Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
tutoriel:samba_ad_dc_nfs4_kerberized [Le 19/12/2015, 18:59]
Qedinux [Erreurs et solutions] Correction: createupn
tutoriel:samba_ad_dc_nfs4_kerberized [Le 11/09/2022, 12:25]
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
Ligne 1: Ligne 1:
-{{tag>​samba administration windows réseau}}+{{tag>tutoriel ​samba administration windows réseau}} 
 +---- 
 ====== Samba AD DC - Partage NFSv4 avec authentification Kerberos ====== ====== Samba AD DC - Partage NFSv4 avec authentification Kerberos ======
  
Ligne 58: Ligne 60:
 La configuration des partages se fait au travers du fichier ///​etc/​exports//​ La configuration des partages se fait au travers du fichier ///​etc/​exports//​
 <file - /​etc/​exports>​ <file - /​etc/​exports>​
-/​export ​               192.0.2.0/​24(rw,​sync,​fsid=0,​no_subtree_check,​crossmnt,​sec=krb5)+/​export ​               192.0.2.0/​24(ro,​sync,​fsid=0,​no_subtree_check,​crossmnt,​sec=krb5)
 /​export/​home/​example ​  ​192.0.2.0/​24(rw,​sync,​no_subtree_check,​sec=krb5) /​export/​home/​example ​  ​192.0.2.0/​24(rw,​sync,​no_subtree_check,​sec=krb5)
 </​file>​ </​file>​
  
-La première ligne avec l'​option **//​fsid=0//​** (ou fsid=root) définit la racine virtuelle du système de fichiers partagés. ​Ainsi, tous les fichiers et répertoires sous ///export// sont accessibles par le partage NFS.+La première ligne avec l'​option **//​fsid=0//​** (ou fsid=root) définit la racine virtuelle du système de fichiers partagés. ​Il n'y a aucune nécessité de donner des droits d'​écriture sur cette racine. Tous les fichiers et répertoires sous ///export// sont accessibles par le partage NFS.
  
 L'​option **//​sec=krb5//​** définit le niveau de sécurité exigé. Il en existe 3: L'​option **//​sec=krb5//​** définit le niveau de sécurité exigé. Il en existe 3:
Ligne 130: Ligne 132:
 NEED_GSSD="​yes"​ NEED_GSSD="​yes"​
 </​file>​ </​file>​
-A la lecture du script Upstart du démon //​rpc.gssd//,​ on constate que ce démon va charger plusieurs modules dont //​rpcsec_gss_krb5//​ et que si le fichier ///​etc/​fstab//​ contient une ligne avec une option du type //​sec=krb5//,​ le démon sera automatiquement démarré. ​+A la lecture du script Upstart du démon //​rpc.gssd//,​ on constate que ce démon va charger plusieurs modules dont //​rpcsec_gss_krb5//​ et que si le fichier ///​etc/​fstab//​ contient une ligne avec une option du type //​sec=krb5//,​ le démon sera automatiquement démarré.
  
 Afin de faciliter le dépannage en cas de problème avec ce démon, il est possible d'​activer son mode "​très,​ très bavard"​ avec l'​option "​-vvv"​. Afin de faciliter le dépannage en cas de problème avec ce démon, il est possible d'​activer son mode "​très,​ très bavard"​ avec l'​option "​-vvv"​.
Ligne 147: Ligne 149:
 Zone 2.0.192.in-addr.arpa created successfully Zone 2.0.192.in-addr.arpa created successfully
  
-samba-tool add ubndc01 2.0.192.in-addr.arpa 12 PTR ubnfs01.example.com+samba-tool ​dns add ubndc01 2.0.192.in-addr.arpa 12 PTR ubnfs01.example.com
 Record added successfully</​code>​ Record added successfully</​code>​
 La commande //​samba-tool//​ utilise le ticket kerberos de l'​utilisateur pour réaliser ces opérations. Si l'​utilisateur n'a pas de ticket Kerberos, il peut utiliser l'​option //-U Administrator//​. La commande //​samba-tool//​ utilise le ticket kerberos de l'​utilisateur pour réaliser ces opérations. Si l'​utilisateur n'a pas de ticket Kerberos, il peut utiliser l'​option //-U Administrator//​.
Ligne 160: Ligne 162:
 </​code>​ </​code>​
 === Absence d'​identité === === Absence d'​identité ===
-Le démon //​rpc.gssd//​ va chercher une identité dans le fichier ///​etc/​krb5.keytab//​ pour s'​authentifier vis-à-vis du serveur Kerberos. Il essaie premièrement l'UPN de l'​ordinateur <​FQDN$>​@<​REALM>​ et ensuite les SPN root/<​fqdn>​@<​REALM>,​ nfs/<​fqdn>​@<​REALM>​ et host/<​fqdn>​@<​REALM>​. ​+Le démon //​rpc.gssd//​ va chercher une identité dans le fichier ///​etc/​krb5.keytab//​ pour s'​authentifier vis-à-vis du serveur Kerberos. Il essaie premièrement l'UPN de l'​ordinateur <​FQDN$>​@<​REALM>​ et ensuite les SPN root/<​fqdn>​@<​REALM>,​ nfs/<​fqdn>​@<​REALM>​ et host/<​fqdn>​@<​REALM>​.
 <file - /​var/​log/​syslog>​ <file - /​var/​log/​syslog>​
 Oct  7 20:17:08 ubnws01 rpc.gssd[6173]:​ No key table entry found for UBNWS01.EXAMPLE.COM$@EXAMPLE.COM while getting keytab entry for '​UBNWS01.EXAMPLE.COM$@EXAMPLE.COM'​ Oct  7 20:17:08 ubnws01 rpc.gssd[6173]:​ No key table entry found for UBNWS01.EXAMPLE.COM$@EXAMPLE.COM while getting keytab entry for '​UBNWS01.EXAMPLE.COM$@EXAMPLE.COM'​
Ligne 195: Ligne 197:
 Après avoir résolu ces quelques problèmes, il est possible de monter le partage NFS et d'y accèder. Après avoir résolu ces quelques problèmes, il est possible de monter le partage NFS et d'y accèder.
 ==== Automatisation ==== ==== Automatisation ====
-Deux approches sont possibles pour l'​automatisation du montage des partages NFS. +Deux approches sont possibles pour l'​automatisation du montage des partages NFS.
   * Ajouter une ligne dans le fichier ///​etc/​fstab//​   * Ajouter une ligne dans le fichier ///​etc/​fstab//​
   * Utiliser //​[[:​autofs]]//​   * Utiliser //​[[:​autofs]]//​
  • tutoriel/samba_ad_dc_nfs4_kerberized.txt
  • Dernière modification: Le 11/09/2022, 12:25
  • par moths-art