[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:55229] nfs4とautomountの組み合わせでアクセスコントロール

From: Adachi Junichi <adachi@xxxxxxxxxxx>
Subject: [debian-users:55229] nfs4とautomountの組み合わせでアクセスコントロール
Date: Mon, 16 May 2011 17:00:24 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-asj-arrival-ip: 114.186.132.60
X-asj-received-spf: pass (send with smtp authentication by adachi%seiai.ed.jp@xxxxxxxxxxxxxx)
X-asj-scan-id: <1305532824.648772.28989@xxxxxxxxxxxxxxxxxxx>
X-asj-smtp-authentication: adachi@xxxxxxxxxxx
X-asj-track-id: <20110516080024.28996.qmail@xxxxxxxxxxxxxxxxxxx>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.2.5 (2008-06-10) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.4 required=10.0 tests=KI autolearn=disabled version=3.2.5
X-virus-scanned: ASJ KMsrv Virus Check Process 08041001
Message-id: <4DD0D997.3030302@xxxxxxxxxxx>
X-mail-count: 55229
User-agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.16) Gecko/20110506 Icedove/3.0.11

安達です
現在ログイン時にpam_mountによりsmb/cifsで
サーバーのユーザーホームをマウントするシステムを運用しています。
ログイン認証は同じサーバーのldapを使います。
同じパスワードでユーザーホームへのアクセス権も獲得します。
この方式ではユーザー名とパスワードを知らなければ
他のユーザーのユーザーホームにアクセスできません。

これをnfs4とautomountの組み合わせに移行しようとしてテストしております。

現在までのところ。uidが等しいユーザーであれば
そのuidのユーザーとしての権限を持つというnfsv3時代と同様の状態です。
具体的にはknoppixなどCD起動のLinuxでuidが一致するユーザーを
作ればユーザー名が違ってもパスワードなしで読み書きできてしまいます。

サーバーにアカウントのあるユーザーだけが
アクセスできるようにしたいのですが、
nfsv4はKerberos認証を組み合わさなければこれができないのでしょうか。

サーバー側
# cat /etc/exports
/home 		10.0.0.0/8(rw,fsid=0,root_squash,no_subtree_check)

サーバー側・クライアント側共通
# cat /etc/idmapd.conf
[General]

Verbosity = 0
Pipefs-Directory = /var/lib/nfs/rpc_pipefs
Domain = stseiai

[Mapping]

Nobody-User = nobody
Nobody-Group = nogroup

クライアント側
$ cat /etc/auto.master
/home        /etc/auto.home

$ cat /etc/auto.home
*        -fstype=nfs4        10.10.10.1:/&

nsswitch.conf には次の部分にだけldapを入れました。
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap




-- 
  ADACHI Junichi
  安達 順一
  adachi@xxxxxxxxxxx
  http://seiai.ed.jp

Prev by Date: [debian-users:55228] [Translate] [SECURITY] [DSA 2237-1] apr security update
Next by Date: [debian-users:55230] Squeezeで同時に複数のアプリケーションから音声を再生するには？
Previous by thread: [debian-users:55228] [Translate] [SECURITY] [DSA 2237-1] apr security update
Next by thread: [debian-users:55230] Squeezeで同時に複数のアプリケーションから音声を再生するには？
Index(es):
- Date
- Thread