ubuntuusers.de

Raptor 2101 schrieb:

Hallo Community

ich hab vor kurzen mal ein Kerberos-Server aufgesetzt und NFS,FreeRadius,OpenVPN,uswdaran angebunden. Leider haben mir ein Paar Wikieinträge dazu hier gefehlt. Habe mal angefangen diese nach Zupflegen.

NFS mit Kerberos sichern - Erläutert wie man NFS mit Kerberos sichert.

• Wer einen performanten Raid oder SSD und Gigabit-Ethernet hat (und zu viel Zeit) kann mal unter 11.04 oder 11.10 die Performance Testen und im Artikel aktualisieren, da unter 10.04 noch der Veraltete DES-Algoritmus zum Einsatz kommt.

• Wer gut in Rechtschreibung ist, bitte Typo prüfen.

mit freundlichen Gruß Raptor 2101

In dem diesem Wiki-Betrag: https://wiki.ubuntuusers.de/Archiv/Kerberos/NFS_mit_Kerberos_sichern/ wurde erwähnt, dass man für jeden Client ein Principal anlegen müsste. Warum sollte man das machen, wenn man doch User authentifizieren will. Soweit ich weis, kann Keberos entweder Host oder User authentifizieren, aber keine Kombination, da nur ein TGT pro Credential-Cache möglich ist. Wozu benötigt man dann die Host Principals? Das macht so wie ich das verstehe nur Sinn, wenn ich einen Computer und keinen bestimmten User Zugriff auf den NFS Server gewähren will. Eigentlich sollten die Server-Principals ausreichen, da sich lediglich User und Server gegenseitig authentifizieren müssen.

Im Artikel wird auch erwähnt, dass ein Client ein principal benötigt, um gegenüber dem NFS-Server authentifiziert zu werden:

Wird Kerberos zur Authentifizierung eingesetzt, müssen folgende Bedingungen erfüllt sein, dass eine NFS-Operation ausgeführt werden kann:

Der NFS-Server muss gegenüber Kerberos authentifiziert sein (nicht benutzerbezogen). Ein Client muss gegenüber dem Kerberos Server authentifiziert sein (nicht benutzerbezogen). Der Benutzer, der am Client angemeldet ist, muss gegenüber Kerberos authentifiziert sein. Zu diesem Zweck werden auf dem NFS-Server als auch auf dem Client Kerberos-Keys hinterlegt, die beglaubigen, dass der Rechner für eine Aufgabe freigeschaltet ist (ähnlich dem Konzept einer CA). So kann sowohl der Client als auch der Server zu seinen Partnern vertrauenswürdig identifiziert werden.

Hier tritt ein klassisches missverständnis auf. "Die Beglaubigen, dass ein Rechner für eine Aufgabe freigeschaltet ist". Um sowas kümmert sich Kerberos nicht. Es dient der Authentifizierung, nicht der Authorisierung.

Hallo,

@Sebi2020: Der Artikel ist archiviert, seit dem 10.12.2015. Damit ist der Ist-Stand von damals "eingefroren" - egal, wie richtig oder falsch der Artikel aus heutiger Sicht ist. Steht ja auch in der 1. Box im Artikel. Und an archivierten Artikel wird grundsätzlich nichts mehr editiert.

Was du natürlich machen könntest wäre, den Artikel zu überarbeiten und für eine aktuell unterstützte Ubuntu-Version zu testen. Bei Interesse bitte dann hier kurz posten.

Gruß, noisefloor

raptor2101 schrieb:

ich würde als mindestens bei https://wiki.ubuntuusers.de/Kerberos/NFS_mit_Kerberos_sichern die letzte passage anpassen

Dann bitte nächstes Mal das in der zugehörigen Artikeldiskussion (also hier) posten. Sieht für mich erstmal ok aus, allerdings frage ich mich, warum du da so viele Optionen (inkl. soft) gesetzt hast? Ist IMHO nicht empfehlenswert.

Gruß BillMaier

BillMaier schrieb:

raptor2101 schrieb:

ich würde als mindestens bei https://wiki.ubuntuusers.de/Kerberos/NFS_mit_Kerberos_sichern die letzte passage anpassen

Dann bitte nächstes Mal das in der zugehörigen Artikeldiskussion (also hier) posten.

Da sich das erst im nachgang ergeben hat ...

Sieht für mich erstmal ok aus, allerdings frage ich mich, warum du da so viele Optionen (inkl. soft) gesetzt hast? Ist IMHO nicht empfehlenswert.

Wollen wir die optionen durchgehen? Waren damals (und sind heute noch) meine bevorzugten Optionen (wobei secure wohl mittlerweile im default ist..)

Hallo,

meines Wissens ist Kerberos nur ab NFSv4 möglich - siehe auch die Beispiele in diesem Artikel. IMHO sollte man das noch in der Einleitung erwähnen.

raptor2101 schrieb:

Wollen wir die optionen durchgehen? Waren damals (und sind heute noch) meine bevorzugten Optionen (wobei secure wohl mittlerweile im default ist..)

Wenn du das nach gut 1,5 Jahre noch machen willst: Gerne.

Gruß BillMaier

BillMaier schrieb:

Hallo,

meines Wissens ist Kerberos nur ab NFSv4 möglich - siehe auch die Beispiele in diesem Artikel. IMHO sollte man das noch in der Einleitung erwähnen.

Spielt das im Jahr 2020 noch eine Rolle? Deployed heute noch irgendwer NFSv3 der nicht genau weiß was er macht?

BillMaier schrieb:

Wenn du das nach gut 1,5 Jahre noch machen willst: Gerne.

Gruß BillMaier

von mir aus gerne

raptor2101 schrieb:

Deployed heute noch irgendwer NFSv3 der nicht genau weiß was er macht?

Gerade die:

• https://forum.ubuntuusers.de/topic/nfs-teilweise-nicht-lesbar/

• https://forum.ubuntuusers.de/topic/nfsv4-dateien-groesser-1gb-koennen-nicht-kopie/

Gut, das ist kein Kerberos. Aber mir scheint, die Unterschiede von NFSv3 und NFSv4 sind - zumindest hier bei ubuntuusers noch nicht angekommen. Das mache ich fest

1. an den Einträgen im Forum

2. am wenigen Feedback (auch kritischer Weise) zum Artikel NFSv4 . Der ist weitgehend so, wie ich ihn damals geschrieben habe. NFS ist sicher auch nicht mehr brandaktuell.

Melde mich nochmal wegen der Optionen.

Gruß BillMaier

async,soft

sind aus meiner Sicht eher unsichere Parameter - v.a. in Bezug auf Datenverlust. Bin nicht sicher, ob man das in einem Wiki-Artikel so haben will.

@raptor2101 was ist der Grund für dich für diese Optionen?

Gruß BillMaier