Início / server / Perguntas / 1066216
Accepted
Codejoy
Asked: 2021-06-10 10:35:28 +0800 CST

Openldap e nfserver, ambos funcionam embora /home/user não possa ser criado a menos que eu faça login no nfserver primeiro com novos ldapusers

  • 772

Eu tenho um servidor openldap que configurei no cento os 7. Combinei-o para trabalhar com todas as minhas outras VMs que montam uma montagem nfs de um servidor nfs para seu /home.

Acabei de descobrir que, se eu criar um novo usuário ldap e tentar fazer login em alguma VM, ele me permitirá fazer login, mas informa como não pode criar /home/user e não pode chngdir para ele.

Mas também aprendi se primeiro ssh user@mynfsserver Ele faz login, cria o /home/user apropriado e depois disso posso ssh para qualquer outra VM com meu ldapuser e funciona muito bem, não reclama mais de não poder criar a pasta em home para o referido usuário.

Eu uso autofs em cada VM com um arquivo home.map, parece ter as permissões corretas:

* -fstype=nfs,rw,nosuid,soft 10.10.1.139:/home/&

então isso parece algum tipo de problema de permissão com usuários recebendo erros ao fazer login em uma VM com suas credenciais ldap recém-criadas. Mas se esse mesmo usuário fizer login no 10.10.1.139 (servidor nfs de onde o home é mapeado), parece permitir que eles façam login nas VMs sem conseguir mais criar erros /home/user.

Meu servidor openldap precisa estar ciente do servidor nfs de alguma forma?

Além do soluço de ter que fazer login no servidor nfs primeiro, posso ir para outra VM, tocar em um arquivo nessa pasta inicial e bingo, em qualquer outra VM em que eu faça login. Portanto, é como 95% funcionando, apenas irritante ter que primeiro fazer login no nfserver com o usuário ldap para fazer a criação /home/user funcionar em outras VMs primeiro.

nfs openldap home-directory centos7

1 respostas

  1. Best Answer

    A criação automática de novos diretórios pessoais é feita pelo root, mas por padrão o root é mapeado para o usuário anônimo em montagens nfs e, portanto, o diretório inicial não pode ser criado em todos os clientes nfs. Adicione no_root_squashà sua linha em /etc/exportsseu servidor nfs para desabilitar isso e execute sudo exportfs -rapara que as alterações entrem em vigor. Então, com base no seu comentário, deve ficar assim:

    /home 10.10.1.0/24(rw,no_root_squash)

    Isso permitirá acesso root ao sistema de arquivos nfs montado em todos os clientes.

    No entanto, isso tem algumas implicações. Na página de manual exportfs:

    Mapeamento de ID de usuário

    O nfsd baseia seu controle de acesso a arquivos na máquina servidora no uid e gid fornecidos em cada solicitação NFS RPC. O comportamento normal que um usuário esperaria é que ele pudesse acessar seus arquivos no servidor da mesma forma que faria em um sistema de arquivos normal. Isso requer que os mesmos uids e gids sejam usados ​​no cliente e na máquina do servidor. Isso nem sempre é verdade, nem sempre é desejável.

    Muitas vezes, não é desejável que o usuário root em uma máquina cliente também seja tratado como root ao acessar arquivos no servidor NFS. Para este fim, o uid 0 é normalmente mapeado para um id diferente: o chamado uid anônimo ou ninguém. Este modo de operação (chamado `root squashing') é o padrão e pode ser desativado com no_root_squash.

    Por padrão, exportfs escolhe um uid e gid de 65534 para acesso squashed. Esses valores também podem ser substituídos pelas opções anonuid e anongid. Finalmente, você pode mapear todas as solicitações do usuário para o uid anônimo especificando a opção all_squash.

    • 1

relate perguntas