NFSv4 et authent Kerberos

Répondre
Avatar du membre
c0bw3b
Messages : 4892
Enregistré le : ven. 12 janv. 2018 17:44

NFSv4 et authent Kerberos

Message par c0bw3b » ven. 1 mars 2019 19:59

:hello: tout le monde,

Est-ce que qqun a déjà une expérience de config NFSv4 avec une authent' Kerberos ? Notamment avec des baies NetApp ou EMC qui exposent les volumes mais c'est pas le plus important... en full unix c'est un peu la même chose.

Mon prob se situe avec le mapping des users et groupes entre client et serveur. C'est pas moi qui met en place et j'essaie de comprendre ce qui manque... :?
Toute la partie Kerberos est déjà en place et fonctionnelle. Il n'y a pas d'annuaire users/groups partagé (NIS ou autre) donc les UID/GID sont des référentiels distincts côté client et serveur mais normalement recréés à l'identique. CàD chaque user et groupe côté client existe aussi sur le NAS avec le même UID/GID.

Maintenant qd le client monte un share avec authent Kerberos (option sec=krb5i) il présente un principal KRB5 au serveur qui le map sur un UID/GID de son référentiel local.
Sauf que du coup le NAS ignore tous les groupes secondaires auquel appartient un user côté client...

Mettons je monte une arbo dont la propriété est usradmin:grpadmin (exemple au pif) alors un autre compte usrtoto dont le groupe primaire (GID) est grptoto mais qui appartient aussi au groupe grpadmin ne peut pas lire ou écrire dans le volume monté...

Et oui les droits pour grpadmin sont suffisants toussa! :P C'est juste que en l'état le NAS ignore que usrtoto appartient aussi à grpadmin.
Je flotte un peu et je cherche à savoir ce qu'il nous manque...

Répondre