KRB5 + NFSv4 + Apache userdir

Linux-haladó

Sziasztok,

a következő rendszert szeretném kialakítani:
- korlátozottan elérhető szerver NFSv4-en oszt ki tárhelyet kerberos védelemmel
- széleskörűen használható kliensen ez mountolva van mint userhome terület (szóval igazából egy shellszerver a "kliens")
- kliensre userek pam_krb5.so segítségével beléphetnek
- az egész mögött a címtár szerepét egy Active Directory látja el
- ezen felül a kliensen fut egy Apache, amelynél szeretném ha mod_userdir segítségével kiosztaná a userek public_html -ének tartalmát

Az utolsó pont kivételével már jól működik minden, userek be tudnak lépni a "kliensre", meg is kapják a ticketüket, elérik a fájlaikat.
Azonban az Apache-t az istenért nem tudom rávenni az utolsó pontban írt működésre, a userdirre permission denied-t dob (úgy tűnik hogy nem tud magának ticketet kérni). Van egy kerberos keytabem, benne HTTP/fqdn principallal (és persze AD-ban is fel van véve), apache esetén auth_kerb -bel próbáltam valami előrelépés elérni, de nem igazán sikerült.
Ha su-zok a www-data userre és ott kinit paranccsal autholok a keytab segítségével (a fenti pricipallal), akkor az apache eléri a fájlokat a ticket lejártáig.

Ötlet, hogy hogy lehetne megoldani az apache számára az automatikus keytab használatot és ezzel a public_html -k elérését?

  • 2561 megtekintés

( johans | 2012. 05. 13., v – 06:45 )

NFSv4 alatt kerberos ticket nélkül nem látszanak a user fájljai, így a public_html tartalma sem. Az apache azért dob permission denied-ot, mert a directory, amire hivatkozik a kerberos ticket lejárata után egyszerűen nem létezik.

Alapvetően két lehetőséged van ennek a kezelésére. Az egyik, hogy azon a szerveren installálsz apache-ot, ahol a user home-ok fizikailag vannak, nem ott, ahova fel vannak mountolva NFS-sel. Ezzel némi hálózati sávszélességet is megtakarítasz. Ha mindenképpen azon a gépen akarod a public_html-eket kiajánlani, ahol NFS-sel van mountolva a könyvtár, akkor annyit lehet csinálni, hogy a renewable life -ot felvenni valami extrém magas értékre, mondjuk 1-2 hónapra, és crontabból kinit -R -rel folyamatosan megújítani az egyszer megszerzett ticketet (a ticket password nélkül megújítható ha még nem járt le sem a lifetime, sem a renewable life). De le fogom tagadni, hogy én javasoltam ezt.