Клиент NFS keytab: несколько машин
После некоторых дополнительных проверок стало ясно, что Вы iptables брандмауэр блокировали соединения от хостов. Добавьте правила разрешить трафик сверхпроводящего квантового интерферометра согласно документам Redhat: http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html
Правила самостоятельно должны быть похожими на это:
-A INPUT -s / -p tcp -m tcp --dport 3128 -j ACCEPT
-A OUTPUT -d / -p tcp -m tcp --sport 3128 -j ACCEPT
Последнее правило необходимо, только если выходной трафик также фильтрован (у меня нет поля RHEL для проверки настройки по умолчанию). При установке доступа только от Вас внутренняя сеть также очень важна для безопасности. Или можно настроить сквид для слушания только во внутреннем интерфейсе
http_port your.internal.ip.address:3128
A generic keytab is no use at all - the Kerberos Service Principle is tied to hostname. So a generic keytab simply won't work. You don't necessarily need an NFS specific key - depending which OS version you're using. We can use HOST/full.qualified.hostname to authenticate NFS on RHEL 6+.
So yes, you do need a keytab on each machine. I know that's horrible, but that's the way of things.
Bear in mind that in a Windows domain, you have to do effectively the same thing with your 'domain join' process - one of the major things that does is create a keytab on Windows clients.
We've started down the road of integrated domains - binding our Linux clients to a Windows AD. With that approach, you can use the net command on Linux e.g. net ads join which is I think part of SAMBA. You can embed into it a username and password, and run it via whatever existing automation mechanism you have already. (net ads keytab create also does .... well exactly what it says on the tin. )
If you're not using an AD, then I'm afraid I don't know. I would imagine that something similar exists for generating a keytab.
Я написал код для решения вашей проблемы, но он не сработает для всех. Проблема в том, что вы должны найти способ расширить доверие к ненадежному оборудованию. У каждого сайта будет свой способ сделать это.
Я использую ключ ssh, который устанавливается нашим менеджером конфигурации, чтобы расширить доверие на ненадежные машины.
Код, который я написал, находится в
https://github.com/bbense/aeakos
Но на самом деле это скорее схема того, как решить сложную проблему автоматической установки keytabs.
Что касается использования общей вкладки для клиента, она может работать для некоторых служб на основе Kerberos, но я никогда не видел, чтобы она использовалась для керберизованной NFS. И вообще, вам нужен хотя бы host / foo.com на каждой машине, чтобы в полной мере использовать все возможности Kerberos. Если вы не можете этого сделать, в развертывании Kerberos нет смысла.
Теоретически общая клиентская keytab должна работать, если вы хотите, чтобы каждая машина имела доступ к одним и тем же серверам / файлам. На практике вам придется провести тщательный анализ того, как сервер nfs использует аутентификацию Kerberos для реализации авторизации, чтобы убедиться, что все работает правильно.
Часть успешного использования kerberos - помнить, что он выполняет только аутентификацию, авторизация всегда специфична для приложения. Все, что я сделал с NFSV4, предполагает, что он ожидает уникальный идентификатор Kerberos для каждого клиентского хоста, но у меня нет доказательств того, что он требуется один.