使用Kerberos和AD挂载NFS3

我有一个Linux服务器（Centos 5.6），该服务器需要使用Kerberos从Windows（Server 2008）NFS共享中自动挂载主目录。如果关闭了身份验证，则将挂载共享（使用nobody用户和组）。但是，如果该-o sec=krb5标志通过，则得到mount.nfs: permission denied。

作为root，我曾经kinit获得一张票，并klist告诉我这是有效的票。谷歌搜索错误并没有多大作用，因为这似乎有点笼统。在我查看的任何日志中都找不到有用的东西。根访问权限设置为Windows共享上允许的。

由于与Windows共享，许多更改服务器设置的资源并不直接适用。

有什么想法可以使它起作用吗？

令我着迷的-似乎是您遇到的问题-根目录不使用...从kinit中得到的任何东西。

它使用/etc/krb5.keytab，您可以使用列出klist -kt。根据您所使用的OS版本，它要么需要HOST服务主体，要么对于较旧的版本需要nfs服务主体。

net ads join和net ads keytab create将要做的第一部分-创建主机密钥表。对于RHEL 5，我非常确定您需要在客户端上创建nfs服务主体，以允许其访问NFS资源。我认为Centos 5.6也是一样，但是我不确定100％。我无法从头到尾给您说明-我会看看是否可以找到更多详细信息。（我已经做到了，并且在RHEL上肯定可以用这种方式工作，但是很久以前，如果我引用了这些说明，那我就错了）。

您可以通过启动来进行故障排除 rpc.gssd -f -vvv

好的，经过一番研究，我发现本文解释了如何使用Solaris客户端实现所需的功能。通过查看其他文档的客户端部分，也许您可以使整个工作正常进行...

显然，从我看来，使Linux下的NFS3针对kerberos进行身份验证应该是可能的，这与我的想法相反。但是，信息极为匮乏。

在最坏的情况下，是什么使您无法使用CIFS挂载？之后，它得到了很好的支持，并且文档丰富。