Authentification LDAP + montage NFS

sharky_4 · Février 20, 2016, 8:57pm

Bonjour chers debian-eurs.

Je suis actuellement en train de monter un projet (pour ma culture technique perso) de “démo d’accès sécurisé distant”.
Il s’agit en fait de “simuler” un réseau d’entreprise (avec des machines virtuelles vmware), joignable en accès nomade sécurisé.

Dans ce projet, j’avais initialement prévu de monter des partages réseaux et les répertoires /home a l’aide de NIS/NFS que j’ai appris a utiliser en DUT Réseaux et Télécoms.
Seulement un petit tour dans un tuto (histoire de se remettre a jour avant d’entamer des fausses manipulations) m’a permis de voir que nis…niveau sécurité il y avait mieux quand même… (j’en avait déjà un peu conscience quand j’ai vu ca en cours, mais pas autant que là)
Je me suis donc orienté vers une solution avec authentification OpenLDAP couplé à NFS après avoir lu différents tutos la dessus.

-Ma machine cliente est en 172.16.1.99/24 (hostname: pd.demo.intra …original je sais )
-Une gateway interne distingue le réseau “client” du réseau “serveur” et “wan”:
eth0: 172.16.1.254
eth1: 172.16.255.254
eth2: ip wan, pas important ici

-Mon serveur ldap (openldap) est en 172.16.255.250/24 (hostname: ldap.demo.intra)
-Mon serveur nfs (nfs-kernel-server) est 172.16.255.248/24 (hostname: files.demo.intra)

Tous mes serveurs (ldap,nfs,etc…) et la gateway sont sous debian. Pour le client, je me suis servi d’une ubuntu-server qui trainait dans ma vmware-console.

Partie Configuration:

Sur le serveur OpenLDAP:

Voici l’organisation de ma base LDAP:

                           dc=example
								   /
								ou=intra
							   /
							ou=demo
						    ___|_________________________________________________________________________
							|                               |                  						         |
						ou=dpt                         ou=material          					       ou=services	
		               |                           _____|_______________     					     ____|_____
			____________|______________            |         |           | 							 |          |
		  |            |              |           |         |        	|						    ou=groups  ou=export
		 ou=netadmin  ou=helpdesk   ou=commercial |         |           |  								|              \
													         | 		  |			  |								  |      			cn=\
											      ou=clients		ou=servers	ou=etc...  						|
											    ___|____													             |
											   |		  |														         |
										ou=nomad	ou=sedentary				    ____________________________|____
																				        |                  |              |
																	        cn=admin-group    cn=helpdesk-group   cn=commercial-group

Voici le contenu de mon /etc/ldap/slapd.conf

# This is the main slapd configuration file. See slapd.conf(5) for more
# info on the configuration options.

#######################################################################
# Global Directives:

# Features to permit
#allow bind_v2

# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include		/etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include		/etc/ldap/schema/autofs.schema

# Where the pid file is put. The init.d script
# will not stop the server if you change this.
pidfile         /var/run/slapd/slapd.pid

# List of arguments that were passed to the server
argsfile        /var/run/slapd/slapd.args

# Read slapd.conf(5) for possible values
loglevel        none

# Where the dynamically loaded modules are stored
modulepath	/usr/lib/ldap
moduleload	back_hdb

# The maximum number of entries that is returned for a search operation
sizelimit 500

# The tool-threads parameter sets the actual amount of cpu's that is used
# for indexing.
tool-threads 1

#######################################################################
# Specific Backend Directives for hdb:
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
backend		hdb

#######################################################################
# Specific Backend Directives for 'other':
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
#backend		<other>

#######################################################################
# Specific Directives for database #1, of type hdb:
# Database specific directives apply to this databasse until another
# 'database' directive occurs
database        hdb

# The base of your directory in database #1
suffix          "dc=example"

# rootdn directive for specifying a superuser on the database. This is needed
# for syncrepl.
rootdn          "cn=admin,ou=demo,ou=intra,dc=example"
rootpw		secret

# Where the database file are physically stored for database #1
directory       "/var/lib/ldap"

# The dbconfig settings are used to generate a DB_CONFIG file the first
# time slapd starts.  They do NOT override existing an existing DB_CONFIG
# file.  You should therefore change these settings in DB_CONFIG directly
# or remove DB_CONFIG and restart slapd for changes to take effect.

# For the Debian package we use 2MB as default but be sure to update this
# value if you have plenty of RAM
dbconfig set_cachesize 0 2097152 0

# Sven Hartge reported that he had to set this value incredibly high
# to get slapd running at all. See http://bugs.debian.org/303057 for more
# information.

# Number of objects that can be locked at the same time.
dbconfig set_lk_max_objects 1500
# Number of locks (both requested and granted)
dbconfig set_lk_max_locks 1500
# Number of lockers
dbconfig set_lk_max_lockers 1500

# Indexing options for database #1
index           objectClass eq

# Save the time that the entry gets modified, for database #1
lastmod         on

# Checkpoint the BerkeleyDB database periodically in case of system
# failure and to speed slapd shutdown.
checkpoint      512 30

# Where to store the replica logs for database #1
# replogfile	/var/lib/ldap/replog

# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
access to attrs=userPassword,shadowLastChange
        by dn="cn=admin,dc=demo,dc=intra,dc=example" read
	by dn="cn=admin,dc=demo,dc=intra,dc=example" write
        by anonymous auth
        by self write
        by * none

# Ensure read access to the base for things like
# supportedSASLMechanisms.  Without this you may
# have problems with SASL not knowing what
# mechanisms are available and the like.
# Note that this is covered by the 'access to *'
# ACL below too but if you change that as people
# are wont to do you'll still need this if you
# want SASL (and possible other things) to work 
# happily.
access to dn.base="" by * read

# The admin dn has full write access, everyone else
# can read everything.
access to *
        by dn="cn=admin,dc=demo,dc=intra,dc=example" write
        by * read

# For Netscape Roaming support, each user gets a roaming
# profile for which they have write access to
#access to dn=".*,ou=Roaming,o=morsnet"
#        by dn="cn=admin,dc=demo,dc=intra,dc=example" write
#        by dnattr=owner write

#######################################################################
# Specific Directives for database #2, of type 'other' (can be hdb too):
# Database specific directives apply to this databasse until another
# 'database' directive occurs
#database        <other>

# The base of your directory for database #2
#suffix		"dc=debian,dc=org"

Le contenu de mon init_demo.intra.example.ldif:

dn: dc=example
objectclass: dcObject
objectclass: organization
o: example

dn: ou=intra,dc=example
objectclass: organizationalUnit
ou: intra

dn: ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: demo

dn: ou=dpt,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: dpt

dn: ou=netadmin,ou=dpt,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: netadmin

dn: ou=helpdesk,ou=dpt,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: helpdesk

dn: ou=commercial,ou=dpt,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: commercial

dn: ou=material,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: material

dn: ou=servers,ou=material,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: servers

dn: ou=network-passives,ou=material,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: network-passives

dn: ou=switchs,ou=network-passives,ou=material,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: switchs

dn: ou=routers,ou=network-passives,ou=material,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: routers

dn: ou=security-related,ou=network-passives,ou=material,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: security-related

dn: ou=telephony,ou=network-passives,ou=material,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: telephony

dn: ou=clients,ou=material,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: clients

dn: ou=nomads,ou=clients,ou=material,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: nomads

dn: ou=sedentary,ou=clients,ou=material,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: sedentary

dn: ou=services,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: services

dn: ou=nfs,ou=services,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: nfs

dn: ou=groups,ou=services,ou=demo,ou=intra,dc=example
objectclass: organizationalUnit
ou: groups

Le contenu de mon groups.ldif

dn: cn=admin-group,ou=groups,ou=services,ou=demo,ou=intra,dc=example
objectClass: posixGroup
cn: admin-group
gidNumber: 5000
description: Admin group

dn: cn=helpdesk-group,ou=groups,ou=services,ou=demo,ou=intra,dc=example
objectClass: posixGroup
cn: helpdesk-group
gidNumber: 6000
description: Helpdesk group

dn: cn=commercial-group,ou=groups,ou=services,ou=demo,ou=intra,dc=example
objectClass: posixGroup
cn: commercial-group
gidNumber: 7000
description: Commercial group

Le contenu de mon users.ldif (je laisse les mots de passe car il ne s’agit que d’utilisateur test qui seront remplacés ultérieurement)

dn: uid=test-admin,ou=netadmin,ou=dpt,ou=demo,ou=intra,dc=example
objectClass: posixAccount
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: test-admin
cn: test-admin
sn: test-admin
givenName: test-admin
uidNumber: 5000
gidNumber: 5000
homeDirectory: files.demo.intra:/home/test-admin
loginShell: /bin/bash
userPassword: test-admin
mail: test-admin.test-admin@demo.intra
l: France
ou: admin-group

dn: uid=test-helpdesk,ou=helpdesk,ou=dpt,ou=demo,ou=intra,dc=example
objectClass: posixAccount
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: test-helpdesk
cn: test-helpdesk
sn: test-helpdesk
givenName: test-helpdesk
uidNumber: 5001
gidNumber: 6000
homeDirectory: files.demo.intra:/home/test-helpdesk
loginShell: /bin/bash
userPassword: test-helpdesk
mail: test-helpdesk.test-helpdesk@demo.intra
l: France
ou: helpdesk-group

dn: uid=test-commercial,ou=commercial,ou=dpt,ou=demo,ou=intra,dc=example
objectClass: posixAccount
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: test-commercial
cn: test-commercial
sn: test-commercial
givenName: test-commercial
uidNumber: 5002
gidNumber: 7000
homeDirectory: files.demo.intra:/home/test-helpdesk
loginShell: /bin/bash
userPassword: test-commercial
mail: test-commercial.test-commercial@demo.intra
l: France
ou: commercial-group

Le contenu de mon autoumount.ldif

dn: ou=export,ou=nfs,ou=services,ou=demo,ou=intra,dc=example
objectClass: automountMap
ou: export

dn: cn=/,ou=export,ou=nfs,ou=services,ou=demo,ou=intra,dc=example
objectClass: top
objectClass: automount
cn: /
automountInformation: -rw,nfs,hard,intra,nodev,nosuid files.demo.intra:/home/&

Le contenu du autofs.schema

#
# $id$
#
# Depends upon core.schema and cosine.schema

# OID Base is 1.3.6.1.4.1.2312.4
#
# Attribute types are under 1.3.6.1.4.1.2312.4.1
# Object classes are under 1.3.6.1.4.1.2312.4.2
# Syntaxes are under 1.3.6.1.4.1.2312.4.3

# Attribute Type Definitions

attributetype ( 1.3.6.1.1.1.1.25 NAME 'automountInformation'
        DESC 'Information used by the autofs automounter'
        EQUALITY caseExactIA5Match
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

objectclass ( 1.3.6.1.1.1.1.13 NAME 'automount' SUP top STRUCTURAL
        DESC 'An entry in an automounter map'
        MUST ( cn $ automountInformation $ objectclass )
        MAY ( description ) )

objectclass ( 1.3.6.1.4.1.2312.4.2.2 NAME 'automountMap' SUP top STRUCTURAL
        DESC 'An group of related automount objects'
        MUST ( ou ) )

Sur le serveur NFS:

Voici le contenu de mon /etc/exports

# /etc/exports: the access control list for filesystems which may be exported
#		to NFS clients.  See exports(5).
#
# Example for NFSv2 and NFSv3:
# /srv/homes       hostname1(rw,sync,no_subtree_check) hostname2(ro,sync,no_subtree_check)
#
# Example for NFSv4:
# /srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
# /srv/nfs4/homes  gss/krb5i(rw,sync,no_subtree_check)
#

/mnt/intranet	172.16.1.0/24(rw,sync,no_subtree_check,root_squash)
/mnt/test	172.16.1.0/24(rw,sync,no_subtree_check,root_squash)
/home		172.16.1.0/24(rw,sync,no_subtree_check,root_squash)

Voici ce que retourne la commande exportfs:

root@files:~#exportfs
/mnt/intranet            172.16.1.0/24
/mnt/test                172.16.1.0/24
/home                    172.16.1.0/24

Sur la machine cliente:

Le contenu du fichier /etc/nsswitch.conf

Partie test:

Sur la machine cliente:
getent groups me renvoi

root:x:0:

[blablabla]...

notroot:x:1000:

[blablabla]...

snort:x:1001:
admin-group:*:5000:
helpdesk-group:*:6000:
commercial-group:*:7000:

Ensuite je, vérifie mon id, tente un changement d’utilisateur et vérifie l’id avec cet utilisateur:

root@pd:/#id
uid=0(root) gid=0(root) groups=0(root)

root@pd:/#su - test-admin
No directory, logging in with HOME=/

test-admin@pd:/$ pwd
/
test-admin@pd:/$ id
uid=5000(test-admin) gid=5000(admin-group) groups=5000(admin-group)

Pour ce qui est du champ homeDirectory des users (users.ldif) je n’arrive pas a savoir si je dois mettre un chemin “fixe” (/home/nom_du_user) ou si je dois préciser qu’il faut aller chercher ce /home sur le serveur nfs (files.demo.intra:/home/nom_du_user). J’ai essayer les 2, mais sans succès.

Pour le champ automountInformation du automount (automount.ldif) c’est le même problème, chemin fixe (/home/&) ou pointant vers le serveur NFS (files.demo.intra:/home/&) ?

Je n’arrive pas à m’en dépatouiller malgré les différents tutos sur le net (la plupart font tourner le serveur NFS et le serveur OpenLDAP sur la même machine, donc le probleme du chemin vers le /home ne se pose pas…). Est-il possible de faire marcher cette solution en ayant 2 serveurs distincts ? ou dois-je systématiquement faire tourner le serveur OpenLDAP et le serveur NFS sur la même machine ?

thomas.leclerc · Février 20, 2016, 8:57pm

oui

sharky_4 · Février 20, 2016, 8:57pm

Merci de la réponse. Je suppose que si tu réponds celà, c’est que tu l’a bel et bien expérimenté.

Dans ce cas, j’ai penser à une piste:

Les répertoires /home contenus sur le serveur NFS ne sont pas montables car l’utilisateur distant ne bénéficie pas des droits. Dans ce cas comment préciser sur le serveur NFS que le dossier /home/test-admin appartient a l’utilisateur “test-admin” qui est un utilisateur de l’annuaire, et non un utilisateur local?

me parait être une solution, seulement pour ne pas avoir une erreur de “user inconnu” je dois donc préciser au serveur NFS d’utiliser ldap non ?
Autrement sans obliger le serveur NFS à utiliser l’annuaire ldap, en passant par l’uid et le gid c’est possible non ?

Quand aux champs “homeDirectory” des users (users.ldif) “automountInformation” du automount (automount.ldif), je précise quelle adresse ? celle du serveur LDAP ?celle du serveur NFS ? l’adresse du serveur NFS pour “automountInformation” et celle de OpenLDAP pour “homedirectory” ?

PS: je vais jeter un coup d’œil à ton projet d’annuaire LDAP sur ton site, même si tu n’y traite pas nfs mais samba, ca peut toujours servir .

thomas.leclerc · Février 20, 2016, 8:57pm

non

mais c’est dans les cartons . samba me fait chi… et je pense revenir a nfs.

alors effectivement par rapport à ton problme dans ma conf avec samba ce dernier doit bien sur être connecté sur ldap, car le systeme hote lui ne connait pas mes utilisateurs. donc j’immagine que avec nfs c’est pareil, car sinon ça me ferais chi… de connecter le serveur en lui même sur ldap. quoi que tu peux faire en sorte que ton serveur voit les utilisateurs du ldap sans pour autant qu’ils aient de droits sur ce serveur, pas même le droit de se logger.

ursus · Février 20, 2016, 8:57pm

salut,

pour homeDirectory, tu doit pouvoir mettre /home/username et faire un montage (fstab):

files.demo.intra:/home /home nfs defaults 0 0sur les clients.

pour le serveur NFS, il me semble qu’il faut au moins qu’il utilise LDAP pour NSS (ça se fait avec libnss-ldap(d)) et ainsi associer noms d’utilisateurs et droits

enfin, c’est ce que je comprend du truc…

bon courage

thomas.leclerc · Février 20, 2016, 8:57pm

avec cette solution tu montes systématiquement les homes de tous les utilisateurs. il faudra plutôt que le fstab privilégier des solutions a base de pam_mount ou de autofs qui permettent de monter uniquement le home de l’utilisateur au moment du login de celui ci. ainsi il n’y a aucun montage de fait au login des machines, les utilisateurs ‘locaux’ peuvent encore être utilisés sur les postes clients et depuis ton serveur nfs tu sais qui est connecté sur quel poste car tu vois quels homes sont montés sur quels postes clients.

sharky_4 · Février 20, 2016, 8:57pm

Ok, je “reprendrais tout à 0” avec vos indications quand j’en aurais l’occasion. Dans l’immédiat, souhaiter moi bonne chance pour mon entretien de cette aprem.

Pour ce qui est de l’automontage ou non, dans un premier temps si ca marche, ca sera déjà pas mal (que ca soit avec fstab ou avec autofs). Après c’est sur que l’automontage c’est mieux vu que ca ne monte que le /home désiré.

Je vous tiens au jus (ou courant, a vous de voir ).

ursus · Février 20, 2016, 8:57pm

[quote=“thomas.leclerc”][quote=“ursus”]

pour homeDirectory, tu doit pouvoir mettre /home/username et faire un montage (fstab):

files.demo.intra:/home /home nfs defaults 0 0sur les clients.
[/quote]

avec cette solution tu montes systématiquement les homes de tous les utilisateurs. il faudra plutôt que le fstab privilégier des solutions a base de pam_mount ou de autofs qui permettent de monter uniquement le home de l’utilisateur au moment du login de celui ci. ainsi il n’y a aucun montage de fait au login des machines, les utilisateurs ‘locaux’ peuvent encore être utilisés sur les postes clients et depuis ton serveur nfs tu sais qui est connecté sur quel poste car tu vois quels homes sont montés sur quels postes clients.[/quote]
merci pour ces précisions, mais en quoi le montage du home global au lancement de la machine est-il problématique ? performance ?

personnellement, mes utilisateurs ldap ont leur home dans /home/ldapusers/username donc il n’y a pas de conflit avec les utilisateurs locaux éventuels.

bonne chance sharky_4 !

thomas.leclerc · Février 20, 2016, 8:57pm

exactement

de plus (valable pour pam_mout a voir pour autofs) tu peut gerer des montages differenst selon le groupe auquel apartient l’utilisateurs … moi je trouve ça plus cool que de le mettre en dur dans fstab.

et puis tu n’as pas a te prendre la tête avec les droits du dossier qui sert de point d emontage, car ces logiciels font ça très bien.

thomas.leclerc · Février 20, 2016, 9:00pm

@sharky_4

je viens de remonter ma conf avec nfs à la place de samba. j’apprécie la simplication à l’extreme de la conf de openldap. car même si avec samba ça avait l’avantage de fonctionner je n’ ai jamais rien compris (ni pris la peine).

donc si tu as des questions.

sharky_4 · Février 20, 2016, 9:02pm

Désolé du temps de réponse, mais j’ai été un peu occupé ces derniers temps (et un peu démotivé pour ce projet, mais je suis de retour ).

La conf que tu as remonter c’est OpenLdap+NFS sur la même machine ?
Si j’ai bien compris tu fais du Pam+AutoFs en plus de celà?
J’ai lu (en travers) la doc de PAM, ca a l’air très “personnalisable”, mais un peu compliqué a mettre en place non ?

Pour ce qui est de l’erreur “No directory, logging in with HOME=/” c’est résolu. Pour celà j’ai modifier mon users.ldif en remplacant:

par

Il s’agit en fait du répertoire local de la machine.

J’ai ajouter le “/remote” afin d’éviter d’écraser le contenu du home “local” de l’utilisateur, j’ai donc créer manuellement les répertoires “test-admin” et “test-admin/remote” sur la machine cliente. A l’avenir il faudra que je trouve de quoi automatiser la création des /home/ lors de la première création. Il me semble qu’il y a quelque chose qui existe dans conjointement à l’ajout d’autofs dans l’annuaire openldap non ? skeldir ou je ne sais plus quoi…

Je viens de comprendre que la directive homeDirectory représente le point de montage (répertoire local) et non le répertoire distant monté. Donc forcément il pouvait toujours essayer de monter un répertoire local nommé “files.demo.intra:/home/test-admin”, il risquait pas d’y arriver.

Bon, je n’ai plus l’erreur “No directory, logging in with HOME=/”, mais je n’ai pas de montage du home distant vers le “/home/test-admin/remote” pour autant.

Chose bizarre: sur la machine “cliente”, j’ai réussi a créer mes répertoires “test-admin” et “test-admin/remote” et a leur changer de propriétaire pour que “test-admin” (utilisateur ldap) du groupe “admin-group” (groupe ldap) en soit le propriétaire. Pas eu de problème, la commande suivante a marcher sans problème:

Par contre sur le serveur NFS, je n’arrive pas à faire de même pour modifier les droits du “/home/test-admin” qui est censé être le home distant (vis a vis du client). La même commande me renvoie une erreur “usager invalide”.
Pourtant le nsswitch.conf est configuré pour utiliser openldap:

passwd: compat ldap
group: compat ldap
shadow: compat ldap

hosts: files dns
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis ldap

un “getent” sur le serveur NFS ne me renvoie aucun indice comme quoi il interroge le ldap.
Je vais regarder s’il n’y aurais pas un paquet que j’aurais oublier sur le serveur NFS, comme ldap-utils ou libnss-ldap

EDIT: ldap-utils ou libnss-ldap sont déjà installé. J’ai été voir du coté de pam, j’ai modifié mon pam.d/common-auth et pam.d/common-account de façon similaire à celle de ma machine cliente. Malheureusement il n’est toujours pas possible de “chowner” mon répertoire home distant…toujours “usager invalide”.
Je regarderais dans les autres fichiers de pam après avoir dodo, notamment peut être le fichier login.

thomas.leclerc · Février 20, 2016, 9:02pm

[quote=“sharky_4”]
EDIT: ldap-utils ou libnss-ldap sont déjà installé. J’ai été voir du coté de pam, j’ai modifié mon pam.d/common-auth et pam.d/common-account de façon similaire à celle de ma machine cliente. Malheureusement il n’est toujours pas possible de “chowner” mon répertoire home distant…toujours “usager invalide”.
Je regarderais dans les autres fichiers de pam après avoir dodo, notamment peut être le fichier login.[/quote]

les fichiers pam.d : surtout pas sur le serveur.

c’est effectivement libnss-ldap qui doit être mal configuré.

sharky_4 · Février 20, 2016, 9:02pm

ok, je vais essayer de trouver ce qui cloche avec libnss-ldap alors…je te tiens au jus.

ursus · Février 20, 2016, 9:02pm

[quote=“thomas.leclerc”]les fichiers pam.d : surtout pas sur le serveur.[/quote]sauf s’il est aussi client

Sinon, il est conseillé d’utiliser libnss-ldapd plutôt que libnss-ldap car certains bugs (au démarrage notamment) sont corrigés. Son copain libpam-ldapd n’est qu’en testing pour l’instant…

sharky_4 · Février 20, 2016, 9:02pm

ben logiquement le serveur nfs, qui est ici une machine différente du serveur OpenLDAP, est donc bien considérer comme un “client ldap” non ?

ursus · Février 20, 2016, 9:02pm

[quote=“sharky_4”]ben logiquement le serveur nfs, qui est ici une machine différente du serveur OpenLDAP, est donc bien considérer comme un “client ldap” non ?[/quote]ben je dirais que oui.
ceci dit, le serveur ldap peut aussi être client de lui-même…

sharky_4 · Février 20, 2016, 9:02pm

bon, j’avance au fur et a mesure. J’ai réussi à forcer le serveur nfs à utiliser le ldap, je peux donc enfin changer mes droits sur les répertoires.
Par contre je ne sais pas exactement comment ca s’est débloqué, j’ai essayer diverses choses. J’opterais peut être pour le redémarrage de nscd et nscld.

Bon maintenant le problème se situe au niveau du montage:

En effet sur la machine cliente j’ai opté pour la solution suivante:
Les répertoires /home distants sont montés dans “/home/remote”

Je créer donc mon répertoire “/home/remote/test-admin”, j’en fais la propriété du user “test-admin”.
Je configure ensuite mon auto.master en ajoutant:

/home/remote ldap://172.16.255.250/ou=export,ou=nfs,ou=services,ou=demo,ou=intra,dc=example --timeout 5

avec 172.16.255.250 l’adresse ip du serveur ldap

Du coup on voit bien le montage autofs, mais je me retrouve avec un montage “/home/remote” vide.
Du coup quand je me logue en “test-admin”, je retombe a nouveau sur une erreur de “no directory, logging in with HOME=/”

Est ce le contenu de mon auto.master qui est a revoir ? ou l’intrégration d’autofs dans openldap que j’ai peut petre mal fait ?

debcool · Février 20, 2016, 9:02pm

Salut,

OK

Non, pas avant; mais après le montage. Les droit seront “écrasés” par ceux fournit par le serveur nfs.

Essayes ça:

En effet, tu exporte /home, mais c’est /home/remote/test-admin qui t’intèrrèsse.

Maintenant, tu fais ton “chown”.

Ca devrait passer, en tout cas au niveau nfs(“3” sous-entendus).

Ici, j’ai:

SERVEUR nfs:

client nfs:

Droits AVANT montage:

#ls -l /media drwxr-xr-x 2 root root 4,0K sep 25 09:49 user
Droits APRES montage:

Je sais que ce n’est pas via LDAP mais ça résoud le problème de droits au montage(fournis par le serveur nfs!).

En ce qui concerne les options, je n’ai pas encore utilisé un “automonteur” mais j’imagine qu’il est possible de les fournirs lors de la requète auprès du serveur nfs. Elle ne sont pas toutes “forcément utiles ou bonnes”(ce sont des choix personnels ici), sauf “rsize” et “wsize”. Si leurs valeurs sont bien calibrées, elles peuvent radicalement changer les taux de transfert(ici de 17Mo/s à 44/mo/s).

A+

Debcool

sharky_4 · Février 20, 2016, 9:03pm

ok merci, je regarde ca de près demain!

sharky_4 · Février 20, 2016, 9:03pm

Désolé du double post a 1 jour d’intervalle.

Alors j’ai essayer différentes choses:

J’ai effectivement essayer de changer les droits du rep monté “après” le montage, mais rien, je ne vois toujours pas le contenu du /home distant monté (soit le montage est un montage “fantôme”, soit je ne sais pas) toujours avec automount (même réglé pour monter le /home/test-admin distant au lieu de juste /home ).
j’ai tenter un montage “direct” sans passer par ldap avec la commande:

ca semble monté. Je check avec mount et je vois bien:

je tente un

root@pd#ls /home/remote/test-admin
ls: cannot acess /home/remote/test-admin/test-admin.txt: permission denied
test-admin.txt

Donc problème de permission, mais il me liste quand même le contenu et y trouve bien le fichier .txt de test

on étend un peu le ls:

root@pd#ls -lah /home/remote/test-admin
ls: cannot acess /home/remote/test-admin/test-admin.txt: permission denied
ls: cannot acess /home/remote/test-admin/..: permission denied
ls: cannot acess /home/remote/test-admin/.bash_history: permission denied
ls: cannot acess /home/remote/test-admin/.: permission denied
total 0
d????????? ? ? ? ?  ? .
d????????? ? ? ? ?  ? ..
-????????? ? ? ? ?  ? .bash_history
?????????? ? ? ? ?  ? test-admin.txt

bon, vu que je suis en root sur le client, mais pas sur le montage nfs (directive “root_squash”) ca parait normal de ne pas avoir les droits(et c’est temps mieux d’un point de vue sécurité), ni même de lister les droits des répertoires montés (car par contre je trouve ca bizarre, mais je suppose que c’est normal aussi en fait).

Je change d’utilisateur(ayant les droits adéquats) et je revérifie:

root@pd#su - test-admin
test-admin@pd~$whoami
test-admin
test-admin@pd~$pwd
/home/remote/test-admin
test-admin@pd~$ls
test-admin.txt
test-admin@pd~$ls -lah
total 16K
drwxrwSrw- 2 test-admin admin-group 4.0k  2009-11-18 03:32 .
drwxr-xr-x 5 roo root 4.0k  2009-11-17 16:58 ..
-rw------- 1 test-admin admin-group 4.0k  2009-11-18 03:32 .bash_history
-rw-r--r-- 1 test-admin admin-group 4.0k  2009-11-01 13:20 test-admin.txt

Ça s’annonce plutôt pas mal…

J’essaie ensuite de visualiser le fichier (oui j’ai un "humour de merde de geek"concernant le contenu des fichiers test^^):

test-admin@pd~$cat test-admin.txt
bien joué petit admin en herbe

et d’écrire dedans (toujours le même “humour de merde de geek” ^^)

test-admin@pd~$echo "vive windows(nan je rigole)" >> test-admin.txt
test-admin@pd~$cat test-admin.txt
bien joué petit admin en herbe
vive windows(nan je rigole)

Visiblement le montage manuel du /home/test-admin distant dans /home/remote/test-admin se fait bien, mais quand il faut passer par autofs+openldap, ca ne marche pas (ou du moins j’ai aucune erreur, mais un répertoire monté “fantôme” qui ne reflète en fait pas le /home distant du serveur nfs).

Une idée ?