KerberosとLDAPを使用してシングルサインオン(SSO)を設定しようとしていますが、Kerberos認証と暗号化(krb5p)サービスでNFSv4を使用するのに問題があります。
私の環境:
- LDAP と Kerberos を搭載したサーバー (ネームサーバー) 1 台 (IP: 192.168.1.1)
- SSHやNFSv4(IP:192.168.1.100)などのサービスを提供するサーバー1台(host2と命名)
- クライアント 1 つ (host1 と命名) (IP: 192.168.1.2)
3 台のシステムが Ubuntu 18.04 を実行しています。
私の/ etc / hostsは、以下のように3つのシステムで同じです。
SSOはGSSAPIのSSHサービスとうまく機能し、クライアントに良いKerberosチケットがあります。それでは、NFSv4サービスを設定しようとしています。まず、共有ファイル(nfs-kernel-serverとnfs-common)を設定しました。
ログ記録(sssdを使用)のためにクライアントコンピュータでLDAPユーザーを使用して共有ディレクトリをマウントすると、すべてが問題ないようです。
sudo mount -vvv -t nfs4 -o proto=tcp,port=2049,sec=krb5p host2.stagenfs.fr:/ /mnt
LDAPユーザーアカウントを使用してNFSディレクトリをマウントするには、/ etc / sudoersでLDAPユーザーに権限を追加する必要がありました。
/etc/sudoers
<LDAP user> ALL=(ALL:ALL) NOPASSWD: /bin/mount,/bin/umount,/sbin/mount.nfs,/sbin/mount.nfs4
しかし、Kerberosは私にルート(600の権限)に属するチケットを与えました。したがって、LDAPクライアントアカウントを使用してログインすると、/ mntディレクトリに入ることはできません。そのため、rootユーザーだけが/mntにアクセスできることがわかりました。 NFS共有ディレクトリに対する権限は、クライアント(マウントポイントディレクトリ)とサーバーの両方で777です。
LDAPユーザーチケットはsssd.confファイルで指定されたディレクトリにありますが、NFSサービスのチケットは/ tmp /ディレクトリにあります。
試してみましたが、chown <LDAP user>:<LDAP user group> /tmp/krb5ccmachine_STAGENFS私のLDAPユーザーは/ mntにアクセスできました。
/etc/idmapd.conf私はこれがidmapdサービスから来ていると思いますが、仕事が機能するように設定する方法を理解していません。オンラインで見つけたいくつかの設定を試しましたが、成功しませんでした。
これは私のconfファイルです。
/etc/hosts (すべてのマシンで同じ)
127.0.0.1 localhost
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
192.168.1.1 server.stagenfs.fr server
192.168.1.1 stagenfs.fr
192.168.1.2 host1.stagenfs.fr host1
192.168.1.100 host2.stagenfs.fr host2
/etc/nsswitch.conf(すべてのシステムで同じ)
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat systemd sss
group: compat systemd sss
shadow: compat sss
gshadow: files
hosts: files mdns4_minimal [NOTFOUND=return] dns myhostname
networks: files
protocols: db files
services: db files sss
ethers: db files
rpc: db files
netgroup: nis sss
sudoers: files sss
/etc/idmapd.conf (クライアントと NFS サーバーで同じ)
[General]
Verbosity = 5
Pipefs-Directory = /run/rpc_pipefs
# set your own domain here, if it differs from FQDN minus hostname
Domain = stagenfs.fr
Local-Realms = STAGENFS.FR
[Mapping]
Nobody-User = nobody
Nobody-Group = nogroup
[Translation]
#Method = nsswitch
Method = static
GSS-Methods = static
#Method = umich_ldap,nsswitch
#GSS-Methods = umich_ldap
#Method = sss
[Static]
#nfs/[email protected] = alice
#nfs/[email protected] = alice
#nfs/[email protected] = alice
[email protected] = alice
#[UMICH_SCHEMA]
#LDAP_server = server.stagenfs.fr
#LDAP_base = ou=tl
#LDAP_use_ssl = true
#LDAP_ca_cert = /etc/ssl/certs/cacert.pem
#NFSV4_person_objectclass = posixaccount
#NFSV4_name_attr = uid
/etc/default/nfs-common (クライアントコンピュータ)
STATDOPTS=
# Do you want to start the gssd daemon? It is required for Kerberos mounts.
NEED_GSSD="yes"
NEED_IDMAPD="yes"
/etc/default/nfs-kernel-server (NFS サーバーシステム)
# Number of servers to start up
RPCNFSDCOUNT=8
# Runtime priority of server (see nice(1))
RPCNFSDPRIORITY=0
RPCMOUNTDOPTS="--manage-gids"
# Do you want to start the svcgssd daemon? It is only required for Kerberos
# exports. Valid alternatives are "yes" and "no"; the default is "no".
NEED_SVCGSSD="yes"
# Options for rpc.svcgssd.
RPCSVCGSSDOPTS=""
/etc/sssd/sssd.conf(クライアントとNFSサーバーで同じ)
[sssd]
debug_level = 0xFFF0
config_file_version = 2
services = nss,pam
domains = STAGENFS.FR
[nss]
debug_level = 0xFFF0
filter_users = root
filter_groups = root
[pam]
debug_level = 10
offline_credentials_expiration = 1
[domain/STAGENFS.FR]
debug_level = 0xFFF0
ldap_schema = rfc2307
ldap_search_base = ou=tl
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
access_provider = ldap
ldap_sasl_mech = GSSAPI
ldap_krb5_keytab = /etc/krb5.keytab
ldap_access_order = filter
ldap_access_filter = &(objectClass=posixAccount) (uidNumber=*)
ldap_uri = ldaps://server.stagenfs.fr
ldap_referrals = False
ldap_id_use_start_tls = False
cache_credentials = False
account_cache_expiration = 1
enumerate = True
ldap_default_bind_dn = cn=proxyuser,ou=private,ou=tl
ldap_default_authtok_type = password
ldap_default_authtok = ProxyUser123#
ldap_tls_cacert = /etc/ssl/certs/cacert.pem
krb5_realm = STAGENFS.FR
krb5_canonicalize = False
krb5_server = server.stagenfs.fr
krb5_kpasswd = server.stagenfs.fr
krb5_ccachedir = /home/tl/%u
/var/log/syslog (最小構成) (NFS サーバー上)
Aug 2 10:05:57 host2 rpc.idmapd[470]: nfsdcb: authbuf=gss/krb5p authtype=user
Aug 2 10:05:57 host2 rpc.idmapd[470]: nfs4_uid_to_name: calling nsswitch->uid_to_name
Aug 2 10:05:57 host2 rpc.idmapd[470]: nfs4_uid_to_name: nsswitch->uid_to_name returned 0
Aug 2 10:05:57 host2 rpc.idmapd[470]: nfs4_uid_to_name: final return value is 0
Aug 2 10:05:57 host2 rpc.idmapd[470]: Server : (user) id "0" -> name "[email protected]"
Aug 2 10:05:57 host2 rpc.idmapd[470]: nfsdcb: authbuf=gss/krb5p authtype=group
Aug 2 10:05:57 host2 rpc.idmapd[470]: nfs4_gid_to_name: calling nsswitch->gid_to_name
Aug 2 10:05:57 host2 rpc.idmapd[470]: nfs4_gid_to_name: nsswitch->gid_to_name returned 0
Aug 2 10:05:57 host2 rpc.idmapd[470]: nfs4_gid_to_name: final return value is 0
Aug 2 10:05:57 host2 rpc.idmapd[470]: Server : (group) id "0" -> name "[email protected]"
クライアント(host1)のコマンドライン出力 AliceはKerberosを使用して認証されたLDAPユーザーです。
alice@host1:~$ sudo mount -vvv -t nfs4 -o proto=tcp,port=2049,sec=krb5p host2:/users /mnt
mount.nfs4: timeout set for Thu Aug 2 10:07:58 2018
mount.nfs4: trying text-based options 'proto=tcp,port=2049,sec=krb5p,vers=4.2,addr=192.168.1.100,clientaddr=192.168.1.2'
alice@host1:~$ ldapwhoami
SASL/GSSAPI authentication started
SASL username: [email protected]
SASL SSF: 56
SASL data security layer installed.
dn:uid=alice,ou=people,ou=tl
alice@host1:~$ klist
Ticket cache: FILE:/home/tl/alice/krb5_25002
Default principal: [email protected]
Valid starting Expires Service principal
02/08/2018 10:57:40 02/08/2018 20:57:40 krbtgt/[email protected]
renew until 03/08/2018 10:57:40
02/08/2018 10:57:56 02/08/2018 20:57:40 ldap/[email protected]
renew until 03/08/2018 10:57:40
alice@host1:~$ klist -c /tmp/krb5ccmachine_STAGENFS.FR
klist: Credentials cache permissions incorrect (filename: /tmp/krb5ccmachine_STAGENFS.FR)
alice@host1:~$
root@host1:~# klist -c /tmp/krb5ccmachine_STAGENFS.FR
Ticket cache: FILE:/tmp/krb5ccmachine_STAGENFS.FR
Default principal: host/[email protected]
Valid starting Expires Service principal
02/08/2018 10:01:07 02/08/2018 20:01:07 krbtgt/[email protected]
renew until 03/08/2018 10:01:07
02/08/2018 10:01:07 02/08/2018 20:01:07 nfs/[email protected]
renew until 03/08/2018 10:01:07
root@host1:~# klist -k /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 ldap/[email protected]
2 ldap/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 nfs/[email protected]
2 nfs/[email protected]
ご覧のとおり、idmapd.confを使用していくつかの方法を試しましたが、成功しませんでした。このサイトをいくつか見つけました。協会しかし、これは役に立ちません。 idmapdの設定や他の場所から何かが欠けているようです。ご質問やご質問がございましたら、お気軽にお問い合わせください。