PowerScale OneFS：FQDNを使用してNFSv4をマウントできず、「操作は許可されていません」というエラーが表示されます

Kerberosで認証され、有効なGSSチケットを所有しているNFSクライアントが、エイリアスを使用してエクスポートをマウントしようとしますが、障害が発生します。

# mount -t nfs4 fullyqualifieddomain:/aliases01  /mnt/test -vvvv
mount.nfs4: timeout set for Wed Apr 10 12:14:37 2024
mount.nfs4: trying text-based options 'vers=4.2,addr=x.x.x.x,clientaddr=x.x.x.x'
mount.nfs4: mount(2): Operation not permitted
mount.nfs4: trying text-based options 'vers=4,minorversion=1,addr=x.x.x.x,clientaddr=x.x.x.x'
mount.nfs4: mount(2): Operation not permitted
mount.nfs4: trying text-based options 'vers=4,addr=x.x.x.x,clientaddr=x.x.x.x'
mount.nfs4: mount(2): Operation not permitted
mount.nfs4: Operation not permitted

パケット キャプチャでは、SECINFOコールに対してOneFSが値なしで応答します。

Network File System
    [Program Version: 4]
    [V4 Procedure: COMPOUND (1)]
    GSS Data, Ops(2): PUTFH SECINFO
        Length: 36
        GSS Sequence Number: 3
        Status: NFS4_OK (0)
        Tag: <EMPTY>
            length: 0
            contents: <EMPTY>
        Operations (count: 2)
            Opcode: PUTFH (22)
                Status: NFS4_OK (0)
            Opcode: SECINFO (33)
                Status: NFS4_OK (0)
                Flavors Info
                    no values <<<<<<<<<<<<<<<<<<<<<<<<
        [Main Opcode: SECINFO (33)]

通常、SECINFO は、マウント時に有効な FH (ファイル・ハンドル) アクセスに対して選択可能なフレーバー値を提供します。

   The new SECINFO operation allows the client to determine, on a
   per filehandle basis, what security triple is to be used for server
   access.

ただし、コードの欠陥により、クライアントは ROOTFH との予備的なコンパウンドを介して実際のターゲットを取得できません。その結果、OneFSはフレーバーなしで応答し、セッションは破棄されます。

コード修正作業中の回避策:

1. マウント時にRPC認証フレーバーを指定します。例:sec=sys
2. エイリアスではなくフル マウント パスを使用

このKB
で使用される頭字語:NFS - Network File System

Generic Security Service(GSS):ネットワーク環境でセキュリティ サービスを提供するためのフレームワーク。これには、認証、整合性、機密性サービスが含まれます。

リモート プロシージャ コール(RPC)は、分散コンピューティングで使用される通信プロトコルです。