root@PC-client:~# mount.nfs4 -vv -o sec=krb5 freenas.toto.tutu:/mnt/monpartage /root/auth/
mount.nfs4: timeout set for Wed Jun 17 16:42:59 2020
mount.nfs4: trying text-based options 'sec=krb5,vers=4.2,addr=X.X.Y.Z,clientaddr=X.X.W.C'
mount.nfs4: mount(2): Protocol not supported
mount.nfs4: trying text-based options 'sec=krb5,vers=4.1,addr=X.X.Y.Z,clientaddr=X.X.W.C'
mount.nfs4: mount(2): Operation not permitted
mount.nfs4: trying text-based options 'sec=krb5,addr=X.X.Y.Z'
mount.nfs4: prog 100003, trying vers=3, prot=6
mount.nfs4: trying X.X.Y.Z prog 100003 vers 3 prot TCP port 2049
mount.nfs4: prog 100005, trying vers=3, prot=17
mount.nfs4: trying X.X.Y.Z prog 100005 vers 3 prot UDP port 30000
mount.nfs4: mount(2): Invalid argument
mount.nfs4: an incorrect mount option was specified

[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    default_realm = TOTO.TUTU
 
[realms]
TOTO.TUTU = {
    kdc = srv-kerberos.toto.tutu
    admin_server = srv-kerberos.toto.tutu
    default_domain = toto.tutu
}
 
[domain_realm]
  .toto.tutu = TOTO.TUTU
  toto.tutu = TOTO.TUTU

root@freenas[~]# ktutil list
FILE:/etc/krb5.keytab:

Vno  Type                     Principal                               Aliases
  2  aes256-cts-hmac-sha1-96  host/freenas.toto.tutu@TOTO.TUTU
  2  aes128-cts-hmac-sha1-96  host/freenas.toto.tutu@TOTO.TUTU

pour info FreeNas : Cette solution a été sur la partie Kerberos linux pas suivie, je suis allé sur plusieurs forums ceux qu'ils mettent en place ce genre de solution ont fini par abandonner. Par contre, la partie Active Directory est maintenue. Du coup, j'ai changé sur RHEL 8. C'était trop prise de tête ça faisait plusieurs semaines j'étais dessus.  J'ai réussi monter un partage NFS avec une authentification Kerberos sous RHEL 8. C'est comme même mieux avec RHEL que sur Freenas.

Activation seul du NFSv4 RHEL

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/storage_administration_guide/nfs-serverconfig

Pour 2 keytab (host/srv-nfs-server.domain et nfs/srv-nfs-server.domain) sur le serveur nfs (générer sur le serveur Kerberos puis exporter avec la commande ktadd. envoyer le fichier via SSH. importer du fichier par

ktutil
rkt nom_fichier.keytab ==> lire le fichier 
wkt /etc/krb5.keytab ==> écrire les entrées dans le fichier krb5.keytab
list => Visualiser le contenu
q

raccourci pour voir le fichier /etc/krb5.keytab klist -k

https://codingbee.net/rhce/nfs-use-kerberos-to-control-nfs-access-on-centos-7

Pour la configuration des partages :

https://computingforgeeks.com/install-and-configure-nfs-server-on-centos-rhel/

Pour le débogage :

https://wiki.archlinux.org/index.php/NFS/Troubleshooting

mount.nfs4: Invalid argument

systemctl status nfs-client.target ==> Vérifier si le service démarrer sur le serveur NFS

mount.nfs4: an incorrect mount option was specified

Vérifier si l'un des 2 services est démarré nfs-client.service et/ou rpc-gssd.service sur le client.

Pour mon cas s'est rpc-gssd.service qui est actif.

Il est nécessaire pour le mount

kinit -p toto

klist

sudo mount -t nfs -o sec=krb5 srv-nfs-server:/mnt/monpartage /home/toto/auth

Cela permet déjà d'accéder au partage par une authentification Kerberos.

-
Edité par ageofempiresz 23 juin 2020 à 12:11:53