Kerberized nfs ana dizini montaj kurulumu - gssd geçerli kerberos bileti bulamıyor


17

Ev dizinlerimiz kerberized nfs aracılığıyla dışa aktarılır, bu nedenle kullanıcının evini monte edebilmesi için geçerli bir kerberos bileti alması gerekir. Bu kurulum, mevcut istemcilerimiz ve sunucumuzla iyi çalışır.

Şimdi bazı 11.10 müşteri eklemek ve böylece pam_mount ile birlikte ldap & kerberos kurmak istiyoruz. Ldap kimlik doğrulaması çalışır ve kullanıcılar ssh üzerinden oturum açabilir, ancak evleri monte edilemez.

Pam_mount kök olarak bağlanmak üzere yapılandırıldığında, gssd geçerli bir kerberos bileti bulamaz ve bağlama başarısız olur.

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall

Diğer taraftan pam_mount noroot = 1 seçeneğiyle yapılandırıldığında, birimi hiç bağlayamaz.

Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as phy65678@PURPLE.PHYSCIP.UNI-STUTTGART.DE
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed

Peki, belirli bir grubun kullanıcılarının nfs mount'ları yapmasına nasıl izin verebiliriz? Bu işe yaramazsa, pam_mount root'u kullanabilir, ancak doğru uid'i geçirebilir miyiz?


Aynı sorun CIFS paylaşımlarının montajı için de geçerlidir-osec=krb5
AdmiralNemo

Gerçekten de, bu problem henüz çözülmedi. Aynı başlık ve içerikle başka bir soru oluşturacak mıyım yoksa "yeniden gönder" ile ne demek istiyorsun?
jan bernlöhr

Kerberized nfs ile düşündüm, kök (sistem keytab ile) olarak monte, ancak dosya erişimi her kullanıcının bilet ile yapılır.
Jayen

kaldırılan sorgu yorumu - izleyecek
Ringtail

Montaj mı yapıyorsunuz, /home /home/useryoksa /home/user/mountpoint? İlk olarak giriş yapmadan önce yapılması gerektiğini düşünüyorum. İkinci sshfs ile yapmaya çalıştım, ama GDM ve lightdm giriş başarısız olmaya devam etti ve sshfs hata olduğunu sanmıyorum. Üçüncüsü çalışmalıdır, sadece kullanıcıyı nfs bağları yapmasına izin verilen bir gruba eklemeniz gerekir. Eğer ikincisini işe alırsanız lütfen bana bildirin. İlgilenirim.
d_inevitable

Yanıtlar:


2

Bu konuya bakın:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=190267

Fstab içinde "kullanıcı" seçeneği yoksa, yalnızca kök birimleri bağlayabilir. Mount.c dosyasında mount komutunu herhangi bir kullanıcı tarafından yürütülebilir hale getirme konusunda bazı yorumlar vardır, ancak bu, bakımcı tarafından reddedilir (yorum, güvenlik etkileri hakkında bir şey söyler, ancak daha spesifik değildir).

Orijinal yukarı akış yönünün aksine, libpam-mount'un Debian sürümü, root olarak değil kullanıcı uid ile mount komutlarını yürütür . Kullanıcı tanımlı bağları kök olarak yapmak bir güvenlik deliğidir. Herhangi bir kullanıcı daha sonra oturum açmada / usr veya / tmp'ye bir birim bağlayabilir veya oturum kapatıldığında başka bir birimi taklit edebilir.

Başka bir deyişle libpam-mount sadece kullanıcının yapabileceği şeyleri yapabilir, başka bir şey yapamaz.

Peki, herhangi bir öneriniz var mı?

Fstab içine bir kullanıcı girişi koymak giriş yapmalıdır. Lütfen bunun nasıl çalıştığını söyle. Diğer dosya sistemlerinde (ncp, smb) smbmount veya ncpmount gibi kullanıcı tarafından çağrılabilir bağlama ikili dosyaları bulunduğunu unutmayın. Geridöngü bağlar için böyle bir şey yok: /

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.