"mount.nfs: access denied by server while mounting" エラーでマウントに失敗する

Diagnostic Steps

• NFS サーバーは ping 可能であり、ポート 2049 および 111 で telnet を十個できる必要があります。

• showmount -e <nfs server ip> コマンドを実行するとシステムが停止するかどうかを確認します。

• showmount -e <nfs_server_ip> を実行すると、利用可能な共有がない (空白) という結果が返されますか?

  # showmount -e 1 <nfs-server-ip>
  Export list for <nfs-server-ip>
  

• 理想的には、適切にエクスポートされていれば、以下のように共有とともに表示されるはずです。

  # showmount -e <nfs-server-ip>
  Export list for <nfs-server-ip>
  /home   ***.***.***.0/24
  /export-1  ***.***.***.0/24
  /export2   ***.***.***.0/24
  

• 共有が適切にエクスポートされているかどうかを確認するには、NFS サーバーの /var/lib/nfs/etab を確認します。

• rpcinfo -p <nfs_server_ip> コマンドは、登録されているすべての RPC プログラムのリストを表示します。必要なサービスに使用されているバージョン (v3、v4 など) があることを確認します。

  # rpcinfo -p <nfs_server_ip>
  program vers proto   port  service
  100000    2   udp    111  portmapper
  100000    2   tcp    111  portmapper
  100000    3   udp    111  portmapper
  100000    3   tcp    111  portmapper
  100000    4   udp    111  portmapper
  100000    4   tcp    111  portmapper
  100003    3   udp   2049  nfs
  100003    3   tcp   2049  nfs
  100005    1   udp    635  mountd
  100005    2   udp    635  mountd
  100005    3   udp    635  mountd
  100005    1   tcp    635  mountd
  100005    2   tcp    635  mountd
  100005    3   tcp    635  mountd
  100021    4   udp   4045  nlockmgr
  100021    4   tcp   4045  nlockmgr
  100024    1   udp   4046  status
  100024    1   tcp   4046  status
  

• パケットキャプチャー分析:

  # tshark -tad -n -r client.pcap -Y 'frame.number == 500' -O rpc | sed '/^Re/,$ !d'
  Remote Procedure Call, Type:Reply XID:0x3f510e1b
      Fragment header: Last fragment, 20 bytes
          1... .... .... .... .... .... .... .... = Last Fragment: Yes
          .000 0000 0000 0000 0000 0000 0001 0100 = Fragment Length: 20
      XID: 0x3f510e1b (1062276635)
      Message Type: Reply (1)
      [Program: NFS (100003)]
      [Program Version: 4]
      [Procedure: COMPOUND (1)]
      Reply State: denied (1)
      [This is a reply to a request in frame 498]
      [Time from request: 0.000611000 seconds]
      Reject State: AUTH_ERROR (1)                            <===== Error
      Auth State: bad credential (seal broken) (1)
  

  • nfs-server は NFS クライアントを認証できません。

• さらなるパケットキャプチャー分析:

  # tshark -tad -nr client.pcap -Y nfs.status!=0
  20 2018-12-18 13:46:46.377409  *.*.*.* → *.*.*.*  NFS 144 V4 Reply (Call In 12) PUTROOTFH | GETATTR Status: 
  NFS4ERR_PERM 
  

  • NFS4ERR_PERM エラーは、要求者が所有者ではないことを示します。呼び出し元が特権ユーザー (root) でも操作のターゲットの所有者でもないため、操作は許可されませんでした。