Configuración para montar el directorio de inicio nfs kerberizado - gssd no encuentra un ticket kerberos válido

17

Nuestros directorios de inicio se exportan a través de nfs kerberizados, por lo que el usuario necesita un ticket de kerberos válido para poder montar su inicio. Esta configuración funciona bien con nuestros clientes y servidores existentes.

Ahora queremos agregar algunos clientes 11.10 y así configurar ldap y kerberos junto con pam_mount. La autenticación ldap funciona y los usuarios pueden iniciar sesión a través de ssh, sin embargo, sus hogares no se pueden montar.

Cuando pam_mount está configurado para montarse como root, gssd no encuentra un ticket kerberos válido y falla el montaje.

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall

Cuando pam_mount está configurado con la opción noroot = 1, entonces no puede montar el volumen en absoluto.

Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as [email protected]
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed

Entonces, ¿cómo podemos permitir que los usuarios de un grupo específico realicen montajes nfs? Si esto no funciona, ¿podemos hacer que pam_mount use root pero pase el uid correcto?

Jan bernlöhr
fuente
Este mismo problema se aplica a montar con recursos compartidos CIFS-osec=krb5
AdmiralNemo
De hecho, este problema aún no se ha resuelto. ¿Debo crear otra pregunta con el mismo título y contenido o qué quieres decir con "volver a publicar"?
enero bernlöhr
Pensé que con nfs kerberizados, se monta como root (con la pestaña del sistema), pero el acceso a los archivos se realiza con el ticket de cada usuario.
Jayen
comentario de consulta eliminado
Ringtail
¿Estás montando /home /home/usero /home/user/mountpoint? El primero que creo que debe hacerse antes de iniciar sesión. Lo segundo que intenté hacer con sshfs, pero no funcionaba con GDM y el inicio de sesión lightdm y no creo que fuera culpa de sshfs. El tercero debería funcionar, solo necesita agregar el usuario a un grupo que tiene permitido hacer montajes nfs. Por favor, avíseme si consigue que el segundo funcione. Estaría interesado
d_inevitable

Respuestas:

2

Ver este hilo:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=190267

Si no hay una opción de "usuario" en fstab, solo la raíz puede montar volúmenes. Hay algún comentario en mount.c sobre cómo hacer que el comando de montaje sea ejecutable por cualquier usuario, pero fue rechazado por el mantenedor (el comentario dice algo sobre las implicaciones de seguridad, pero no es más específico).

En contraste con el original original, la versión Debian de libpam-mount ejecuta comandos de montaje con el usuario uid, no como root. Hacer montajes especificados por el usuario como root es un agujero de seguridad. Cualquier usuario podría montar un volumen en / usr o / tmp al iniciar sesión, o desmontar cualquier otro volumen al cerrar sesión.

O, en otras palabras, libpam-mount solo puede hacer cosas que el usuario puede hacer, nada más.

Entonces, ¿alguna sugerencia?

Poner una entrada de usuario en fstab debería hacerlo. Por favor dime cómo funciona esto. Tenga en cuenta que otros sistemas de archivos (ncp, smb) tienen binarios de montaje invocables por el usuario como smbmount o ncpmount. Parece que no hay nada como esto para las monturas de bucle invertido: /

Aleksander Adamowski
fuente