我们在这里有一些Ubuntu客户端,它们将安装受Kerberos保护的NFS家庭。 服务器与现有的客户端很好地工作,所以我们可以假设ldap和kerberos都可以。
我们设法在ubuntu客户端上configurationldap,kinit能够为我们获得ldap用户的门票。 当root用kinit获取root权限时,我们可以挂载nfs共享。
为了允许用户安装他们的家园,我们设置了autofs。 然而,这是行不通的,因为autofs似乎以“root”身份执行mount。 但是,root没有任何票据,因此挂载失败 – 请参阅rpc.gssd的附件日志摘录。 请注意,我们的kerberos安装程序不使用机器主体,而是使用用户主体。 我们如何获得autofs将正确的uid传递给gssd?
handling gssd upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt10) handle_gssd_upcall: 'mech=krb5 uid=0 ' handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt10) process_krb5_upcall: service is '<null>' getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de CC file '/tmp/krb5cc_554' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE' CC file '/tmp/krb5cc_554' owned by 554, not 0 WARNING: Failed to create krb5 context for user with uid 0 for server purple.physcip.uni-stuttgart.de Ubuntu 11.10桌面Autofs5
kinit的输出。 用户ID是65678.领域和用户名已被更改为尊重隐私。
usr01@ubuntuclnt01:/$ klist Ticket cache: FILE:/tmp/krb5cc_65678_ed3816 Default principal: usr01@REALM Valid starting Expires Service principal 11/18/11 17:18:57 11/19/11 03:18:57 krbtgt/REALM renew until 11/19/11 17:18:57
更新 :如果发现一个2。5年的臭虫报告描述正是这种现象。 https://bugs.launchpad.net/ubuntu/+source/nfs-utils/+bug/368153#5
看来(Ubuntu的)Linux不能与devise kerberos安全家庭相处 – 而几乎任何其他的操作系统可以做到这一点 – 即使是Mac OSX!