Установка для установки домашней директории kerberized nfs - gssd не находит действительный билет kerberos

17

Наши домашние каталоги экспортируются через kerberized nfs, поэтому пользователю нужен действительный билет на kerberos, чтобы иметь возможность установить его дом. Эта настройка отлично работает с нашими существующими клиентами и amp; сервер.

Теперь мы хотим добавить клиента 11.10 и, таким образом, настроить ldap & amp; kerberos вместе с pam_mount. Идентификация ldap работает, и пользователи могут войти в систему через ssh, однако их дома не могут быть установлены.

Когда pam_mount настроен на монтирование с правами root, gssd не находит действительный билет kerberos и не удается выполнить монтирование.

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall

Когда pam_mount, с другой стороны, настроен с параметром noroot = 1, он не может смонтировать громкость вообще.

Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as [email protected]
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed

Итак, как мы можем разрешить пользователям определенной группы выполнять монтирование nfs? Если это не сработает, можно ли использовать pam_mount root, но передать правильный uid?

    
задан jan bernlöhr 22.11.2011 в 17:39
источник

1 ответ

2

Смотрите эту тему:

Ссылка

  

Если в fstab нет опции «пользователь», только root может монтировать тома.   В файле mount.c есть некоторый комментарий о том, как сделать исполняемую команду mount   любым пользователем, но это было отклонено сопровождающим (в комментарии говорится   что-то о последствиях безопасности, но не более конкретно).

     

В отличие от исходного восходящего потока версия Debian для libpam-mount   выполняет команды монтирования с помощью user uid, а не как root. дела   определяемые пользователем монтирования как root - это дыра в безопасности.   Затем любой пользователь мог смонтировать том в / usr или / tmp при входе в систему, или   umount любой другой том при выходе из системы.

     

Или, другими словами, libpam-mount может делать только то, что может сделать пользователь,   ничего более.

     
    

Итак, любые предложения?

  
     

Ввод пользовательской записи в fstab должен сделать это. Скажите, пожалуйста, как это   работает.   Обратите внимание, что другие файловые системы (ncp, smb) имеют пользовательские биты монтирования   например, smbmount или ncpmount. Там нет ничего подобного для петлевой петли   крепления: /

    
ответ дан Aleksander Adamowski 11.07.2012 в 16:57