Estou tentando montar diretórios pessoais em nfs em alguns clientes. A montagem funciona, mas não consigo cd /srv/nfs4 : Permission denied . root pode entrar nesses diretórios montados e ler arquivos lá. Verificando como root, os arquivos aparecem com os nomes de usuários, grupos, uids e gids corretos.
Verificando como usuário comum:
testuser@nastest:/srv$ ls -l
ls: cannot access 'nfs4': Permission denied
total 0
d????????? ? ? ? ? ? nfs4
testuser@nastest:/srv$ cd nfs4
-bash: cd: nfs4: Permission denied
Duas novas vms (kms no proxmox) com o Ubuntu 16.04: nas.domain.tld e nastest.domain.tld , inscritas em um domínio FreeIPA em auth.domain.tld , para que os nomes de usuários e uids sejam gerenciados centralmente.
Meu /etc/exports :
srv/nfs4 gss/krb5i(rw,fsid=root,crossmnt,no_subtree_check)
/srv/nfs4/homes gss/krb5i(rw,no_subtree_check)
/srv/nfs4 é apenas um diretório ( root : root , 755 ), /srv/nfs4/homes é montado em bind para /home em que um diretório de propriedade de um FreeIPA - usuário baseado existe ( 755 ).
No cliente, /etc/fstab :
nas.domain.tld:/ /srv/nfs4/ nfs4 sec=krb5i 0 0
O RDNS funciona, eu configurei explicitamente o mesmo domínio para ambos os hosts em /etc/idmapd.conf .
Como posso fazer isso funcionar para usuários comuns?
Arquivei um bug contra o pacote freeipa-client .
O problema foi que gssd no Ubuntu 16.04 não parece suportar caches de credenciais com suporte de chaveiro do kernel para kerberos. No entanto, o script ipa-client-install cria /etc/krb5.conf de uma maneira que depende deles.
A exclusão da linha default_ccache_name = KEYRING:persistent:%{uid} corrigiu o problema para mim.