Thiết lập để gắn thư mục nhà kerberized nfs - gssd không tìm thấy vé kerberos hợp lệ

Các thư mục nhà của chúng tôi được xuất qua nfsberized, vì vậy người dùng cần một vé kerberos hợp lệ để có thể gắn kết nhà của nó. Thiết lập này hoạt động tốt với các máy khách và máy chủ hiện tại của chúng tôi.

Bây giờ chúng tôi muốn thêm một số máy khách 11.10 và do đó thiết lập ldap & kerberos cùng với pam_mount. Xác thực ldap hoạt động và người dùng có thể đăng nhập qua ssh, tuy nhiên nhà của họ không thể được gắn kết.

Khi pam_mount được định cấu hình để gắn kết với quyền root, gssd không tìm thấy vé kerberos hợp lệ và việc gắn kết không thành công.

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall

Mặt khác, khi pam_mount được cấu hình với tùy chọn noroot = 1, thì nó không thể gắn kết âm lượng.

Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as phy65678@PURPLE.PHYSCIP.UNI-STUTTGART.DE
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed

Vậy làm thế nào chúng ta có thể cho phép người dùng của một nhóm cụ thể thực hiện gắn kết nfs? Nếu điều này không hoạt động, chúng ta có thể làm cho pam_mount sử dụng root nhưng vượt qua uid chính xác không?

Xem chủ đề này:

http://bugs.debian.org/cgi-bin/orpreport.cgi?orms=190267

Nếu không có tùy chọn "người dùng" trong fstab, chỉ root mới có thể gắn kết khối lượng. Có một số nhận xét trong mount.c về việc làm cho lệnh mount có thể được thực thi bởi bất kỳ người dùng nào, nhưng điều đó đã bị từ chối bởi người bảo trì (bình luận nói điều gì đó về ý nghĩa bảo mật, nhưng không cụ thể hơn).

Trái ngược với phiên bản gốc, phiên bản Debian của libpam-mount thực thi các lệnh mount với người dùng uid, không phải là root. Thực hiện các mount do người dùng chỉ định làm root là một lỗ hổng bảo mật. Bất kỳ người dùng nào sau đó cũng có thể gắn một ổ đĩa vào / usr hoặc / tmp khi đăng nhập hoặc bỏ qua bất kỳ ổ đĩa nào khác khi đăng xuất.

Hay nói cách khác, libpam-mount chỉ có thể làm những việc mà người dùng có thể làm, không có gì hơn.

Vì vậy, bất kỳ đề nghị?

Đặt một mục người dùng trong fstab sẽ làm điều đó. Xin vui lòng cho tôi biết làm thế nào điều này hoạt động. Lưu ý rằng các hệ thống tệp khác (ncp, smb) có các tệp nhị phân có thể gọi được của người dùng như smbmount hoặc ncpmount. Dường như không có gì như thế này cho mountback loopback: /