Intereting Posts
«Антиспам-плагин не настроен» Файл ярлыка для рабочего стола Netbeans, не работающий в Unity launcher, команда Exec работает в срок Как запустить tmux / screen с помощью systemd> 230? как очистить историю подключения сервера или сети в ubuntu 13.04? Безопасно ли использовать Ubuntu при представлении этой ошибки? (несоответствие в ips_enabled (ожидается 1, найдено 0)) Невозможно выбрать разрешение 2560×1440, хотя я знаю, что это возможно (у меня есть доказательство!) Я не могу установить libsodium в Docker ubuntu: яркое изображение Может ли кто-нибудь предоставить реальный, правильный и подлинный sources.list для Ubuntu 15.04? Как я могу препятствовать тому, чтобы приложение покидает полноэкранный режим, когда я перемещаю курсор на другой дисплей? Linux на ноутбуке Asus ROG Неизвестный раздел Ubuntu, не может монтировать или обновлять grub Обновление до Precise перепутало GRUB2 Не удается найти местоположение приложения Каков правильный способ настройки раскладки клавиатуры abnt2 в preseed? Удалить кавычки вокруг целых чисел в файле csv

Настройка для установки домашней директории kerberized nfs – gssd не находит действительный билет kerberos

Наши домашние каталоги экспортируются через kerberized nfs, поэтому пользователю нужен действительный билет на kerberos, чтобы иметь возможность установить его дом. Эта настройка отлично работает с нашими существующими клиентами и сервером.

Теперь мы хотим добавить клиента 11.10 и таким образом настроить ldap & kerberos вместе с pam_mount. Идентификация ldap работает, и пользователи могут войти в систему через ssh, однако их дома не могут быть установлены.

Когда pam_mount настроен на монтирование как root, gssd не находит действительный билет kerberos, и mount не работает.

Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 ' Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2) Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>' Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE' Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' owned by 65678, not 0 Nov 22 17:34:26 zelda rpc.gssd[929]: WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de Nov 22 17:34:26 zelda rpc.gssd[929]: doing error downfall 

Когда pam_mount, с другой стороны, настроен с помощью параметра noroot = 1, он не может смонтировать громкость вообще.

 Nov 22 17:33:58 zelda sshd[2226]: pam_krb5(sshd:auth): user phy65678 authenticated as phy65678@PURPLE.PHYSCIP.UNI-STUTTGART.DE Nov 22 17:33:58 zelda sshd[2226]: Accepted password for phy65678 from 129.69.74.20 port 51875 ssh2 Nov 22 17:33:58 zelda sshd[2226]: pam_unix(sshd:session): session opened for user phy65678 by (uid=0) Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:69): Messages from underlying mount program: Nov 22 17:33:58 zelda sshd[2226]: pam_mount(mount.c:73): mount: only root can do that Nov 22 17:33:58 zelda sshd[2226]: pam_mount(pam_mount.c:521): mount of /Volumes/home/phy65678 failed 

Итак, как мы можем разрешить пользователям определенной группы выполнять монтирование nfs? Если это не сработает, можно ли использовать pam_mount root, но передать правильный uid?

Смотрите эту тему:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=190267

Если в fstab нет опции «пользователь», только root может монтировать тома. В файле mount.c содержится некоторый комментарий о том, как сделать команду mount исполняемым любым пользователем, но это было отклонено разработчиком (комментарий говорит о проблемах безопасности, но не является более конкретным).

В отличие от исходного восходящего потока, версия libpam-mount Debian выполняет команды монтирования с пользовательским uid, а не как root. Выполнение пользовательских монтировок в качестве корня – это дыра в безопасности. Затем любой пользователь мог смонтировать том в / usr или / tmp при входе в систему или убрать любой другой том при выходе из системы.

Или, другими словами, libpam-mount может делать только то, что может сделать пользователь, не более того.

Итак, какие-то предложения?

Ввод записи пользователя в fstab должен сделать это. Скажите, пожалуйста, как это работает. Обратите внимание, что другие файловые системы (ncp, smb) имеют пользовательские билды монтирования, такие как smbmount или ncpmount. Там нет ничего подобного для крепления петли: /