Nachdem es ein wenig ruhig geworden ist und wir mehr oder minder wochenlang auf der Stelle getreten sind, hab ich doch wieder ein paar Kleinigkeiten gelernt.
Der Hersteller unseres Massenspeichers ist auch ein wenig ratlos, warum sich deren System nicht mit dem ActiveDirectory unterhalten mag, naheliegender Weise darf sich nun auch Microsoft damit auseinandersetzen.
Gelernt hab ich für mich zumindest dass das ändern der ServicePrincipalName-Einträge die KVNO erhöht, Computerkonten kann ich nebender Klicki-Bunti-Variante, dem dsadd-Kommando nun auch via PowerShell anlegen und wenn das so weiter geht, versuch ich das über die Perl-API.
Ein sehr lustiges Phänomen scheinen Computerkonten-Passwörter zu sein, wenn der Computer einen längeren Namen hat, wird das wohl irgendwie abgeschnitten, was nicht sehr hilfreich ist, wenn man sich darauf verlässt, dass das Passwort nach dem zurücksetzen auf den Namen des Kontos gesetzt wird.
Lustiges Phänomen Nummer zwei: auch Computerkontennamen scheinen einer Beschränkung von 15 Zeichen zu unterliegen, wenn man auf den SAMAccountName angewiesen ist, da ich in der Windowswelt nicht zu Hause bin war mir das nicht bewußt …
Der für mich eigentlich einzige interessante Punkt: NFSv4 mit sec=krb5[ip] funktioniert endlich nachdem ich ein bisschen im AD rumgespielt hab. Und weil ich dazu neige solche wichtigen Dinge zu vergessen (im Gegensatz zu Dingen wie z.B. Namensschildchen ..) schreibe ich das mal auf.
Wie im letzten Beitrag schon mal zu lesen war, ist der Best Practice Ansatz eine Linuxmaschine ins AD zu bekommen dieses Murkszeug mit ktpass-Aufruf und Usermapping, das findet man im Internet haufenweise. In unserem Fall bedeutet Best Practice allerdings, dass es so mal sicher nicht funktionieren wird.
Unser Massenspeichersystem hängt jetzt also auch als 0815 Computerkonto im AD. Was mich etwas überrascht hat, war die Tatsache das sich die GSSAPI wohl doch irgendwie an den ServicePrincipals entlang hangelt, jedenfalls hat es nicht gereicht den userPrincipalName zu setzen damit der NFS-Service das vernünftig ausliest.
Angelegt wird das Computerkonto also einfach mit dsadd computer toller-servername -desc “NFS Server”
Dann werden mit setspn -r toller-servername. Die Host-Service gesetzt, das sollte das AD eigentlich selbst machen, aber unseres ist da wohl nicht ganz Standardkonform, egal …
Da das ganze auch mit einem generischen Namen funkioniert, kann man das auch weglassen. Wichtig sind die ServicePrincipals nfs/hostname und nfs/fqdn und halt der UPN in der Form nfs/fqdn@REALM.
Damit lässt sich auch einfach ein kinit -k -t neue.keytab nfs/fqdn@REALM ausführen welches funktioniert .. im Gegensatz halt zum Best Practice Guide … und die spielen wir dann einfach auf dem Massenspeicher ein und gut ..
Ich möchte kurz festhalten, dass ich manchmal der Meinung bin, dass ich unterbezahlt bin 🙁
PS: ich werde nicht für Textlayout bezahlt, das kann ich offensichtlich nicht
Update: Ein paar lustige Details hab ich noch unterschlagen, es gab einen Firmwarebug, der deutlich negative Performaceauswirkungen hatte, weswegen ich nun auch mit GNUPlot halbwegs gut umgehen kann, sprich ich kann mehrfarbige Graphen basteln. Außerdem war mal für einen Tag die Webseite der Universität weg, weil da ein Raidsystem “abgeraucht” ist, das hat zum Glück unsere Daten auf dem System nicht betroffen…