Azure Files (identity based auth) mounten

Sol3Sol3

Registriert
Thread Starter
Dabei seit
09.02.2022
Beiträge
3
Reaktionspunkte
0
Hallo zusammen,

ich habe Azure Active Directory Domain Services (Cloud only) und einen Storage Account (Azure Files) der auf Active Directory konfiguriert ist.
Also Authentifikation über das Azure Active Directory.

Laut Microsoft funktioniert das so nicht auf einem Mac und man soll die Azure Files Freigabe mit dem Storage Key mounten.
Das sagt Microsoft aber auch für Linux, doch da gehts wunderbar :)

Mich läßt das Thema nicht los und ich will wissen, wo das Problem ist, komme aber nicht weiter.

Die Authentifikation bei Azure Files muß per Kerberos gemacht werden.
Mac ist in der AD und ich kann mich auch auf dem Mac mit dem "mobilen Account" eines Azure AD Benutzers anmelden.
klist zeigt mir dementsprechend auch ein gültiges Ticket für den Benutzer an.
Mit kgetcred cifs/<storageaccountname>.file.core.windows.net@<Domain> bekomme ich auch ein Ticket.

mount_smbfs //<storageaccountname>.file.core.windows.net/share ./mymnt
fragt aber nach Paßwort.

Nach sichten der Debug-Logs komme ich zu dem Ergebnis, das "mount_smbfs" den opendirectory Dienst nach Domaincontrollern
für <storageaccountname>.file.core.windows.net befragt und halt keine bekommt: mount_smbfs: (SMBClient) smb_resolve_domain: smb_dc_lookup failed

Kann ich irgendwo fest eintragen, welcher Domaincontroller für <storageaccountname>.file.core.windows.net zuständig ist,
oder das <storageaccountname>.file.core.windows.net halt zur Domäne <Domain> gehört?

Auf der anderen Seite frage ich mich, woher Windows und Linux das scheinbar wissen :)


Hat jemand eine Idee?

LG
Sol3
 
Hab mir das gerade nochmal auf einem Debiansystem angeguckt....
Frisch installiertes Debian (noch nichtmal in die Domain gejoint)
krb5-user installiert
default realm eingegeben
kinit <user>
mount.smb3 //<storageaccountname>.file.core.windows.net/share ./mymnt -o user=<user>,sec=krb5
fertig, läuft :)

Der Mac müsste doch einfach nur "merken":
Ich bin in einer Domain, Kerberos läuft, ich hab ein Ticket für den aktuellen User.
Ich guck mal ob ich ein Ticket für das Service Principal cifs/<server> bei meinem DC bekomme.
Oh, ich hab Eines bekommen, dann benutze ich das mal beim mount ;)

Ich verstehe es nicht :(
 
Könnte es möglicherweise sein, dass eine (lokale) Firewall da notwendige Ports blocked?
bspw. TCP Port 445 für SMB bzw. UDP 137,138, sowie TCP 137, 139 für netbios Nameresolution ?
 
Könnte es möglicherweise sein, dass eine (lokale) Firewall da notwendige Ports blocked?
bspw. TCP Port 445 für SMB bzw. UDP 137,138, sowie TCP 137, 139 für netbios Nameresolution ?
Hallo jvoss,

nein, da wird nichts geblockt, ich kann die Share ja mit Key mounten.
Es ist nur die Kerberos-Authentifikation die nicht geht.

Azure Files ist übrigens ausschließlich TCP 445.
 
Zurück
Oben Unten