ตั้งค่าสำหรับการติดตั้งโฮมไดเร็กทอรี kerberized nfs - gssd ไม่พบตั๋ว kerberos ที่ถูกต้อง


17

โฮมไดเรกทอรีของเราจะถูกส่งออกผ่าน kerberized nfs ดังนั้นผู้ใช้ต้องการตั๋ว kerberos ที่ถูกต้องเพื่อให้สามารถติดตั้งที่บ้านได้ การตั้งค่านี้ทำงานได้ดีกับลูกค้าและเซิร์ฟเวอร์ของเรา

ตอนนี้เราต้องการเพิ่มลูกค้า 11.10 รายดังนั้นจึงตั้งค่า ldap & kerberos พร้อมกับ pam_mount การพิสูจน์ตัวตน ldap ทำงานได้และผู้ใช้สามารถล็อกอินผ่าน ssh อย่างไรก็ตามไม่สามารถเมาต์โฮมของตนเอง

เมื่อ pam_mount ถูกกำหนดค่าให้เมานต์เป็นรูท gssd ไม่พบตั๋ว kerberos ที่ถูกต้องและการเมาต์ล้มเหลว

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall

เมื่อ pam_mount อยู่บนมืออื่น ๆ ที่กำหนดค่าด้วยตัวเลือก noroot = 1 ก็จะไม่สามารถเมานไดรฟ์ได้เลย

Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as phy65678@PURPLE.PHYSCIP.UNI-STUTTGART.DE
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed

ดังนั้นเราจะอนุญาตให้ผู้ใช้ของกลุ่มใดกลุ่มหนึ่งทำการเมาท์ nfs ได้อย่างไร? หากสิ่งนี้ใช้ไม่ได้เราสามารถทำให้ pam_mount ใช้รูท แต่ส่ง uid ที่ถูกต้องได้หรือไม่?


ปัญหาเดียวกันนี้นำไปใช้กับการติดตั้ง CIFS ร่วมกับ-osec=krb5
AdmiralNemo

แท้จริงแล้วปัญหานี้ยังไม่ได้รับการแก้ไข ฉันจะสร้างคำถามอื่นด้วยชื่อและเนื้อหาเดียวกันหรือ "repost" คุณหมายถึงอะไร
jan bernlöhr

ฉันคิดว่าด้วย kerberized nfs คุณเมานต์เป็น root (ด้วยปุ่มกดระบบ) แต่การเข้าถึงไฟล์ทำได้ด้วยตั๋วของผู้ใช้แต่ละคน
Jayen

ลบความคิดเห็นแบบสอบถาม
Ringtail

คุณกำลังติดตั้ง/home /home/userหรือ/home/user/mountpoint? คนแรกที่ฉันคิดว่าต้องทำก่อนที่จะเข้าสู่ระบบ ครั้งที่สองที่ฉันพยายามทำกับ sshfs แต่มันล้มเหลวในการเข้าสู่ระบบ GDM และ lightdm และฉันไม่คิดว่ามันเป็นความผิดของ sshfs ที่สามควรทำงานคุณเพียงแค่ต้องเพิ่มผู้ใช้ในกลุ่มที่ได้รับอนุญาตให้ทำการเมาท์ nfs โปรดแจ้งให้เราทราบหากคุณทำให้คนที่สองทำงาน ฉันจะสนใจ
d_inevitable

คำตอบ:


2

ดูกระทู้นี้:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=190267

หากไม่มีตัวเลือก "ผู้ใช้" ใน fstab เฉพาะ root เท่านั้นที่สามารถเมานต์ไดรฟ์ มีความคิดเห็นบางส่วนใน mount.c เกี่ยวกับการทำให้คำสั่ง mount ที่สามารถเรียกใช้งานได้โดยผู้ใช้ แต่มีการปฏิเสธโดยผู้ดูแล (ความคิดเห็นพูดถึงบางสิ่งเกี่ยวกับผลกระทบด้านความปลอดภัย

ในทางตรงกันข้ามกับต้นฉบับต้นน้ำเวอร์ชัน Debian ของ libpam-mount จะเรียกใช้คำสั่ง mount กับผู้ใช้ uid ไม่ใช่ root การเมานต์ที่ผู้ใช้ระบุเป็นรูทเป็นช่องโหว่ด้านความปลอดภัย จากนั้นผู้ใช้ทุกคนสามารถเมานไดรฟ์เพื่อ / usr หรือ / tmp เมื่อเข้าสู่ระบบหรือขยายไดรฟ์ข้อมูลอื่น ๆ เมื่อออกจากระบบ

หรือในคำอื่น ๆ libpam-mount สามารถทำสิ่งต่าง ๆ ที่ผู้ใช้สามารถทำได้ไม่มีอะไรเพิ่มเติม

ดังนั้นคำแนะนำใด ๆ

การใส่รายการผู้ใช้ใน fstab ควรทำ โปรดบอกฉันว่ามันทำงานอย่างไร โปรดทราบว่าระบบไฟล์อื่น ๆ (ncp, smb) มีไบนารีที่ผู้ใช้เรียกได้เช่น smbmount หรือ ncpmount ดูเหมือนไม่มีอะไรเช่นนี้สำหรับการติดตั้งลูปแบ็ค: /

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.