OpenLDAP + Kerberos(SSO)を使用して認証すると、NFSv4共有ディレクトリに対する権限が拒否されました。

tag-icon tag-icon linux ldap kerberos nfsv4
OpenLDAP + Kerberos(SSO)を使用して認証すると、NFSv4共有ディレクトリに対する権限が拒否されました。

KerberosとLDAPを使用してシングルサインオン(SSO)を設定しようとしていますが、Kerberos認証と暗号化(krb5p)サービスでNFSv4を使用するのに問題があります。

私の環境:

  • LDAP と Kerberos を搭載したサーバー (ネームサーバー) 1 台 (IP: 192.168.1.1)
  • SSHやNFSv4(IP:192.168.1.100)などのサービスを提供するサーバー1台(host2と命名)
  • クライアント 1 つ (host1 と命名) (IP: 192.168.1.2)

3 台のシステムが Ubuntu 18.04 を実行しています。

私の/ etc / hostsは、以下のように3つのシステムで同じです。

SSOはGSSAPIのSSHサービスとうまく機能し、クライアントに良いKerberosチケットがあります。それでは、NFSv4サービスを設定しようとしています。まず、共有ファイル(nfs-kernel-serverとnfs-common)を設定しました。

ログ記録(sssdを使用)のためにクライアントコンピュータでLDAPユーザーを使用して共有ディレクトリをマウントすると、すべてが問題ないようです。

sudo mount -vvv -t nfs4 -o proto=tcp,port=2049,sec=krb5p host2.stagenfs.fr:/ /mnt

LDAPユーザーアカウントを使用してNFSディレクトリをマウントするには、/ etc / sudoersでLDAPユーザーに権限を追加する必要がありました。

/etc/sudoers

<LDAP user> ALL=(ALL:ALL) NOPASSWD: /bin/mount,/bin/umount,/sbin/mount.nfs,/sbin/mount.nfs4

しかし、Kerberosは私にルート(600の権限)に属するチケットを与えました。したがって、LDAPクライアントアカウントを使用してログインすると、/ mntディレクトリに入ることはできません。そのため、rootユーザーだけが/mntにアクセスできることがわかりました。 NFS共有ディレクトリに対する権限は、クライアント(マウントポイントディレクトリ)とサーバーの両方で777です。

LDAPユーザーチケットはsssd.confファイルで指定されたディレクトリにありますが、NFSサービスのチケットは/ tmp /ディレクトリにあります。

試してみましたが、chown <LDAP user>:<LDAP user group> /tmp/krb5ccmachine_STAGENFS私のLDAPユーザーは/ mntにアクセスできました。

/etc/idmapd.conf私はこれがidmapdサービスから来ていると思いますが、仕事が機能するように設定する方法を理解していません。オンラインで見つけたいくつかの設定を試しましたが、成功しませんでした。

これは私のconfファイルです。

/etc/hosts (すべてのマシンで同じ)

127.0.0.1   localhost

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

192.168.1.1     server.stagenfs.fr      server
192.168.1.1     stagenfs.fr

192.168.1.2     host1.stagenfs.fr       host1

192.168.1.100   host2.stagenfs.fr       host2

/etc/nsswitch.conf(すべてのシステムで同じ)

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat systemd sss
group:          compat systemd sss
shadow:         compat sss
gshadow:        files

hosts:          files mdns4_minimal [NOTFOUND=return] dns myhostname
networks:       files

protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers:        files sss

/etc/idmapd.conf (クライアントと NFS サーバーで同じ)

[General]

Verbosity = 5
Pipefs-Directory = /run/rpc_pipefs
# set your own domain here, if it differs from FQDN minus hostname
Domain = stagenfs.fr
Local-Realms = STAGENFS.FR

[Mapping]

Nobody-User = nobody
Nobody-Group = nogroup

[Translation]
#Method = nsswitch
Method = static
GSS-Methods = static
#Method = umich_ldap,nsswitch
#GSS-Methods = umich_ldap
#Method = sss

[Static]
#nfs/[email protected] = alice
#nfs/[email protected] = alice
#nfs/[email protected] = alice
[email protected] = alice

#[UMICH_SCHEMA]

#LDAP_server = server.stagenfs.fr
#LDAP_base = ou=tl
#LDAP_use_ssl = true
#LDAP_ca_cert = /etc/ssl/certs/cacert.pem
#NFSV4_person_objectclass = posixaccount
#NFSV4_name_attr = uid

/etc/default/nfs-common (クライアントコンピュータ)

STATDOPTS=

# Do you want to start the gssd daemon? It is required for Kerberos mounts.
NEED_GSSD="yes"

NEED_IDMAPD="yes"

/etc/default/nfs-kernel-server (NFS サーバーシステム)

# Number of servers to start up
RPCNFSDCOUNT=8

# Runtime priority of server (see nice(1))
RPCNFSDPRIORITY=0

RPCMOUNTDOPTS="--manage-gids"

# Do you want to start the svcgssd daemon? It is only required for Kerberos
# exports. Valid alternatives are "yes" and "no"; the default is "no".
NEED_SVCGSSD="yes"

# Options for rpc.svcgssd.
RPCSVCGSSDOPTS=""

/etc/sssd/sssd.conf(クライアントとNFSサーバーで同じ)

[sssd]
debug_level = 0xFFF0
config_file_version = 2
services = nss,pam
domains = STAGENFS.FR

[nss]
debug_level = 0xFFF0
filter_users = root
filter_groups = root

[pam]
debug_level = 10
offline_credentials_expiration = 1

[domain/STAGENFS.FR]
debug_level = 0xFFF0
ldap_schema = rfc2307
ldap_search_base = ou=tl

id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
access_provider = ldap

ldap_sasl_mech = GSSAPI
ldap_krb5_keytab = /etc/krb5.keytab

ldap_access_order = filter
ldap_access_filter = &(objectClass=posixAccount) (uidNumber=*)

ldap_uri = ldaps://server.stagenfs.fr
ldap_referrals = False
ldap_id_use_start_tls = False
cache_credentials = False
account_cache_expiration = 1
enumerate = True
ldap_default_bind_dn = cn=proxyuser,ou=private,ou=tl
ldap_default_authtok_type = password
ldap_default_authtok = ProxyUser123#
ldap_tls_cacert = /etc/ssl/certs/cacert.pem

krb5_realm = STAGENFS.FR
krb5_canonicalize = False
krb5_server = server.stagenfs.fr
krb5_kpasswd = server.stagenfs.fr
krb5_ccachedir = /home/tl/%u

/var/log/syslog (最小構成) (NFS サーバー上)

Aug  2 10:05:57 host2 rpc.idmapd[470]: nfsdcb: authbuf=gss/krb5p authtype=user
Aug  2 10:05:57 host2 rpc.idmapd[470]: nfs4_uid_to_name: calling nsswitch->uid_to_name
Aug  2 10:05:57 host2 rpc.idmapd[470]: nfs4_uid_to_name: nsswitch->uid_to_name returned 0
Aug  2 10:05:57 host2 rpc.idmapd[470]: nfs4_uid_to_name: final return value is 0
Aug  2 10:05:57 host2 rpc.idmapd[470]: Server : (user) id "0" -> name "[email protected]"
Aug  2 10:05:57 host2 rpc.idmapd[470]: nfsdcb: authbuf=gss/krb5p authtype=group
Aug  2 10:05:57 host2 rpc.idmapd[470]: nfs4_gid_to_name: calling nsswitch->gid_to_name
Aug  2 10:05:57 host2 rpc.idmapd[470]: nfs4_gid_to_name: nsswitch->gid_to_name returned 0
Aug  2 10:05:57 host2 rpc.idmapd[470]: nfs4_gid_to_name: final return value is 0
Aug  2 10:05:57 host2 rpc.idmapd[470]: Server : (group) id "0" -> name "[email protected]"

クライアント(host1)のコマンドライン出力 AliceはKerberosを使用して認証されたLDAPユーザーです。

alice@host1:~$ sudo mount -vvv -t nfs4 -o proto=tcp,port=2049,sec=krb5p host2:/users /mnt
mount.nfs4: timeout set for Thu Aug  2 10:07:58 2018
mount.nfs4: trying text-based options 'proto=tcp,port=2049,sec=krb5p,vers=4.2,addr=192.168.1.100,clientaddr=192.168.1.2'

alice@host1:~$ ldapwhoami 
SASL/GSSAPI authentication started
SASL username: [email protected]
SASL SSF: 56
SASL data security layer installed.
dn:uid=alice,ou=people,ou=tl

alice@host1:~$ klist 
Ticket cache: FILE:/home/tl/alice/krb5_25002
Default principal: [email protected]

Valid starting       Expires              Service principal
02/08/2018 10:57:40  02/08/2018 20:57:40  krbtgt/[email protected]
    renew until 03/08/2018 10:57:40
02/08/2018 10:57:56  02/08/2018 20:57:40  ldap/[email protected]
    renew until 03/08/2018 10:57:40

alice@host1:~$ klist -c /tmp/krb5ccmachine_STAGENFS.FR 
klist: Credentials cache permissions incorrect (filename: /tmp/krb5ccmachine_STAGENFS.FR)
alice@host1:~$ 

root@host1:~# klist -c /tmp/krb5ccmachine_STAGENFS.FR 
Ticket cache: FILE:/tmp/krb5ccmachine_STAGENFS.FR
Default principal: host/[email protected]

Valid starting       Expires              Service principal
02/08/2018 10:01:07  02/08/2018 20:01:07  krbtgt/[email protected]
    renew until 03/08/2018 10:01:07
02/08/2018 10:01:07  02/08/2018 20:01:07  nfs/[email protected]
    renew until 03/08/2018 10:01:07

root@host1:~# klist -k /etc/krb5.keytab 
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   2 ldap/[email protected]
   2 ldap/[email protected]
   2 host/[email protected]
   2 host/[email protected]
   2 host/[email protected]
   2 host/[email protected]
   2 host/[email protected]
   2 host/[email protected]
   2 nfs/[email protected]
   2 nfs/[email protected]

ご覧のとおり、idmapd.confを使用していくつかの方法を試しましたが、成功しませんでした。このサイトをいくつか見つけました。協会しかし、これは役に立ちません。 idmapdの設定や他の場所から何かが欠けているようです。ご質問やご質問がございましたら、お気軽にお問い合わせください。

関連情報