Я борюсь с этим уже несколько дней, и мне повезло, что окна не открываются слишком широко ;-). Я собираю новую инфраструктуру и пытаюсь заставить автомонтирование NFS работать на Ubuntu с FreeIPA, также на Ubuntu. У меня идентификация и обслуживание имен работают отлично; я могу сделать "id student" (student - мой тестовый пользователь) как на сервере NFS, так и на клиентской машине, и я получаю одинаковые значения для uid, gid и групп, которые явно приходят из FreeIPA. Я могу подключиться по ssh к тестовой клиентской машине как student, где учетная запись не определена, и использовать пароль из FreeIPA для входа.
Вот тут-то и начинается странность: «студенту» отказано в доступе к его домашнему каталогу, хотя попытка получить к нему доступделаетзаставляют его автоматически монтироваться. Если я пытаюсь получить доступ к /home/student как любой пользователь, кроме root (включая пользователя "student"), я получаю отказ в доступе. Однако root может видеть его и при желании осматриваться внутри. Еще более странно, что запуск 'df' как student показывает только локальные монтирования, но 'df' как root в то же время показывает смонтированный NFS /home/student вместе со всем остальным:
смонтированный дом невидим для владельца, виден только пользователю root
Среди других ресурсов я в основном использовал это в качестве руководстваоб использовании FreeIPA с NFS в Ubuntu
Файл /etc/exports моего сервера NFS содержит:
/home *(rw,sec=sys:krb5:krb5i:krb5p)
Я добавил следующую строку в файл /etc/auto.master моего клиента:
/home /etc/auto.home
А auto.home содержит это:
* -fstype=nfs4,rw,sec=krb5,soft,rsize=8192,wsize=8192 nfs.XXXXXX:/home/&
Предположительно ipa-client-automount настраивает nsswitch.conf и еще пару файлов, которых, похоже, нет в Ubuntu, поэтому сложно определить влияние. Логи мне не говорят многого.
Я изучил инструкции Ubuntu по выполнению автоматического монтирования с помощью LDAP, но, похоже, для этого потребуются изменения, которые сделают работу FreeIPA невозможной.
Я чувствую, что я довольно близок к этому; монтирование происходит, но где-то личность пользователя, похоже, теряется, и предоставляются разрешения на просмотр файлов, которые в противном случае можно было бы просматривать. Это звучит как что-то знакомое?