<div dir="ltr">Which services actually need to be running for Kerberized NFS? On the server and client sides? What needs to be enabled? <div><br></div><div>When I go through the list in the RHEL 7 Domain Auth guide (p 271), I cannot get rpcsvcgssd.service to start. It doesn't give any errors when I send it a start command, but status always shows it as condition failed, and inactive (dead). I also cannot enable it, with the error "No such file or directory." Is this deprecated/replaced with some other service for rpc gss server-side service?<div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jun 30, 2016 at 3:05 PM, Youenn PIOLET <span dir="ltr"><<a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div>First questions (sorry if it's obvious): </div><div>- Do you have a valid token on the client? (obtained with kinit)</div><div>- Did you import the keytab for NFS service on the server?</div><div>- Did you put "domain = yourdomain.tld" in your NFS server config file? On your client?</div><div>- Depending on your (ipa? nfs?) version you may have to enable weak crypto (I saw this everywhere but never had to do it for a reason I still ignore)</div><div><br></div><div>I'm far from being the most informed people on this list, but I think it may be the first things to check.</div><div><br></div><div>Hope this helps,</div><div>Regards</div><div class="gmail_extra"><div><div data-smartmail="gmail_signature"><font face="arial, helvetica, sans-serif"><div><span style="font-family:arial"><font face="arial, helvetica, sans-serif"><div>--</div><div><font color="#666666">Youenn Piolet</font></div><div><font size="1" color="#999999"><a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a></font></div><div style="font-size:large"><span style="font-size:small"><span style="font-family:arial"><div><font face="tahoma, sans-serif"><span style="font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><span style="font-family:tahoma,sans-serif;font-size:small"><font color="#666666"><span style="color:rgb(142,142,142);font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><em><br></em></span></font></span></span></font></div><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span></div></font></span></div></font></div></div>
<br><div class="gmail_quote"><div><div class="h5">2016-06-30 21:47 GMT+02:00 Joanna Delaporte <span dir="ltr"><<a href="mailto:joannadelaporte@gmail.com" target="_blank">joannadelaporte@gmail.com</a>></span>:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr"><div>I need some pointers for getting NFSv4 to use krb5 authorization in my IPA realm. </div><div><br></div><div>My realm is new. I have just migrated some users from an NIS domain to the IPA realm. The numerical UIDs and GIDs do not all match. I set up NFS server and client, and automaps using the recommended methods in the RHEL 7 Storage and Domain Auth/Policy guides. </div><div><br></div><div>In the exports file on the nfsserver, as long as I have sec=krb5p:krb5i:krb5:sys in my options, I can successfully automount. However, when I remove sys, I no longer am able to mount. I have root_squash set.</div><div><br></div><div>Automount hangs when I restart it, while trying to mount the first NFS directory. </div><div><br></div><div>If I try to mount on the command line, I get this:</div><div><div>root$ mount -t nfs4 -o rw,sec=krb5,vers=4.0 arcturus:/ /mnt</div><div>mount.nfs4: access denied by server while mounting arcturus:/</div></div><div><br></div><div>If I take out sec=krb5, it works. It just rolls back to sec=sys (confirmed with mountstats).</div><div>I am not seeing anything related to the mount attempts on the nfsserver logs, but I'm not sure I am looking in the right logs. </div><div><br></div><div>I don't see anything happening in the ipaserver's krb5kdc.log, or httpd error or access logs.</div><div><br></div><div>What am I missing?</div><div><br></div><div>Thanks!</div><span><font color="#888888"><div>Joanna</div><div><br></div><div><br></div><div><br></div>-- <br><div data-smartmail="gmail_signature"><br><br>Joanna Delaporte<br>Linux Systems Administrator | Parkland College<br><a href="mailto:joannadelaporte@gmail.com" target="_blank">joannadelaporte@gmail.com</a><br></div>
</font></span></div>
<br></div></div><span class="HOEnZb"><font color="#888888">--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br></font></span></blockquote></div><br></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><br><br>Joanna Delaporte<br>Linux Systems Administrator | Parkland College<br><a href="mailto:joannadelaporte@gmail.com" target="_blank">joannadelaporte@gmail.com</a><br></div>
</div>