O Autofs sempre usa o uid 0 ao montar

2

Temos aqui alguns clientes Ubuntu que devem montar casas NFS protegidas com kerberos. O servidor funciona bem com os clientes existentes, então podemos supor que o ldap e o kerberos são bons.

Conseguimos configurar o ldap nos clientes do ubuntu e o kinit é capaz de obter ingressos para os usuários do ldap. Quando root obtém um tíquete raiz com kinit, podemos montar os compartilhamentos nfs.

Para permitir que os usuários montem suas casas, configuramos o autofs. No entanto, isso não funciona, pois o autofs parece executar a montagem como 'root'. No entanto, o root não possui nenhum ticket, então a montagem falha - veja o extrato de log anexado em rpc.gssd. Note que nossa configuração do kerberos não usa os principais da máquina, mas os principais do usuário. Como podemos obter o autofs para passar o uid correto para o gssd?

handling gssd upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt10)
handle_gssd_upcall: 'mech=krb5 uid=0 '
handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt10)
process_krb5_upcall: service is '<null>'
getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
CC file '/tmp/krb5cc_554' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
CC file '/tmp/krb5cc_554' owned by 554, not 0
WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de

Área de trabalho do Ubuntu 11.10 Autofs5

A saída do kinit. O ID do usuário é 65678. O reino e o nome de usuário foram alterados para respeitar a privacidade.

usr01@ubuntuclnt01:/$ klist
Ticket cache: FILE:/tmp/krb5cc_65678_ed3816
Default principal: usr01@REALM

Valid starting     Expires            Service principal
11/18/11 17:18:57  11/19/11 03:18:57  krbtgt/REALM
    renew until 11/19/11 17:18:57

Atualização : Se encontrado um relatório de bug de 2,5 anos descrevendo exatamente este fenômeno. link

Parece que o Ubuntu não pode se dar bem com os kerberos garantidos por - enquanto virtualmente qualquer outro sistema operacional pode fazer isso - mesmo o Mac OSX!

    
por jan bernlöhr 19.11.2011 / 10:58

0 respostas