CentOS 6 + LDAP + NFS. La properties; dei file è bloccata su "nessuno"

Ho cercato di get l'authentication LDAP e le directory home di NFS esportte su CentOS 6 per alcuni giorni. Sono arrivato al punto che posso ora accedere alla macchina client usando il nome utente e la password in LDAP. Sul client, / home e / opt sono montati nel fstab su NFS. Tuttavia, each file in entrambi / opt e / home è di properties; di nobody:nobody (uid: 99, gid: 99) sul client.

Tuttavia il mio uid e gid sembrano essere impostati correttamente:

 -bash-4.1$ id uid=3000(myusername) gid=3000(employees) groups=3000(employees) 

Cosa posso controllare? Ecco alcuni file di configuration sul mio client:

/etc/nsswitch.conf

 passwd: files sss shadow: files sss group: files sss hosts: files dns bootparams: nisplus [NOTFOUND=return] files ethers: files netmasks: files networks: files protocols: files rpc: files services: files netgroup: files sss publickey: nisplus automount: files ldap aliases: files nisplus 

/etc/sssd/sssd.conf

 [sssd] config_file_version = 2 services = nss, pam domains = default [nss] [pam] [domain/default] auth_provider = ldap ldap_id_use_start_tls = True chpass_provider = ldap cache_credentials = True krb5_realm = EXAMPLE.COM ldap_search_base = dc=mycompany,dc=com id_provider = ldap ldap_uri = ldaps://server.subdomain.mycompany.com krb5_kdcip = kerberos.example.com ldap_tls_cacertdir = /etc/openldap/cacerts # Configure client certificate auth. ldap_tls_cert = /etc/openldap/cacerts/client.pem ldap_tls_key = /etc/openldap/cacerts/client.pem ldap_tls_reqcert = demand 

/ etc / fstab

 /dev/mapper/vg_main-lv_root / ext4 defaults 1 1 UUID=4e43a15d-4dc0-4836-8fa6-c3445fde756c /boot ext4 defaults 1 2 /dev/mapper/vg_main-lv_swap swap swap defaults 0 0 tmpfs /dev/shm tmpfs defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 sysfs /sys sysfs defaults 0 0 proc /proc proc defaults 0 0 storage1:/nas/home /home nfs soft,intr,rsize=8192,wsize=8192 storage1:/nas/opt /opt nfs soft,intr,rsize=8192,wsize=8192 

output authconfig:

 [root@test1 ~]# authconfig --test caching is disabled nss_files is always enabled nss_compat is disabled nss_db is disabled nss_hesiod is disabled hesiod LHS = "" hesiod RHS = "" nss_ldap is enabled LDAP+TLS is enabled LDAP server = "ldaps://server.subdomain.mycompany.com" LDAP base DN = "dc=mycompany,dc=com" nss_nis is disabled NIS server = "" NIS domain = "" nss_nisplus is disabled nss_winbind is disabled SMB workgroup = "" SMB servers = "" SMB security = "user" SMB realm = "" Winbind template shell = "/bin/false" SMB idmap uid = "16777216-33554431" SMB idmap gid = "16777216-33554431" nss_sss is disabled by default nss_wins is disabled nss_mdns4_minimal is disabled DNS preference over NSS or WINS is disabled pam_unix is always enabled shadow passwords are enabled password hashing algorithm is sha512 pam_krb5 is disabled krb5 realm = "EXAMPLE.COM" krb5 realm via dns is disabled krb5 kdc = "kerberos.example.com" krb5 kdc via dns is disabled krb5 admin server = "kerberos.example.com" pam_ldap is enabled LDAP+TLS is enabled LDAP server = "ldaps://server.subdomain.mycompany.com" LDAP base DN = "dc=mycompany,dc=com" LDAP schema = "rfc2307" pam_pkcs11 is disabled use only smartcard for login is disabled smartcard module = "" smartcard removal action = "" pam_fprintd is enabled pam_winbind is disabled SMB workgroup = "" SMB servers = "" SMB security = "user" SMB realm = "" pam_sss is disabled by default credential caching in SSSD is enabled SSSD use instead of legacy services if possible is enabled pam_cracklib is enabled (try_first_pass retry=3 type=) pam_passwdqc is disabled () pam_access is disabled () pam_mkhomedir or pam_oddjob_mkhomedir is enabled () Always authorize local users is enabled () Authenticate system accounts against network services is disabled 

  • Autenticazione SSSD al dominio di Windows senza @ domain.com ovunque
  • I server Linux che utilizzano AD / Kerberos per l'authentication / authorization necessitano di conti di computer?
  • sssd: C'è un modo per forzare una shell specifica per alcuni membri del gruppo?
  • Autenticazione Kerberos SSSD vs AD
  • La sincronizzazione di SSSD AD non riesce dopo la modifica di UPN di Active Directory
  • La directory di installazione SSSD è vuota
  • È ansible utilizzare Kerberos su TLS tramite sssd?
  • Come integrare Active Directory con FreeBSD 10.0 utilizzando security / sssd?
  • 6 Solutions collect form web for “CentOS 6 + LDAP + NFS. La properties; dei file è bloccata su "nessuno"”

    Una nota da aggiungere a questi per i cercatori di Google – abbiamo avuto lo stesso problema in cui non import ciò che abbiamo fatto, il mount nfs non mappare gli ID utente correttamente.

    Il problema era che idmapd aveva memorizzato nella cache gli id ​​errori dalla configuration difettosa, e nessun fixing della configuration lo ordinava.

    Il command su centos per risolvere questo problema era nfsidmap -c (clear cache).

    Speriamo che questo aiuti un certo cercatore disparato ..

    Risolto!

    Mi sono accorti di notare questa row in /var/log/messages sul mio server NFS quando stavo tentando di montare un'esportzione dal client remoto:

     Feb 28 15:54:02 storage1 rpc.idmapd[1651]: nss_getpwnam: name 'nobody' does not map into domain 'localdomain' 

    Questo mi ha fatto vedere le prime righe di /etc/idmapd.conf :

     [General] #Verbosity = 0 # The following should be set to the local NFSv4 domain name # The default is the host's DNS domain name. #Domain = local.domain.edu 

    Ho poi aggiunto Domain=subdomain.mycompany.com sotto la linea commentata "Domain". Salvato, uscito e quindi eseguito /etc/init.d/rpcidmapd restart e /etc/init.d/nfs restart .

    Ho trovato un post sul blog che potrebbe risolvere il tuo problema: http://whacked.net/2006/07/26/nfsv4nfs-mapid-nobody-domain/ che ho trovato dal seguente post sul forum: https: //www.centos. org / modules / Newbb / viewtopic.php? topic_id = 32977

    Il tuo server NFS esegue Centos / RHEL 5 con qualsiasi possibilità?

    In caso affermativo, esport NFSv3. NFSv4 è ora l'impostazione predefinita per Centos6 (e recenti varianti Ubuntu).

    La soluzione rapida è aggiungere "vers = 3" nelle opzioni di assembly in / etc / fstab.

    per esempio

    //10.0.0.1:/home / home nfs default, vers = 3, rw, noatime 0 0

    Tutto che viene mappato su "nessuno" suona come all_squash è acceso.

    Dare un'occhiata a:

    http://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-nfs-server-config-exports.html

    e verificare che il file / etc / exports del server NFS non squilli involontariamente gli UID. suppone che "no_all_squash" sia l'impostazione predefinita, ma puoi provare ad impostarla esplicitamente e vedere cosa succede.

    La soluzione per me è assicurarsi che esista il record DNS per la macchina locale. Aiuta anche se esiste anche il record di ricerca inversa. Di conseguenza, nessuno utente e gruppo sono stati sostituiti da root. Quanto è semplice?!? PS ricordarsi di riavviare la macchina locale una volta che i record DNS vengono creati.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.