Próbowałem uzyskać uwierzytelnianie LDAP, a katalogi domowe wyeksportowane przez NFS na CentOS 6 działały już od kilku dni. Doszedłem do tego, że mogę teraz zalogować się do komputera klienckiego przy użyciu nazwy użytkownika i hasła w LDAP. Na kliencie, / home i / opt są zamontowane w fstab przez NFS. Jednak każdy plik w / opt i / home jest własnością nobody:nobody
(uid: 99, gid: 99) na kliencie.
Jednak moje identyfikatory UID i GID wydają się być ustawione poprawnie:
-bash-4.1$ id
uid=3000(myusername) gid=3000(employees) groups=3000(employees)
Co jeszcze mogę sprawdzić? Oto niektóre pliki konfiguracyjne na moim kliencie:
/etc/nsswitch.conf
passwd: files sss
shadow: files sss
group: files sss
hosts: files dns
bootparams: nisplus [NOTFOUND=return] files
ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files
netgroup: files sss
publickey: nisplus
automount: files ldap
aliases: files nisplus
/etc/sssd/sssd.conf
[sssd]
config_file_version = 2
services = nss, pam
domains = default
[nss]
[pam]
[domain/default]
auth_provider = ldap
ldap_id_use_start_tls = True
chpass_provider = ldap
cache_credentials = True
krb5_realm = EXAMPLE.COM
ldap_search_base = dc=mycompany,dc=com
id_provider = ldap
ldap_uri = ldaps://server.subdomain.mycompany.com
krb5_kdcip = kerberos.example.com
ldap_tls_cacertdir = /etc/openldap/cacerts
# Configure client certificate auth.
ldap_tls_cert = /etc/openldap/cacerts/client.pem
ldap_tls_key = /etc/openldap/cacerts/client.pem
ldap_tls_reqcert = demand
/ etc / fstab
/dev/mapper/vg_main-lv_root / ext4 defaults 1 1
UUID=4e43a15d-4dc0-4836-8fa6-c3445fde756c /boot ext4 defaults 1 2
/dev/mapper/vg_main-lv_swap swap swap defaults 0 0
tmpfs /dev/shm tmpfs defaults 0 0
devpts /dev/pts devpts gid=5,mode=620 0 0
sysfs /sys sysfs defaults 0 0
proc /proc proc defaults 0 0
storage1:/nas/home /home nfs soft,intr,rsize=8192,wsize=8192
storage1:/nas/opt /opt nfs soft,intr,rsize=8192,wsize=8192
dane wyjściowe authconfig:
[root@test1 ~]# authconfig --test
caching is disabled
nss_files is always enabled
nss_compat is disabled
nss_db is disabled
nss_hesiod is disabled
hesiod LHS = ""
hesiod RHS = ""
nss_ldap is enabled
LDAP+TLS is enabled
LDAP server = "ldaps://server.subdomain.mycompany.com"
LDAP base DN = "dc=mycompany,dc=com"
nss_nis is disabled
NIS server = ""
NIS domain = ""
nss_nisplus is disabled
nss_winbind is disabled
SMB workgroup = ""
SMB servers = ""
SMB security = "user"
SMB realm = ""
Winbind template shell = "/bin/false"
SMB idmap uid = "16777216-33554431"
SMB idmap gid = "16777216-33554431"
nss_sss is disabled by default
nss_wins is disabled
nss_mdns4_minimal is disabled
DNS preference over NSS or WINS is disabled
pam_unix is always enabled
shadow passwords are enabled
password hashing algorithm is sha512
pam_krb5 is disabled
krb5 realm = "EXAMPLE.COM"
krb5 realm via dns is disabled
krb5 kdc = "kerberos.example.com"
krb5 kdc via dns is disabled
krb5 admin server = "kerberos.example.com"
pam_ldap is enabled
LDAP+TLS is enabled
LDAP server = "ldaps://server.subdomain.mycompany.com"
LDAP base DN = "dc=mycompany,dc=com"
LDAP schema = "rfc2307"
pam_pkcs11 is disabled
use only smartcard for login is disabled
smartcard module = ""
smartcard removal action = ""
pam_fprintd is enabled
pam_winbind is disabled
SMB workgroup = ""
SMB servers = ""
SMB security = "user"
SMB realm = ""
pam_sss is disabled by default
credential caching in SSSD is enabled
SSSD use instead of legacy services if possible is enabled
pam_cracklib is enabled (try_first_pass retry=3 type=)
pam_passwdqc is disabled ()
pam_access is disabled ()
pam_mkhomedir or pam_oddjob_mkhomedir is enabled ()
Always authorize local users is enabled ()
Authenticate system accounts against network services is disabled
Odpowiedzi:
Uwaga do dodania do tego dla wyszukiwarek Google - mieliśmy ten sam problem, w którym bez względu na to, co zrobiliśmy, mount nfs nie odwzorował poprawnie identyfikatorów użytkowników.
Problem polegał na tym, że idmapd buforował niepoprawne identyfikatory z błędnej konfiguracji i żadne poprawienie konfiguracji nie posortowałoby go.
Poleceniem centos, aby to naprawić było nfsidmap -c (wyczyść pamięć podręczną).
Mam nadzieję, że pomoże to niektórym rozpaczliwym poszukiwaczom ...
źródło
Rozwiązany!
Zdarzyło mi się zauważyć tę linię
/var/log/messages
na moim serwerze NFS, gdy próbowałem zamontować eksport ze zdalnego klienta:To spowodowało, że spojrzałem na kilka pierwszych wierszy
/etc/idmapd.conf
:Następnie dodałem
Domain=subdomain.mycompany.com
pod skomentowanym wierszem „Domena”. Zapisano, wyszedł, a następnie pobiegł/etc/init.d/rpcidmapd restart
i/etc/init.d/nfs restart
.źródło
Znalazłem post na blogu, który może rozwiązać Twój problem: http://whacked.net/2006/07/26/nfsv4nfs-mapid-nobody-domain/, który znalazłem w następującym wpisie na forum: https: //www.centos. org / modules / newbb / viewtopic.php? topic_id = 32977
źródło
Czy na Twoim serwerze NFS działa Centos / RHEL 5?
Jeśli tak, eksportuje NFSv3. NFSv4 jest teraz domyślny dla Centos6 (i najnowszych wariantów Ubuntu).
Szybka poprawka polega na dodaniu „vers = 3” w opcjach montażu w / etc / fstab.
na przykład
//10.0.0.1:/home / home nfs defaults, vers = 3, rw, noatime 0 0
źródło
Wszystko zamapowane na „nikt” nie brzmi, jakby włączony był all_squash.
Spojrzeć na:
http://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-nfs-server-config-exports.html
i sprawdź, czy plik / etc / export serwera NFS nie mimowolnie zgniata UID. Domyślnie „no_all_squash” ma być domyślny, ale możesz spróbować ustawić go jawnie i zobaczyć, co się stanie.
źródło
mount storage1:/nas/opt /mnt/test
na samodzielnym kliencie nadal daje mi problem „nikt”, jednak to samo polecenie na serwerze NFS działa bez problemu. Chciałbym wiedzieć, czy to był problem z NFS, czy SSSD / NSS.Rozwiązaniem dla mnie jest upewnienie się, że istnieje rekord DNS dla komputera lokalnego. Pomaga również, jeśli istnieje również rekord wyszukiwania wstecznego. W rezultacie nikt użytkownika i grupa zostały zastąpione przez root. Jak proste to jest! PS pamiętaj o ponownym uruchomieniu komputera lokalnego po utworzeniu rekordów DNS.
źródło