Início / server / Perguntas / 713629
Accepted
cornuz
Asked: 2015-08-13 05:56:26 +0800 CST

LDAP + KERBEROS + NFS. Por que preciso do idmapd?

  • 772

O que estou tentando fazer

Tenho um domínio freeIPA, com alguns clientes e um Synology NAS (também inscrito no freeIPA).

Criei uma pasta compartilhada no NAS, com suporte a NFSv4 + krb5. Do cliente, obtenho um ticket para usuário LDAP [email protected]e monto esta pasta.

Inicialmente, os arquivos criados nesta pasta seriam de propriedade do nobodyusuário.

Finalmente consegui fazer funcionar, alterando /etc/idmapd.confo NAS para

  • ter o domínio definido corretamente
  • ter um mapeamento estático entre [email protected]e um usuário local

Pergunta

Eu entendo o papel do idmapdfore NFS em geral.

Neste caso porém:

  • por que preciso de mapeamentos explícitos? Não pode descobrir por si mesmo?
  • por que preciso de um mapeamento? O NAS também está no mesmo domínio freeIPA, é um cliente LDAP e possui os princípios kerberos corretos [email protected]. do utilizador? Posso evitar a criação de usuários locais?

Minha corrente idmapd.confestá assim:

[General]
Domain=hq.example.com

[Mapping]
Nobody-User=guest
Nobody-Group=users

[Translation]
Method=nsswitch
GSS-Methods=static,synomap

[Static]
[email protected]=user1

O que eu gostaria de conseguir é não precisar desse mapeamento estático [email protected]=user1e, se possível, nem precisar criar um usuário local user1no NAS.

ldap

1 respostas

  1. Best Answer

    Resumindo, o protocolo NFSv4 depende de um nome de usuário sendo compartilhado entre o servidor e o cliente, e não os números UID/GID s (que eram usados ​​nas versões anteriores) e o UID <==> mapeamento de nome de usuário pode realmente ser diferente no cliente e no servidor.

    Como parte do protocolo NFSv4, o servidor precisa mapear os contextos/permissões de segurança comuns, owner e owner_group para algo que faça sentido para as operações do sistema de arquivos local. Esse mapeamento é feito pelo IDMAPD em sistemas Linux.

    Em um sistema Linux, muitas operações de sistemas de arquivos locais são baseadas em UID/GID, mas precisam ser traduzidas para o contexto NFSv4 compartilhado antes de serem transmitidas ao servidor NFS.

    Talvez o RFC 3530 possa explicar melhor:

    § 5.8. Interpretando owner e owner_group

    Os atributos recomendados "owner"e "owner_group"(e também usuários e grupos dentro do atributo "acl") são representados em termos de uma string UTF-8. Para evitar uma representação vinculada a uma implementação subjacente específica no cliente ou servidor, optou-se pelo uso da string UTF-8. Observe que a seção 6.1 de [RFC2624] fornece justificativa adicional. Espera-se que o cliente e o servidor tenham sua própria representação local de owner e owner_group que é usada para armazenamento local ou apresentação ao usuário final. Portanto, espera-se que, quando esses atributos são transferidos entre o cliente e o servidor, a representação local seja traduzida para uma sintaxe da forma "user@dns_domain". Isso permitirá que um cliente e um servidor que não usam a mesma representação local tenham a capacidade de traduzir para uma sintaxe comum que possa ser interpretada por ambos.

    Edite em resposta ao seu imapd.conf.

    Você está usando um mapeamento estático para o usuário local. Você provavelmente deseja mapear as identidades NFSv4 para usuários LDAP, o que provavelmente deveria acontecer pela nsswitchopção, mas aparentemente não é. Você pode tentar ver o que está acontecendo aumentando a verbosidade do idmapd no servidor NFS.

    Como alternativa, configure idmapd para consultar diretamente seu servidor LDAP. A sintaxe exata pode depender da versão que você está usando, mas a página do manual mostra algo parecido com:

    [General]

Verbosity = 0
Domain = domain.org
Local-Realms = DOMAIN.ORG,MY.DOMAIN.ORG,YOUR.DOMAIN.ORG

[Mapping]

Nobody-User = nfsnobody
Nobody-Group = nfsnobody

[Translation]

Method = umich_ldap,nsswitch
GSS-Methods = umich_ldap,static

[Static]
[email protected] = johnny

[UMICH_SCHEMA]   
LDAP_server = ldap.domain.org
LDAP_base = dc=org,dc=domain
    • 2

relate perguntas