joe2017
Anmeldungsdatum: 24. Juli 2017
Beiträge: 146
|
Ich versuche aktuell meine Benutzer Verzeichnisse /home/users/$USER als Servergespeicherte Profile auf meinem NFS Server zu mounten. Hierzu habe ich eine Verzeichnis (/data/home/users/) angelegt und in meiner /etc/exports folgenden Eintrag erstellt:
/files/home/users gss/krb5i(rw,sync,no_subtree_check) Auf meinem Client habe ich in der /etc/fstab folgenden Eintrag erstellt:
SERVER:/files/home/users /home/users nfs4 sec=krb5i,rw,sync,nouser 0 0 Auf meinem NFS Server werden jetzt bei einer Client Anmeldung die Verzeichnisse /home/users/$USER angelegt, jedoch erfolgt keine abgeschlossene Anmeldung.
Wenn ich auf meinem Server in das $USER Verzeichnis schaue sehe ich lediglich eine Datei examples.desktop. Was mache ich hier falsch?
|
koelner
Anmeldungsdatum: 22. Juni 2006
Beiträge: 307
Wohnort: Zweibrücken
|
joe2017 schrieb:
Hierzu habe ich eine Verzeichnis (/data/home/users/) angelegt und in meiner /etc/exports folgenden Eintrag erstellt:
/files/home/users gss/krb5i(rw,sync,no_subtree_check)
Du solltest Dich entscheiden "/data/..." oder "/files/...
|
joe2017
(Themenstarter)
Anmeldungsdatum: 24. Juli 2017
Beiträge: 146
|
Mein Fehler! Natürlich steht überall /files Jedoch besteht das Problem nach wie vor.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
joe2017 schrieb: Auf meinem NFS Server werden jetzt bei einer Client Anmeldung die Verzeichnisse /home/users/$USER angelegt, jedoch erfolgt keine abgeschlossene Anmeldung.
Was soll "es erfolgt keine abgeschlossene Anmeldung" bedeuten?
Wenn ich auf meinem Server in das $USER Verzeichnis schaue sehe ich lediglich eine Datei examples.desktop.
Was erwartest du denn stattdessen?
|
joe2017
(Themenstarter)
Anmeldungsdatum: 24. Juli 2017
Beiträge: 146
|
Mein Client versucht eine Anmeldung durchzuführen, legt auf dem NFS Serververzeichnis auch ein $USER Folder an, kehrt jedoch anschließend wieder zum Anmeldebildschirm zurück. Ich möchte meine $USERPROFILE auf dem Server speichern und ging davon aus, dass die $USER ihr Profil auf diesem anlegen falls nicht vorhanden.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
joe2017 schrieb: Mein Client versucht eine Anmeldung durchzuführen, legt auf dem NFS Serververzeichnis auch ein $USER Folder an, kehrt jedoch anschließend wieder zum Anmeldebildschirm zurück.
Funktioniert die Anmeldung beim zweiten Versuch? Ich kann mir nicht vorstellen, dass das am NFS liegt, zumal das Homeverzeichnis ja angelegt wird.
Ich möchte meine $USERPROFILE auf dem Server speichern und ging davon aus, dass die $USER ihr Profil auf diesem anlegen falls nicht vorhanden.
Das ist auch so. Wie sieht denn deine /etc/adduser.conf aus?
|
joe2017
(Themenstarter)
Anmeldungsdatum: 24. Juli 2017
Beiträge: 146
|
Ich muss noch dazu erwähnen, dass ich mich an einem LDAP Server mit Kerberos Authentification anmelde.
Der Zugriff auf meinen NFS Server funktioniert jedoch bereits. Ich habe schon andere Ordner gemountet. Ich ging eigentlich davon aus, dass dies ohne Probleme einzurichten ist. Könnte evtl. meine LDAP'S' Verbindung ein Problem darstellen? Ich verschlüssel die Anmeldung am LDAP Server mit ECC-384.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
misterunknown schrieb: Funktioniert die Anmeldung beim zweiten Versuch? Wie sieht denn deine /etc/adduser.conf aus?
joe2017 schrieb: Könnte evtl. meine LDAP'S' Verbindung ein Problem darstellen?
Möglich. Was steht denn im auth.log ?
|
joe2017
(Themenstarter)
Anmeldungsdatum: 24. Juli 2017
Beiträge: 146
|
Also ich habe das ganze noch einmal getestet. Aktuell wird nicht einmal das $USER Verzeichnis angelegt? adduser.conf (CLIENT) diese hab ich nicht verändert!
# /etc/adduser.conf: `adduser' configuration.
# See adduser(8) and adduser.conf(5) for full documentation.
# The DSHELL variable specifies the default login shell on your
# system.
DSHELL=/bin/bash
# The DHOME variable specifies the directory containing users' home
# directories.
DHOME=/home
# If GROUPHOMES is "yes", then the home directories will be created as
# /home/groupname/user.
GROUPHOMES=no
# If LETTERHOMES is "yes", then the created home directories will have
# an extra directory - the first letter of the user name. For example:
# /home/u/user.
LETTERHOMES=no
# The SKEL variable specifies the directory containing "skeletal" user
# files; in other words, files such as a sample .profile that will be
# copied to the new user's home directory when it is created.
SKEL=/etc/skel
# FIRST_SYSTEM_[GU]ID to LAST_SYSTEM_[GU]ID inclusive is the range for UIDs
# for dynamically allocated administrative and system accounts/groups.
# Please note that system software, such as the users allocated by the base-passwd
# package, may assume that UIDs less than 100 are unallocated.
FIRST_SYSTEM_UID=100
LAST_SYSTEM_UID=999
FIRST_SYSTEM_GID=100
LAST_SYSTEM_GID=999
# FIRST_[GU]ID to LAST_[GU]ID inclusive is the range of UIDs of dynamically
# allocated user accounts/groups.
FIRST_UID=1000
LAST_UID=59999
FIRST_GID=1000
LAST_GID=59999
# The USERGROUPS variable can be either "yes" or "no". If "yes" each
# created user will be given their own group to use as a default. If
# "no", each created user will be placed in the group whose gid is
# USERS_GID (see below).
USERGROUPS=yes
# If USERGROUPS is "no", then USERS_GID should be the GID of the group
# `users' (or the equivalent group) on your system.
USERS_GID=100
# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0755
# If SETGID_HOME is "yes" home directories for users with their own
# group the setgid bit will be set. This was the default for
# versions << 3.13 of adduser. Because it has some bad side effects we
# no longer do this per default. If you want it nevertheless you can
# still set it here.
SETGID_HOME=no
# If QUOTAUSER is set, a default quota will be set from that user with
# `edquota -p QUOTAUSER newuser'
QUOTAUSER=""
# If SKEL_IGNORE_REGEX is set, adduser will ignore files matching this
# regular expression when creating a new home directory
SKEL_IGNORE_REGEX="dpkg-(old|new|dist|save)"
# Set this if you want the --add_extra_groups option to adduser to add
# new users to other groups.
# This is the list of groups that new non-system users will be added to
# Default:
#EXTRA_GROUPS="dialout cdrom floppy audio video plugdev users"
# If ADD_EXTRA_GROUPS is set to something non-zero, the EXTRA_GROUPS
# option above will be default behavior for adding new, non-system users
#ADD_EXTRA_GROUPS=1
# check user and group names also against this regular expression.
#NAME_REGEX="^[a-z][-a-z0-9_]*\$"
# use extrausers by default
#USE_EXTRAUSERS=1 auth.log (CLIENT)
Mar 16 14:51:29 UbuntuClient systemd-logind[709]: New session c3 of user gdm.
Mar 16 14:51:29 UbuntuClient systemd-logind[709]: Removed session c2.
Mar 16 14:51:29 UbuntuClient gdm-launch-environment]: pam_unix(gdm-launch-environment:session): session opened for user gdm by (uid=0)
Mar 16 14:51:29 UbuntuClient polkitd(authority=local): Registered Authentication Agent for unix-session:c3 (system bus name :1.99 [/usr/bin/gnome-shell], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_DE.UTF-8)
Mar 16 14:53:03 UbuntuClient systemd-logind[709]: Removed session 2.
Mar 16 14:53:18 UbuntuClient gdm-password]: PAM unable to dlopen(pam_foreground.so): /lib/security/pam_foreground.so: Kann die Shared-Object-Datei nicht öffnen: Datei oder Verzeichnis nicht gefunden
Mar 16 14:53:18 UbuntuClient gdm-password]: PAM adding faulty module: pam_foreground.so
Mar 16 14:53:22 UbuntuClient gdm-password]: pam_krb5(gdm-password:auth): user LDAPuser authenticated as LDAPuser@LOCAL.NET
Mar 16 14:53:22 UbuntuClient gdm-password]: pam_unix(gdm-password:session): session opened for user LDAPuser by (uid=0)
Mar 16 14:53:22 UbuntuClient systemd-logind[709]: New session 5 of user LDAPuser.
Mar 16 14:53:22 UbuntuClient gdm-password]: pam_unix(gdm-password:session): session opened for user LDAPuser by (uid=0)
Mar 16 14:53:22 UbuntuClient mkhomedir_helper: PAM unable to create directory /home/users/LDAPuser: Permission denied
Mar 16 14:53:22 UbuntuClient gdm-launch-environment]: PAM unable to dlopen(pam_foreground.so): /lib/security/pam_foreground.so: Kann die Shared-Object-Datei nicht öffnen: Datei oder Verzeichnis nicht gefunden
Mar 16 14:53:22 UbuntuClient gdm-launch-environment]: PAM adding faulty module: pam_foreground.so
Mar 16 14:53:22 UbuntuClient polkitd(authority=local): Unregistered Authentication Agent for unix-session:c3 (system bus name :1.99, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_DE.UTF-8) (disconnected from bus)
Mar 16 14:53:22 UbuntuClient gdm-launch-environment]: pam_unix(gdm-launch-environment:session): session opened for user gdm by (uid=0)
Mar 16 14:53:22 UbuntuClient systemd-logind[709]: New session c4 of user gdm.
Mar 16 14:53:22 UbuntuClient systemd-logind[709]: Removed session c3.
Mar 16 14:53:22 UbuntuClient gdm-launch-environment]: pam_unix(gdm-launch-environment:session): session opened for user gdm by (uid=0)
Mar 16 14:53:23 UbuntuClient polkitd(authority=local): Registered Authentication Agent for unix-session:c4 (system bus name :1.119 [/usr/bin/gnome-shell], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale de_DE.UTF-8)
Mar 16 14:53:26 UbuntuClient gdm-password]: PAM unable to dlopen(pam_foreground.so): /lib/security/pam_foreground.so: Kann die Shared-Object-Datei nicht öffnen: Datei oder Verzeichnis nicht gefunden
Mar 16 14:53:26 UbuntuClient gdm-password]: PAM adding faulty module: pam_foreground.so
Mar 16 14:53:29 UbuntuClient systemd-logind[709]: Removed session 4. Mar 16 14:53:22 UbuntuClient mkhomedir_helper: PAM unable to create directory /home/users/LDAPuser: Permission denied Ich habe spaßeshalber den mount Pfad mal in ein anders Verzeichnis gelegt (/home/userstest). Nach der Anmeldung war das Laufwerk vorhanden und ich konnte mit dem LDAPuser darin lesen, schreiben und löschen. Weshalb ich die obige Fehlermeldung nicht ganz nachvollziehen kann (Permission denied)? Die Verzeichnisse werden doch von meinem Client nicht dem Server angelegt.
|
joe2017
(Themenstarter)
Anmeldungsdatum: 24. Juli 2017
Beiträge: 146
|
Anbei noch mal die gesetzten Berechtigungen (ACL). Mit diesen Berechtigungen wird das $USER Verzeichnis nicht erstellt. Obwohl der LDAP $USER in der der LDAP Gruppe user steht.
getfacl /files/users/
getfacl: Removing leading '/' from absolute path names
# file: files/users/
# owner: root
# group: user
# flags: -s-
user::rwx
group::rwx
group:user:rwx
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:group:user:rwx
default:mask::rwx
default:other::--- Ändere ich folgende Berechtigungen wird das $USER Verzeichnis erstellt, jedoch wird der Benutzer nicht angemeldet.
other::rwx
default:other::rwx Ich sehe folgende Zeilen nach dem Mounting
Reached target Remote File System
Starting Permit User Session...
Starting Tool to auomatically collect and submit kernel crash signatures...
Starting LSB: automatic crash report generation...
Starting LBS: Speech Dispatcher...
Started Permit User Session.
Starting Hold until boot process finishes up...
Starting GNOME Display Manager...
Started Tool to auomatically collect and submit kernel crash signatures...
Started Hold until boot process finishes up...
Starting Set console scheme...
Started LBS: Speech Dispatcher.
Started Set console scheme.
Created Slice system-getty.slice.
Started LBS: automatic crash report generation
Reached target Multi-User System.
Started GNOME Display Manager
Reached target Graphical Interface
Started Stop unreadahead data collection 45s after completed startup
Starting Update UTMP about System Runlevel Changes...
Started Update UTMP about System Runlevel Changes.
|
joe2017
(Themenstarter)
Anmeldungsdatum: 24. Juli 2017
Beiträge: 146
|
Was mache ich hier falsch? Ich möchte lediglich das die $USER Profile bei der Anmeldung auf dem NFS Server gespeichert bzw. für neue $USER angelegt werden. Ich lese überall, dass ein einfaches mounten hierfür erforderlich ist. SERVER
/etc/exports
/files/users gss/krb5i(rw,sync,no_subtree_check) CLIENT
/etc/fstab
SERVER:/files/users /home/users nfs4 sec=krb5i,rw,sync,nouser 0 0
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Also das Problem ist, dass sich das schlecht "mal fix" nachstellen lässt. Einen Fehler kann ich aktuell nicht erkennen. Was sagt denn
nfs4_getfacl /home/users
|
joe2017
(Themenstarter)
Anmeldungsdatum: 24. Juli 2017
Beiträge: 146
|
Hallo misterunknown, der Befehl nfs4_getfacl ist nicht bekannt. Aber die getfacl Berechtigungen hatte ich oben bereits gepostet. # file: files/users
# owner: root
# group: user
# flags: -s-
user::rwx
group::rwx
group:user:rwx
mask::rwx
other::rwx
default:user::rwx
default:group::rwx
default:group:user:rwx
default:mask::rwx
default:other::rwx
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
joe2017 schrieb: der Befehl nfs4_getfacl ist nicht bekannt.
Dann installier mal noch die nfs4-acl-tools nach.
Aber die getfacl Berechtigungen hatte ich oben bereits gepostet.
Jo, aber die Linux-ACLs und die NFS4-ACLs sind grundverschieden und werden entsprechend übersetzt. Damals mit NFS3 war das noch nicht so, dort wurden die ACLs nur auf Linux-Ebene berücksichtigt.
|
joe2017
(Themenstarter)
Anmeldungsdatum: 24. Juli 2017
Beiträge: 146
|
Ich hab gerade etwas herausgefunden. Wenn ich die ACL für other auf –- setze, kann der $USER kein Folder anlegen. Obwohl die Berechtigungen für die LDAP Gruppe gesetzt ist (user)
# file: files/users/
# owner: root
# group: user
# flags: -s-
user::rwx
group::rwx
group:user:rwx
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:group:user:rwx
default:mask::rwx
default:other::--- Wenn ich die ACL für other auf rwx setze, kann der $USER ein Folder anlegen. Jedoch wird das Profil nicht angelegt. ls -l /files/users/
total 1
drwx--S---+ 2 nobody root 3 Mar 23 14:37 $USER getfacl /files/users/$USER
# file: files/users/$USER/
# owner: nobody
# group: root
# flags: -s-
user::rwx
group::rwx #effective:---
group:user:rwx #effective:---
mask::---
other::---
default:user::rwx
default:group::rwx
default:group:user:rwx
default:mask::rwx
default:other::rwx Wenn ich dem Folder /files/users/$USER/ jetzt noch die ACL Rechte rwx für $USER eintrage funktioniert auch die Anmeldung. Das bedeutet, die ACL Rechte werden nicht korrekt vererbt und ich muss manuell die $USER Folder unter /files/users/ inklusive ACL´s anlegen? Geht das nicht automatisch? Das beider Anmeldung des $USER-1 der Folder $USER-1 inkluse ACL´s für $USER-1 unter /files/users angelegt wird?
|