Nuestros directorios de inicio se exportan a través de nfs kerberizados, por lo que el usuario necesita un ticket de kerberos válido para poder montar su inicio. Esta configuración funciona bien con nuestros clientes y servidores existentes.
Ahora queremos agregar algunos clientes 11.10 y así configurar ldap y kerberos junto con pam_mount. La autenticación ldap funciona y los usuarios pueden iniciar sesión a través de ssh, sin embargo, sus hogares no se pueden montar.
Cuando pam_mount está configurado para montarse como root, gssd no encuentra un ticket kerberos válido y falla el montaje.
Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall
Cuando pam_mount está configurado con la opción noroot = 1, entonces no puede montar el volumen en absoluto.
Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as [email protected]
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed
Entonces, ¿cómo podemos permitir que los usuarios de un grupo específico realicen montajes nfs? Si esto no funciona, ¿podemos hacer que pam_mount use root pero pase el uid correcto?
-osec=krb5
/home
/home/user
o/home/user/mountpoint
? El primero que creo que debe hacerse antes de iniciar sesión. Lo segundo que intenté hacer con sshfs, pero no funcionaba con GDM y el inicio de sesión lightdm y no creo que fuera culpa de sshfs. El tercero debería funcionar, solo necesita agregar el usuario a un grupo que tiene permitido hacer montajes nfs. Por favor, avíseme si consigue que el segundo funcione. Estaría interesadoRespuestas:
Ver este hilo:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=190267
fuente