Регистрация Войти
Рейтинг:0
avatar Server

Openldap and nfserver, both work although /home/user cannot be created unless I log into the nfserver first with new ldapusers

флаг in
Codejoy

I have an openldap server I set up on cent os 7. I blended it to work with all my other VMs that mount a nfs mount from a nfs server for their /home.

I just figured out that if I create a new ldap user, and try to log into some VM it lets me login but states how it cannot create /home/user and is unable to chngdir to it.

But I also learned if I first ssh user@mynfsserver It logs in, creates the appropriate /home/user and then after that I can ssh to any other VM with my ldapuser and it works just fine no longer complains about being able to not create the folder in home for said user.

I use autofs on each VM with a home.map file, it looks to have the right permissions:

* -fstype=nfs,rw,nosuid,soft 10.10.1.139:/home/&

so this feels like some sort of permission issue with users getting errors logging into a VM with their newly created ldap credentials. But if that same user logs into the 10.10.1.139 (nfs server where home is mapped from), then it seems to let them log into the VMs with no unable to create /home/user errors anymore.

Does my openldap server have to be made aware of the nfs server somehow?

Aside from the hiccup of having to log into the nfs server first, I can goto another VM touch a file in that home folder and bingo it is on any other VM I log into. So it is like 95% working, just annoying to have to first log into nfserver with ldap user to make the /home/user creation work on other VMs first.

123
1 + 2
Sethos II avatar
флаг jp
Sethos II
Можете ли вы опубликовать строку для вашего дома из `/etc/exports` на сервере nfs? Я думаю, вам может понадобиться добавить туда опцию `no_root_squash`, потому что команда создания для домашнего каталога запускается пользователем root, и без этой опции она сопоставляется с анонимным пользователем и, следовательно, не имеет на это прав. См. справочную страницу для экспорта в User ID Mapping для получения подробной информации.
0
Ответить
флаг in
Codejoy
/дом 10.10.1.0/24(право)
0
Ответить
Рейтинг:1
Sethos II avatar Server
флаг jp
Sethos II

Автоматическое создание новых домашних каталогов выполняется пользователем root, но по умолчанию root сопоставляется с анонимным пользователем при монтировании nfs, поэтому домашний каталог нельзя создать на всех клиентах nfs. Добавлять no_root_squash к вашей линии в /etc/экспорт на вашем сервере nfs, чтобы отключить это и запустить sudo exportfs -ra чтобы изменения вступили в силу. Итак, на основе вашего комментария это должно выглядеть так:

/home 10.10.1.0/24(RW,no_root_squash)

Это позволит root-доступ к смонтированной файловой системе nfs на всех клиентах.

Однако это имеет некоторые последствия. На справочной странице exportfs:

Сопоставление идентификатора пользователя

nfsd основывает свой контроль доступа к файлам на сервере на uid и gid, предоставляемых в каждом запросе NFS RPC. Обычное поведение, которого ожидает пользователь, состоит в том, что он может получить доступ к своим файлам на сервере так же, как и в обычной файловой системе. Для этого необходимо, чтобы на клиенте и сервере использовались одни и те же идентификаторы uid и gid. Это не всегда верно и не всегда желательно.

Очень часто нежелательно, чтобы пользователь root на клиентской машине также рассматривался как пользователь root при доступе к файлам на сервере NFS. С этой целью uid 0 обычно сопоставляется с другим id: так называемым анонимным или никем uid. Этот режим работы (называемый `root squashing') используется по умолчанию, и его можно отключить с помощью no_root_squash.

По умолчанию exportfs выбирает uid и gid 65534 для ограниченного доступа. Эти значения также могут быть переопределены параметрами anunid и anongid. Наконец, вы можете сопоставить все пользовательские запросы с анонимным uid, указав опцию all_squash.

0 + 2
флаг in
Codejoy
Итак, могу ли я добавить эту строку в свой файл экспорта, а затем запустить exportfs? и это будет работать или надо перезагрузить сервер nfs?
0
Ответить
Sethos II avatar
флаг jp
Sethos II
@Codejoy: Да, вам нужно запустить `exportfs` (я также обновил это в ответе), и изменения вступят в силу немедленно, перезагрузка не требуется.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.