Налаштування для монтажу домашнього каталогу kerberized nfs - gssd не знаходить дійсний квиток kerberos

Наші домашні каталоги експортуються через kerberized nfs, тому користувачеві потрібен дійсний квиток kerberos, щоб мати змогу встановити свій дім. Ця установка чудово працює з нашими існуючими клієнтами та сервером.

Тепер ми хочемо додати близько 11,10 клієнта і, таким чином, налаштувати ldap & kerberos разом з pam_mount. Ідентифікація ldap працює і користувачі можуть увійти через ssh, однак їх будинки неможливо встановити.

Коли pam_mount налаштовано для монтажу як root, gssd не знаходить дійсний квиток kerberos, і монтаж не вдається.

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE'
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0
Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall

Якщо пам’ятка pam_mount з іншого боку налаштована з опцією noroot = 1, то вона взагалі не може монтувати гучність.

Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as phy65678@PURPLE.PHYSCIP.UNI-STUTTGART.DE
Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2
Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0)
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program:
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that
Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed

Тож як можна дозволити користувачам певної групи виконувати монтажі nfs? Якщо це не працює, чи можемо ми змусити пам’ять pam_mount використовувати root, але передати правильний uid?

Дивіться цю тему:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=190267

Якщо в fstab немає опції "user", томи root можуть встановлювати лише root. У mount.c є якийсь коментар щодо того, щоб зробити команду mount виконуваною будь-яким користувачем, але це було відхилено технічним обслуговувачем (коментар говорить щось про наслідки для безпеки, але не є більш конкретним).

На відміну від вихідної версії за течією, версія Debian-версії libpam виконує команди монтажу з користувальницьким uid, а не як root. Зробити вказані користувачем кріплення як root - це захисна діра. Тоді будь-який користувач може встановити том до / usr або / tmp під час входу або змінити будь-який інший том під час виходу.

Або іншими словами, libpam-mount може робити лише те, що може зробити користувач, не більше того.

Отже, якісь пропозиції?

Введення користувача в fstab повинно це робити. Скажіть, будь ласка, як це працює. Зауважте, що інші файлові системи (ncp, smb) мають користувальницькі бінарні файли монтування, такі як smbmount або ncpmount. Здається, немає нічого подібного для циклів кріплення: /