Installazione per il montaggio della home directory nfs kerberized - gssd non trova un ticket kerberos valido

17

Le nostre home directory vengono esportate tramite nfs kerberized, quindi l'utente ha bisogno di un ticket kerberos valido per poter montare la sua home. Questa configurazione funziona bene con i nostri client e server esistenti.

Ora vogliamo aggiungere un client 11.10 e quindi impostare ldap & kerberos insieme a pam_mount. L'autenticazione ldap funziona e gli utenti possono accedere tramite ssh, tuttavia le loro case non possono essere montate.

Quando pam_mount è configurato per il montaggio come root, gssd non trova un ticket Kerberos valido e il montaggio non riesce.

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall

Quando pam_mount è invece configurato con l'opzione noroot = 1, non è possibile montare il volume.

Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as phy65678@PURPLE.PHYSCIP.UNI-STUTTGART.DE
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed

Quindi, come possiamo consentire agli utenti di un gruppo specifico di eseguire montaggi nfs? Se questo non funziona, possiamo fare in modo che pam_mount usi root ma passi l'UID corretto?

11.10  mount  pam  kerberos 
Jan Bernern
fonte
Lo stesso problema si applica al montaggio di condivisioni CIFS con-osec=krb5
AdmiralNemo
In effetti, questo problema non è stato ancora risolto. Devo creare un'altra domanda con lo stesso titolo e contenuto o cosa intendi per "ripubblicare"?
jan bernlöhr
Ho pensato con kerberized nfs, si monta come root (con il keytab di sistema), ma l'accesso ai file viene effettuato con il ticket di ogni utente.
Jayen,
rimosso il commento della query
Ringtail
Stai montando /home /home/usero /home/user/mountpoint? Il primo che penso debba essere fatto prima dell'accesso. Il secondo che ho provato a fare con sshfs, ma ha continuato a fallire nel login GDM e lightdm e non penso che sia stata colpa di sshfs. Il terzo dovrebbe funzionare, è sufficiente aggiungere l'utente a un gruppo a cui è consentito eseguire montaggi nfs. Per favore fatemi sapere se riuscite a far funzionare il secondo. Sarei interessato
d_inevitable

Risposte:

2

Vedi questa discussione:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=190267

Se in fstab non esiste alcuna opzione "utente", solo i root possono montare volumi. C'è qualche commento in mount.c su come rendere il comando mount eseguibile da qualsiasi utente, ma che è stato rifiutato dal manutentore (il commento dice qualcosa sulle implicazioni di sicurezza, ma non è più specifico).

Contrariamente all'upstream originale, la versione Debian di libpam-mount esegue i comandi di mount con l' utente uid, non come root. Fare montaggi specificati dall'utente come root è una falla di sicurezza. Qualsiasi utente può quindi montare un volume su / usr o / tmp al momento dell'accesso o smontare qualsiasi altro volume al logout.

O in altre parole libpam-mount può fare solo cose che l'utente può fare, niente di più.

Quindi, qualche suggerimento?

Inserire una voce utente in fstab dovrebbe farlo. Per favore, dimmi come funziona. Nota che altri filesystem (ncp, smb) hanno binari di mount richiamabili dall'utente come smbmount o ncpmount. Non sembra niente del genere per i montaggi di loopback: /

Aleksander Adamowski
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.