Configuração para a montagem do diretório inicial do kerberized nfs - gssd não encontra um ticket kerberos válido

17

Nossos diretórios pessoais são exportados via nfs kerberizados, portanto, o usuário precisa de um tíquete kerberos válido para poder montar sua casa. Esta configuração funciona bem com nossos clientes existentes & amp; servidor.

Agora queremos adicionar um cliente 11.10 e, assim, configurar o ldap & amp; kerberos junto com pam_mount. A autenticação ldap funciona e os usuários podem efetuar login via ssh, mas suas casas não podem ser montadas.

Quando o pam_mount é configurado para montar como root, o gssd não encontra um ticket do kerberos válido e a montagem falha.

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall

Quando o pam_mount está configurado com a opção noroot = 1, ele não pode montar o volume.

Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as phy65678@PURPLE.PHYSCIP.UNI-STUTTGART.DE
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed

Então, como podemos permitir que usuários de um grupo específico realizem montagens nfs? Se isso não funcionar, podemos fazer o pam_mount usar o root mas passar o uid correto?

    
por jan bernlöhr 22.11.2011 / 17:39

1 resposta

2

Veja este tópico:

link

  

Se não houver uma opção "user" no fstab, somente o root poderá montar volumes.   Há algum comentário em mount.c sobre como tornar executável o comando mount   por qualquer usuário, mas que foi rejeitado pelo mantenedor (o comentário diz   algo sobre implicações de segurança, mas não é mais específico).

     

Em contraste com o upstream original, a versão Debian do libpam-mount   executa comandos de montagem com o usuário uid, não como root. Fazendo   montagens especificadas pelo usuário como root é uma falha de segurança.   Qualquer usuário poderia então montar um volume para / usr ou / tmp no login, ou   desmontar qualquer outro volume no logout.

     

Ou, em outras palavras, o libpam-mount só pode fazer coisas que o usuário pode fazer,   nada mais.

     
    

Então, alguma sugestão?

  
     

Colocar uma entrada de usuário no fstab deve fazer isso. Por favor me diga como isso   trabalho.   Observe que outros sistemas de arquivos (ncp, smb) possuem binários de montagem de chamada de usuário   como smbmount ou ncpmount. Não parece nada assim para loopback   montagens: /

    
por Aleksander Adamowski 11.07.2012 / 16:57