înregistrare Logare
Puncte:0
avatar Server

Openldap and nfserver, both work although /home/user cannot be created unless I log into the nfserver first with new ldapusers

drapel in
Codejoy

I have an openldap server I set up on cent os 7. I blended it to work with all my other VMs that mount a nfs mount from a nfs server for their /home.

I just figured out that if I create a new ldap user, and try to log into some VM it lets me login but states how it cannot create /home/user and is unable to chngdir to it.

But I also learned if I first ssh user@mynfsserver It logs in, creates the appropriate /home/user and then after that I can ssh to any other VM with my ldapuser and it works just fine no longer complains about being able to not create the folder in home for said user.

I use autofs on each VM with a home.map file, it looks to have the right permissions:

* -fstype=nfs,rw,nosuid,soft 10.10.1.139:/home/&

so this feels like some sort of permission issue with users getting errors logging into a VM with their newly created ldap credentials. But if that same user logs into the 10.10.1.139 (nfs server where home is mapped from), then it seems to let them log into the VMs with no unable to create /home/user errors anymore.

Does my openldap server have to be made aware of the nfs server somehow?

Aside from the hiccup of having to log into the nfs server first, I can goto another VM touch a file in that home folder and bingo it is on any other VM I log into. So it is like 95% working, just annoying to have to first log into nfserver with ldap user to make the /home/user creation work on other VMs first.

123
1 + 2
nfs
fba
Sethos II avatar
drapel jp
Sethos II
Puteți posta linia pentru casa dvs. de la `/etc/exports` pe serverul nfs? Cred că ar putea fi necesar să adăugați opțiunea `no_root_squash` acolo, deoarece comanda create pentru directorul de acasă este rulată de root și fără opțiune este mapată la utilizatorul anonim și, prin urmare, nu are permisiuni pentru a face acest lucru. Consultați pagina de manual pentru exporturi în Maparea ID utilizator pentru detalii.
0
Răspunde
drapel in
Codejoy
/home 10.10.1.0/24(rw)
0
Răspunde
Puncte:1
Sethos II avatar Server
drapel jp
Sethos II

Crearea automată a noilor directoare home se face de către root, dar implicit root este mapat la utilizatorul anonim pe monturile nfs și, prin urmare, directorul principal nu poate fi creat pe toți clienții nfs. Adăuga no_root_squash la rândul tău în /etc/exports pe serverul tău nfs pentru a dezactiva acest lucru și a rula sudo exportfs -ra pentru ca modificările să intre în vigoare. Deci, pe baza comentariului tău, ar trebui să arate așa:

/home 10.10.1.0/24(rw,no_root_squash)

Acest lucru va permite accesul root la sistemul de fișiere nfs montat pe toți clienții.

Cu toate acestea, acest lucru are unele implicații. Din pagina de manual exportfs:

Maparea ID-ului utilizatorului

nfsd își bazează controlul accesului la fișierele de pe mașina server pe uid și gid furnizate în fiecare solicitare NFS RPC. Comportamentul normal la care s-ar aștepta un utilizator este că își poate accesa fișierele de pe server așa cum ar face-o pe un sistem de fișiere normal. Acest lucru necesită ca aceleași uid-uri și gid-uri să fie utilizate pe client și pe mașina server. Acest lucru nu este întotdeauna adevărat și nici nu este întotdeauna de dorit.

Foarte des, nu este de dorit ca utilizatorul root de pe o mașină client să fie tratat și ca root atunci când accesează fișierele de pe serverul NFS. În acest scop, uid 0 este în mod normal mapat la un id diferit: așa-numitul uid anonim sau nimeni. Acest mod de operare (numit „root squashing”) este implicit și poate fi dezactivat cu no_root_squash.

În mod implicit, exportfs alege un uid și un gid de 65534 pentru accesul restrâns. Aceste valori pot fi înlocuite și de opțiunile anonuid și anongid. În cele din urmă, puteți mapa toate solicitările utilizatorilor la uid-ul anonim specificând opțiunea all_squash.

0 + 2
drapel in
Codejoy
Deci pot adăuga acea linie la fișierul meu de export și apoi rulez exportfs? și va funcționa sau trebuie să repornesc serverul nfs?
0
Răspunde
Sethos II avatar
drapel jp
Sethos II
@Codejoy: Da, trebuie să rulați `exportfs` (am actualizat și asta în răspuns) și modificările intră în vigoare imediat, nu este nevoie de o repornire.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.