans le fichier ///etc/fstab// | * Ajouter une ligne dans le fichier ///etc/fstab// |
| * Utiliser //[[:autofs]]// | * Utiliser //[[:autofs]]// |
| <code>sudo service nfs-kernel-server start</code> | <code>sudo service nfs-kernel-server start</code> |
| ==== Sur les clients NFS ==== | ==== Sur les clients NFS ==== |
| | Installation du paquet NFS client |
| | <code>sudo apt-get install nfs-common</code> |
| | S'il n'est pas déjà définit dans l'Active Directory, définir l'eUPN de l'ordinateur |
| | <code>ldapmodify -H ldap://ubndc01.example.com -U Administrator << EOF |
| | dn: cn=ubnws01,cn=computers,dc=example,dc=com |
| | changetype: modify |
| | add: userPrincipalName |
| | userPrincipalName: UBNWS01.EXAMPLE.COM\$@EXAMPLE.COM |
| | EOF</code> |
| | S'il n'est pas déjà présent dans le fichier ///etc/krb5.keytab//, ajouter l'eUPN au fichier |
| | <code>sudo net ads keytab add UBNWS01.EXAMPLE.COM\$ -U Administrator</code> |
| | Monter la ressource partagée manuellement |
| | <code>sudo mount -t nfs4 -o sec=krb5 ubnfs01.example.com:/home/example /home/example</code> |
| | __Ou__ automatiquement (cfr [[utilisateurs:qedinux:samba_ad_dc_nfs4_kerberized?do=#automatisation|Automatisation]]) |
| |
| ===== Références ===== | ===== Références ===== |
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International