Installazione per il montaggio della home directory kerberizzata di nfs - gssd non trova un ticket kerberos valido

17

Le nostre directory home vengono esportate tramite nfs kerberizzato, quindi l'utente ha bisogno di un ticket kerberos valido per poter montare la propria casa. Questa configurazione funziona bene con i nostri clienti esistenti e amp; server.

Ora vogliamo aggiungere un client 11.10 e quindi configurare ldap & amp; kerberos insieme a pam_mount. L'autenticazione ldap funziona e gli utenti possono accedere tramite ssh, tuttavia le loro case non possono essere montate.

Quando pam_mount è configurato per il mount come root, gssd non trova un ticket kerberos valido e il mount fallisce.

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall

Quando pam_mount è d'altra parte configurato con l'opzione noroot = 1, quindi non può montare il volume affatto.

Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as [email protected]
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed

Quindi, come possiamo consentire agli utenti di un gruppo specifico di eseguire mount nfs? Se questo non funziona, possiamo fare in modo che pam_mount usi root ma passi l'uid corretto?

    
posta jan bernlöhr 22.11.2011 - 17:39

1 risposta

2

Vedi questo thread:

link

  

Se non ci sono opzioni "utente" in fstab, solo root può montare i volumi.   C'è un commento in mount.c su come rendere eseguibile il comando mount   da qualsiasi utente, ma che è stato respinto dal manutentore (il commento dice   qualcosa sulle implicazioni per la sicurezza, ma non è più specifico).

     

In contrasto con l'originale upstream, la versione Debian di libpam-mount   esegue i comandi di mount con l'utente utente , non come root. fare   i supporti specificati dall'utente come root rappresentano un buco di sicurezza.   Ogni utente quindi può montare un volume su / usr o / tmp all'accesso, o   smontare qualsiasi altro volume al logout.

     

O in altre parole libpam-mount può fare solo cose che l'utente può fare,   niente di più.

     
    

Quindi, qualche suggerimento?

  
     

Inserire una voce utente in fstab dovrebbe farlo. Per favore dimmi come questo   lavori.   Si noti che altri file system (ncp, smb) hanno binari di mount richiamabili dall'utente   come smbmount o ncpmount. Non sembra nulla di simile per il loopback   monta: /

    
risposta data Aleksander Adamowski 11.07.2012 - 16:57

Leggi altre domande sui tag