Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
tutoriel:samba_ad_dc_nfs4_kerberized [Le 19/12/2015, 18:59] Qedinux [Erreurs et solutions] Correction: createupn |
tutoriel:samba_ad_dc_nfs4_kerberized [Le 11/09/2022, 12:25] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>samba administration windows réseau}} | + | {{tag>tutoriel samba administration windows réseau}} |
| + | ---- | ||
| ====== Samba AD DC - Partage NFSv4 avec authentification Kerberos ====== | ====== Samba AD DC - Partage NFSv4 avec authentification Kerberos ====== | ||
| Ligne 58: | Ligne 60: | ||
| La configuration des partages se fait au travers du fichier ///etc/exports// | La configuration des partages se fait au travers du fichier ///etc/exports// | ||
| <file - /etc/exports> | <file - /etc/exports> | ||
| - | /export 192.0.2.0/24(rw,sync,fsid=0,no_subtree_check,crossmnt,sec=krb5) | + | /export 192.0.2.0/24(ro,sync,fsid=0,no_subtree_check,crossmnt,sec=krb5) |
| /export/home/example 192.0.2.0/24(rw,sync,no_subtree_check,sec=krb5) | /export/home/example 192.0.2.0/24(rw,sync,no_subtree_check,sec=krb5) | ||
| </file> | </file> | ||
| - | La première ligne avec l'option **//fsid=0//** (ou fsid=root) définit la racine virtuelle du système de fichiers partagés. Ainsi, tous les fichiers et répertoires sous ///export// sont accessibles par le partage NFS. | + | La première ligne avec l'option **//fsid=0//** (ou fsid=root) définit la racine virtuelle du système de fichiers partagés. Il n'y a aucune nécessité de donner des droits d'écriture sur cette racine. Tous les fichiers et répertoires sous ///export// sont accessibles par le partage NFS. |
| L'option **//sec=krb5//** définit le niveau de sécurité exigé. Il en existe 3: | L'option **//sec=krb5//** définit le niveau de sécurité exigé. Il en existe 3: | ||
| Ligne 130: | Ligne 132: | ||
| NEED_GSSD="yes" | NEED_GSSD="yes" | ||
| </file> | </file> | ||
| - | A la lecture du script Upstart du démon //rpc.gssd//, on constate que ce démon va charger plusieurs modules dont //rpcsec_gss_krb5// et que si le fichier ///etc/fstab// contient une ligne avec une option du type //sec=krb5//, le démon sera automatiquement démarré. | + | A la lecture du script Upstart du démon //rpc.gssd//, on constate que ce démon va charger plusieurs modules dont //rpcsec_gss_krb5// et que si le fichier ///etc/fstab// contient une ligne avec une option du type //sec=krb5//, le démon sera automatiquement démarré. |
| Afin de faciliter le dépannage en cas de problème avec ce démon, il est possible d'activer son mode "très, très bavard" avec l'option "-vvv". | Afin de faciliter le dépannage en cas de problème avec ce démon, il est possible d'activer son mode "très, très bavard" avec l'option "-vvv". | ||
| Ligne 147: | Ligne 149: | ||
| Zone 2.0.192.in-addr.arpa created successfully | Zone 2.0.192.in-addr.arpa created successfully | ||
| - | samba-tool add ubndc01 2.0.192.in-addr.arpa 12 PTR ubnfs01.example.com | + | samba-tool dns add ubndc01 2.0.192.in-addr.arpa 12 PTR ubnfs01.example.com |
| Record added successfully</code> | Record added successfully</code> | ||
| La commande //samba-tool// utilise le ticket kerberos de l'utilisateur pour réaliser ces opérations. Si l'utilisateur n'a pas de ticket Kerberos, il peut utiliser l'option //-U Administrator//. | La commande //samba-tool// utilise le ticket kerberos de l'utilisateur pour réaliser ces opérations. Si l'utilisateur n'a pas de ticket Kerberos, il peut utiliser l'option //-U Administrator//. | ||
| Ligne 160: | Ligne 162: | ||
| </code> | </code> | ||
| === Absence d'identité === | === Absence d'identité === | ||
| - | Le démon //rpc.gssd// va chercher une identité dans le fichier ///etc/krb5.keytab// pour s'authentifier vis-à-vis du serveur Kerberos. Il essaie premièrement l'UPN de l'ordinateur <FQDN$>@<REALM> et ensuite les SPN root/<fqdn>@<REALM>, nfs/<fqdn>@<REALM> et host/<fqdn>@<REALM>. | + | Le démon //rpc.gssd// va chercher une identité dans le fichier ///etc/krb5.keytab// pour s'authentifier vis-à-vis du serveur Kerberos. Il essaie premièrement l'UPN de l'ordinateur <FQDN$>@<REALM> et ensuite les SPN root/<fqdn>@<REALM>, nfs/<fqdn>@<REALM> et host/<fqdn>@<REALM>. |
| <file - /var/log/syslog> | <file - /var/log/syslog> | ||
| Oct 7 20:17:08 ubnws01 rpc.gssd[6173]: No key table entry found for UBNWS01.EXAMPLE.COM$@EXAMPLE.COM while getting keytab entry for 'UBNWS01.EXAMPLE.COM$@EXAMPLE.COM' | Oct 7 20:17:08 ubnws01 rpc.gssd[6173]: No key table entry found for UBNWS01.EXAMPLE.COM$@EXAMPLE.COM while getting keytab entry for 'UBNWS01.EXAMPLE.COM$@EXAMPLE.COM' | ||
| Ligne 195: | Ligne 197: | ||
| Après avoir résolu ces quelques problèmes, il est possible de monter le partage NFS et d'y accèder. | Après avoir résolu ces quelques problèmes, il est possible de monter le partage NFS et d'y accèder. | ||
| ==== Automatisation ==== | ==== Automatisation ==== | ||
| - | Deux approches sont possibles pour l'automatisation du montage des partages NFS. | + | Deux approches sont possibles pour l'automatisation du montage des partages NFS. |
| * Ajouter une ligne dans le fichier ///etc/fstab// | * Ajouter une ligne dans le fichier ///etc/fstab// | ||
| * Utiliser //[[:autofs]]// | * Utiliser //[[:autofs]]// | ||