Setup untuk memasang direktori home nfs yang sudah di-kerberisasi - gssd tidak menemukan tiket kerberos yang valid

17

Direktori rumah kami diekspor melalui nfs yang dikerberikan, sehingga pengguna membutuhkan tiket kerberos yang valid untuk dapat me-mount rumahnya. Penyiapan ini berfungsi dengan baik dengan klien & server kami yang ada.

Sekarang kami ingin menambahkan beberapa klien 11.10 dan dengan demikian mengatur ldap & kerberos bersama dengan pam_mount. Otentikasi ldap berfungsi dan pengguna dapat masuk melalui ssh, namun rumah mereka tidak dapat dipasang.

Ketika pam_mount dikonfigurasi untuk melakukan mount sebagai root, gssd tidak menemukan tiket kerberos yang valid dan mount gagal.

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall

Ketika pam_mount di sisi lain dikonfigurasi dengan opsi noroot = 1, maka itu tidak dapat memasang volume sama sekali.

Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as [email protected]
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed

Jadi bagaimana kita dapat mengizinkan pengguna grup tertentu untuk melakukan nfs mounts? Jika ini tidak berhasil, bisakah kita membuat pam_mount menggunakan root tetapi memberikan uid yang benar?

jan bernlöhr
sumber
Masalah yang sama ini berlaku untuk pemasangan saham CIFS dengan-osec=krb5
AdmiralNemo
Memang, masalah ini belum terpecahkan. Haruskah saya membuat pertanyaan lain dengan judul dan konten yang sama atau apa yang Anda maksud dengan "repost"?
jan bernlöhr
Saya pikir dengan nfs kerberized, Anda me-mount sebagai root (dengan keytab sistem), tetapi akses file dilakukan dengan tiket masing-masing pengguna.
Jayen
komentar permintaan dihapus- akan memantau
Ringtail
Apakah Anda memasang /home /home/useratau /home/user/mountpoint? Yang pertama saya pikir perlu dilakukan sebelum login. Yang kedua saya coba lakukan dengan sshfs, tetapi terus gagal pada GDM dan lightdm login dan saya tidak berpikir itu salah sshfs. Yang ketiga harus bekerja, Anda hanya perlu menambahkan pengguna ke grup yang diizinkan untuk melakukan nfs mounts. Tolong beri tahu saya jika Anda berhasil menghidupkan yang kedua. Saya akan tertarik.
d_inevitable

Jawaban:

2

Lihat utas ini:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=190267

Jika tidak ada opsi "pengguna" di fstab, hanya root yang bisa me-mount volume. Ada beberapa komentar di mount.c tentang membuat perintah mount dapat dieksekusi oleh pengguna mana pun, tetapi itu ditolak oleh pengelola (komentar tersebut mengatakan sesuatu tentang implikasi keamanan, tetapi tidak lebih spesifik).

Berbeda dengan upstream asli, versi libpam-mount Debian mengeksekusi perintah mount dengan pengguna uid, bukan sebagai root. Melakukan mount yang ditentukan pengguna sebagai root adalah lubang keamanan. Setiap pengguna kemudian dapat me-mount volume ke / usr atau / tmp saat login, atau umount volume lainnya saat logout.

Atau dengan kata lain libpam-mount hanya dapat melakukan hal-hal yang dapat dilakukan pengguna, tidak lebih.

Jadi, ada saran?

Menempatkan entri pengguna di fstab harus dilakukan. Tolong beri tahu saya cara kerjanya. Perhatikan bahwa sistem file lain (ncp, smb) memiliki binary mount yang dapat dipanggil pengguna seperti smbmount atau ncpmount. Sepertinya tidak ada yang seperti ini untuk mount loopback: /

Aleksander Adamowski
sumber