Господа, помогите разобраться!

Активно использую NFSv3 (с авторизацией по IP), но случилось так, что потерял статический IP-адрес. Таким образом стала задача в использовании NFS-сервера без привязки к определенному IP-шнику. Так понял, что в этом случае мне может помочь NFSv4 с авторизацией через Kerberos. Поиски достойной документации на просторах гугл-нета успехом не увенчались. Все какое-то расплывчатое, и узконаправленное... Помогите уж с ответом на пару вопросов, кто знает.

NFS-сервер:
Довольно слабенькая и нагруженная машинка, на которой даже shell еле ворочается. Вариант с LDAP-ом не рассматривал, т.к. особо не представляю кто он есть такой, и хотелось бы поменьше дополнительных сервисов на бедную тачку.
OS: Debian
Сервер должен выступать в роли NFS-сервера, и NFS-клиента другого сервера с другим realm-ом.

Записи в DNS для него соответствуют:
192.168.104.253 w-gate.vnet
87.252.241.126 w-gate.volotova.net
87.252.241.126 krb.volotova.net

w-gate:/etc# hostname --fqdn
w-gate.vnet

Итак, поставил Kerberos. Создрал REALM:
    VOLOTOVA.NET = {
        kdc = krb.volotova.net
        admin_server = krb.volotova.net
    }

Создал principal: nfs/w-gate.volotova.net@VOLOTOVA.NET и извлек к нему ключ в /etc/krb5.keytab

Рестарт NFS-сервера выдал ошибку в лог "do you have a keytab entry for nfs/<your.host>@<YOUR.REALM> in /etc/krb5.keytab". Ладно, Создал principal: nfs/w-gate.vnet@VOLOTOVA.NET и добавил к нему ключ в /etc/krb5.keytab.  Рестарт NFS-сервера прошел успешно.

Так вот вопрос №1: Как сказать NFS-серверу, что бы он использовал определенный принципал (например nfs/w-gate.volotova.net@VOLOTOVA.NET)?

Далее создал 2 принципала: user1@VOLOTOVA.NET и user2@VOLOTOVA.NET. На стороне клиента сделал ktadd к обоим принципалм.
Вопрос №2: Как команде mount сказать с каким принципалом пытаться монтироваться?

PS: Может у кого есть ссылка на здоровую документацию?

• NFSv4 + Kerberos,svn, 17:39 , 26-Янв-10
  • NFSv4 + Kerberos,wampire, 17:47 , 27-Янв-10
    • NFSv4 + Kerberos,начинающий, 08:37 , 28-Янв-10
      • NFSv4 + Kerberos,edo, 21:46 , 22-Авг-11

>Может у кого есть ссылка на здоровую документацию?

http://www.citi.umich.edu/projects/nfsv4/crossrealm/libnfsid...

Ну и вообще на этом ссайте по nfs4 много толкового.

>>Может у кого есть ссылка на здоровую документацию?
>
>http://www.citi.umich.edu/projects/nfsv4/crossrealm/libnfsid...
>
>Ну и вообще на этом ссайте по nfs4 много толкового.

Много-то там много, только вот все какое-то узконаправленное и совсем не для конечного пользователя. Вобщем, ничего там не нашел. :(

>>>Может у кого есть ссылка на здоровую документацию?
>>
>>http://www.citi.umich.edu/projects/nfsv4/crossrealm/libnfsid...
>>
>>Ну и вообще на этом ссайте по nfs4 много толкового.
>
>Много-то там много, только вот все какое-то узконаправленное и совсем не для
>конечного пользователя. Вобщем, ничего там не нашел. :(

Когда около года назад я настраивал kerberos+openldap+nfs4+samba, то вполне хватило манов и докумендтации, сопроводительной к пакетам.
Последовательность примерно такая (без ldap):
1. Насройте керберос на сервере (kdc, kadmin) а также керберос клиенты на nfs сервере и на клиентских машинах.
2. Создайте принципалы для nfs сервера, nfs клиентов (со случайными паролями), а также для каждого юзера, которому нужен доступ к nfs.
Принципал для нфс клиента может выглядеть, напр, так: nfs/mycomp.myorg.ru/MYORG.RU
(все варианты можно посмотреть в мане по rpc.gssd).
3. Создайте ключи к принципалам nfs сервера и nfs клиентов (разместив их в соответствующиее кейтабы на этих машинах).
4. Настройте нфс4 на сервере (exports) и на клиентах (mount). Всё через gssapi.
Вот, собственно, и всё.
От имени рута нфс будет монтироваться, используя ключ из кейтаба, а от имени клиента будет происходить доступ. (супербилет клиент должен получить либо при регистрации через pam, либо просто вызовом kinit).

> Когда около года назад я настраивал kerberos+openldap+nfs4+samba,

извиняюсь за оффтопик, но как заставить работать самбу в связке с kerberos/ldap?