Kerberos 是一种网络协议，可在不受信任的网络中对两个或多个主机之间的服务请求进行身份验证。本文将指导您在 Windows 服务器已设置为 Kerberos 服务器的情况下，如何在 Linux 客户端上以 Kerberos 选项挂载 Synology NFS 共享文件夹。

• Windows Server 2016 或以上版本
• Linux 客户端上的 Ubuntu 20.04 或以上版本
• DSM 版本 6.2.4 及以上版本

前提条件

• 请同步 Windows 服务器、Linux 客户端和 Synology NAS 的系统时间和时区。
• 为 Windows 服务器和 Synology NAS 分别分配静态 IP 地址。
• 将 Windows 服务器配置为域控制器。
• 配置两个以 Synology NAS 和 Ubuntu 主机名命名的域用户。
• 在 AD DNS 服务器中为 Synology NAS 配置反向查找区域和 A 记录。
• 为 Synology NAS 和 Ubuntu 生成 keytab 文件。更多信息请参阅本文。

配置完成后，Windows 服务器、Linux 客户端和 Synology NAS 应分别承担以下角色：

设置 Ubuntu NFS 客户端¹

1. 在 Linux 电脑上打开命令控制台。
2. 安装 Kerberos 和 NFS 软件包，并使用以下命令启动服务：
   
   sudo apt-get install krb5-user
sudo apt-get install nfs-common
systemctl start rpc-gssd.service
3. 配置 /etc/krb5.conf：
   
   vim /etc/krb5.conf
4. 用以下内容替换原有内容（将“EXAMPLE.COM”更改为您的 Active Directory 域控制器的域名）：
   
   [libdefaults]
default_realm = EXAMPLE.COM
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
5. 配置 /etc/systemd/resolved.conf：
   
   vim /etc/systemd/resolved.conf
6. 添加以下配置：
   
   [Resolve]
DNS={Windows 服务器的 IP}
Domains=example.com
DNSStubListener=no
   如果您使用的是 Ubuntu 20.04，请运行下方命令。如果您使用的是 Ubuntu 22.04 或更高版本，请跳至下一步。
   
   ln --symbolic --force /run/systemd/resolve/resolv.conf /etc/resolv.conf
7. 使用以下命令重启服务并生成所需文件：
   
   systemctl restart systemd-resolved
8. 将 krb5.keytab 文件放置在 Ubuntu 的 /etc/ 目录下。
9. 检查密钥是否已正确导入：
   
   klist -k /etc/krb5.keytab

在 Synology NAS 上设置 NFS 服务器

适用于 DSM 7.0 及以上版本

适用于 DSM 6.2 及更早版本

在 Ubuntu 上挂载共享文件夹

1. 在 Linux 电脑上打开命令控制台。
2. 运行以下命令挂载共享文件夹：
   
   mount -t nfs -o nfsvers=4,sec=krb5 {server_address}:{/volumeX/shared_folder} {/mount_point}
3. 运行 df 检查共享文件夹是否已挂载：
   
   df -h
   示例：
root@ubuntu:~# df -h
Filesystem Size Used Avail Use% Mounted on
10.17.4.63:/volume1/nfsshare 576G 34G 543G 6% /mnt

• 如何访问通过 NFS 挂载的共享文件夹？
• 如何在本地网络中通过 NFS 访问 Synology NAS 上的文件