Jag har satt upp en Active Directory-domän med Samba4 som DC. För att få NFS med Kerberos att fungera som det ska i AlmaLinux måste man lägga till följande i /etc/sysconfig/nfs

SECURE_NFS=yes

Det är även nödvändigt att utföra följande manövrar för varje server:

Code:

$ samba-tool user create nfs-files --random-password
$ samba-tool spn add nfs/files.local.example nfs-files

If you have some expiration policies enabled, you might also need

Code:

$ samba-tool user setexpiry nfs-files --noexpiry

A dedicated ”service account” as shown here isn’t strictly necessary, but best practice.

Then, export keys for your new SPN with

Code:

$ samba-tool domain exportkeytab nfs.keytab --principal=nfs/files.local.example

Transfer the nfs.keytab file to your new file server jail and add it to /etc/krb5.keytab there:

Code:

$ ktutil copy nfs.keytab /etc/krb5.keytab

Det första blocket behöver bara utföras en gång på din domän-kontrollant.

EDIT: Allt det ovanstående behövs inte. Vad som behövs är att gå med i domänen med adcli join domain.name och sedan msktutil -s nfs/server och msktutil -s nfs/server.domain.name och därefter gå med i domänen en gång till med adcli join -v domain.name.