Acesso root ao host NFSv4 kerberizado no Ubuntu

2

Eu tenho uma configuração NFSv4 kerberizada funcionando bem no Ubuntu para usuários regulares, mas não consigo trabalhar para raiz.

Para a maioria dos sistemas, eu não quero permitir o acesso root, mas tenho alguns servidores onde o acesso root através do NFS para este servidor de arquivos é obrigatório.

Eu sei que a raiz de um determinado cliente usa a identidade da máquina do cliente, em vez de um princípio kerberos comum.

O que não consigo descobrir é: como posso identificar uma determinada identidade de máquina com acesso root no servidor? Isso parece possível no AIX e no Solaris (com root = no arquivo de exportação do servidor), mas não no linux.

Eu percebo que posso permitir a autenticação "sys" apenas para os hosts que precisam e manter o krb5 no lugar de todos os outros, mas gostaria de entender como fazê-lo dentro do contexto de um ambiente totalmente kerberizado.

Obrigado,

nrb

P.S. Eu estou usando no_root_squash.

    
por nrb 27.07.2013 / 19:52

1 resposta

3

Bem, aqui está uma solução que funciona. Não é o único, mas é o mais limpo na minha opinião.

Forneça um mapeamento estático no arquivo idmapd.conf do servidor, que equaciona as credenciais da máquina do cliente com a conta raiz no servidor.

Você também deve informar ao idmapd para verificar primeiro os mapeamentos estáticos. O snippet relevante da configuração do meu servidor é:

[Translation]
GSS-Methods = static,nsswitch

[Static]
nfs/[email protected] = root

Como nota, o cliente nfs passará pelo /etc/krb5.keytab procurando chaves em (pelo menos) a seguinte ordem:

Leva o primeiro e usa isso. Este é o nome que você deve usar na seção Static do arquivo idmapd.conf no servidor.

nrb

    
por 28.07.2013 / 05:06