<div dir="ltr"><div>I need some pointers for getting NFSv4 to use krb5 authorization in my IPA realm. </div><div><br></div><div>My realm is new. I have just migrated some users from an NIS domain to the IPA realm. The numerical UIDs and GIDs do not all match. I set up NFS server and client, and automaps using the recommended methods in the RHEL 7 Storage and Domain Auth/Policy guides. </div><div><br></div><div>In the exports file on the nfsserver, as long as I have sec=krb5p:krb5i:krb5:sys in my options, I can successfully automount. However, when I remove sys, I no longer am able to mount. I have root_squash set.</div><div><br></div><div>Automount hangs when I restart it, while trying to mount the first NFS directory. </div><div><br></div><div>If I try to mount on the command line, I get this:</div><div><div>root$ mount -t nfs4 -o rw,sec=krb5,vers=4.0 arcturus:/ /mnt</div><div>mount.nfs4: access denied by server while mounting arcturus:/</div></div><div><br></div><div>If I take out sec=krb5, it works. It just rolls back to sec=sys (confirmed with mountstats).</div><div>I am not seeing anything related to the mount attempts on the nfsserver logs, but I'm not sure I am looking in the right logs. </div><div><br></div><div>I don't see anything happening in the ipaserver's krb5kdc.log, or httpd error or access logs.</div><div><br></div><div>What am I missing?</div><div><br></div><div>Thanks!</div><div>Joanna</div><div><br></div><div><br></div><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><br><br>Joanna Delaporte<br>Linux Systems Administrator | Parkland College<br><a href="mailto:joannadelaporte@gmail.com" target="_blank">joannadelaporte@gmail.com</a><br></div>
</div>