Instalacja do montowania katalogu domowego Kerberized NFS - gssd nie odnajduje prawidłowego biletu Kerberos


17

Nasze katalogi domowe są eksportowane przez Kerberized NFS, więc użytkownik potrzebuje ważnego biletu Kerberos, aby móc zamontować swój dom. Ta konfiguracja działa dobrze z naszymi istniejącymi klientami i serwerem.

Teraz chcemy dodać klienta 11.10 i tym samym skonfigurować ldap & kerberos wraz z pam_mount. Uwierzytelnianie LDAP działa, a użytkownicy mogą zalogować się przez ssh, jednak ich domów nie można zamontować.

Gdy pam_mount jest skonfigurowany do montowania jako root, gssd nie znajduje prawidłowego biletu Kerberos i montowanie kończy się niepowodzeniem.

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall

Kiedy pam_mount jest z kolei skonfigurowane z opcją noroot = 1, wówczas nie może w ogóle zamontować woluminu.

Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as phy65678@PURPLE.PHYSCIP.UNI-STUTTGART.DE
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed

Więc w jaki sposób możemy pozwolić użytkownikom określonej grupy na wykonywanie montowań NFS? Jeśli to nie zadziała, czy możemy sprawić, aby pam_mount używał roota, ale przekazał poprawny identyfikator użytkownika?


Ten sam problem dotyczy montowania udziałów CIFS z-osec=krb5
AdmiralNemo

Rzeczywiście ten problem nie został jeszcze rozwiązany. Czy mam utworzyć kolejne pytanie o tym samym tytule i treści lub co rozumiesz przez „repost”?
jan bernlöhr

Myślałem, że z kerberized nfs, montujesz jako root (za pomocą systemowej klawiatury), ale dostęp do plików odbywa się za pomocą biletu każdego użytkownika.
Jayen

usunięte comment- zapytanie będzie monitorować
Ringtail

Czy montujesz /home /home/userczy /home/user/mountpoint? Pierwszy, jak sądzę, należy wykonać przed zalogowaniem. Drugi, co próbowałem zrobić z sshfs, ale ciągle się nie udawało przy logowaniu do GDM i lightdm i nie sądzę, żeby to była wina sshfs. Trzeci powinien działać, wystarczy dodać użytkownika do grupy, która może wykonywać montowania nfs. Daj mi znać, jeśli dostaniesz drugi. Byłbym zainteresowany
d_inevitable

Odpowiedzi:


2

Zobacz ten wątek:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=190267

Jeśli w fstab nie ma opcji „użytkownik”, tylko root może montować woluminy. W mount.c znajduje się komentarz na temat wykonywania polecenia mount przez dowolnego użytkownika, ale został on odrzucony przez opiekuna (komentarz mówi coś o implikacjach bezpieczeństwa, ale nie jest bardziej szczegółowy).

W przeciwieństwie do oryginalnego upstream, wersja libpam-mount Debiana wykonuje polecenia montowania z identyfikatorem użytkownika , a nie jako root. Wykonywanie montowań określonych przez użytkownika jako root jest luką w zabezpieczeniach. Każdy użytkownik może wtedy podłączyć wolumin do / usr lub / tmp podczas logowania lub podłączyć inny wolumin podczas wylogowywania.

Innymi słowy, libpam-mount może robić tylko to, co użytkownik może zrobić, nic więcej.

Jakieś sugestie?

Umieszczenie wpisu użytkownika w fstab powinno to zrobić. Powiedz mi, jak to działa. Zauważ, że inne systemy plików (ncp, smb) mają pliki binarne montowane przez użytkownika, takie jak smbmount lub ncpmount. Wydaje się, że nie ma nic takiego w przypadku montowania pętli zwrotnej: /

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.