Le nostre home directory vengono esportate tramite nfs kerberized, quindi l'utente ha bisogno di un ticket kerberos valido per poter montare la sua home. Questa configurazione funziona bene con i nostri client e server esistenti.
Ora vogliamo aggiungere un client 11.10 e quindi impostare ldap & kerberos insieme a pam_mount. L'autenticazione ldap funziona e gli utenti possono accedere tramite ssh, tuttavia le loro case non possono essere montate.
Quando pam_mount è configurato per il montaggio come root, gssd non trova un ticket Kerberos valido e il montaggio non riesce.
Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall
Quando pam_mount è invece configurato con l'opzione noroot = 1, non è possibile montare il volume.
Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as phy65678@PURPLE.PHYSCIP.UNI-STUTTGART.DE
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed
Quindi, come possiamo consentire agli utenti di un gruppo specifico di eseguire montaggi nfs? Se questo non funziona, possiamo fare in modo che pam_mount usi root ma passi l'UID corretto?
/home
/home/user
o /home/user/mountpoint
? Il primo che penso debba essere fatto prima dell'accesso. Il secondo che ho provato a fare con sshfs, ma ha continuato a fallire nel login GDM e lightdm e non penso che sia stata colpa di sshfs. Il terzo dovrebbe funzionare, è sufficiente aggiungere l'utente a un gruppo a cui è consentito eseguire montaggi nfs. Per favore fatemi sapere se riuscite a far funzionare il secondo. Sarei interessato
-osec=krb5