NFS с Kerberos - изменение сети нарушило аутентификацию?
Итак, я недавно немного изменил настройки своей сети, и по причинам, которые я Я все еще пытаюсь разобраться с заменой старого маршрутизатора на новый PFSense, похоже, каким-то образом нарушил аутентификацию в сети. Настройка сети использует Kerberos KDC (как часть домена FreeIPA) для аутентификации доступа к общей папке NFSv4.
Это небольшая домашняя сеть, в которой pfsense box выполняет DHCP и базовый DNS.
- Я тестировал обратное поисковые запросы и IP-адреса могут быть правильно преобразованы в имена хостов, так что дело не в этом.
- Часы синхронизированы на всех машинах.
- Кажется, что билеты извлекаются нормально, и по крайней мере одна другая служба на основе Kerberos работает (у меня есть веб-сервер, на котором запущен Trac, который также использует KDC для входа в систему).
Ведение журнала с помощью rpcdebug выявило одно сообщение об ошибке, которое выглядит как виноватое, хотя поиск в Google не нашел ничего полезного.
Sep 8 19:00:34 weatherwax kernel: NFSD: warning: no callback path to client Linux NFSv4.2 stibbons.lan.deimos-legion.net: error -22
Хорошо, все еще не совсем уверен, в чем была настоящая проблема, но я сильно подозреваю, что это было связано с некоторой разницей в том, как dnsmasq и несвязанные управляют служебными записями (при настройке dnsmasq мне удалось замолчать на место некоторые записи SRV для Kerberos и LDAP, и я попытался сделать то же самое с несвязанным с ограниченным успехом).
Настройка конфигурации так, чтобы все полагалось на явные имена хостов, а не на записи DNS SRV, вернула все обратно в оперативный режим.