Cette configuration de nsswitch côté serveur est la même sur ta VM ?

Si c'est un serveur en production, je suis pas sûr que ce soit une bonne idée de tester comme ça sans prévenir, mais modifier ce fichier de configuration :
passwd:     compat ldap winbind
shadow:     compat ldap winbind
group:      compat ldap winbind

Peut résoudre le problème, mais il peut aussi y avoir des effets de bord.

Cdt,



Date: Thu, 31 Jul 2014 10:44:08 +0200
From: jonathan.tremesaygues@menta.fr
To: arnaud.serrut@hotmail.fr
CC: frsag@frsag.org
Subject: Re: [FRsAG] NFSv4 et ACL : problèmes

Les divers relancement de idmapd et autres rpc.* aussi bien sur le serveur que
sur les clients n'ont rien changé.


Serveur :
[~] # cat /etc/nsswitch.conf
passwd:     compat winbind ldap
shadow:     compat winbind ldap
group:      compat winbind ldap

hosts:      files dns wins

bootparams: files

ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files

netgroup:   files

publickey:  files

automount:  files
aliases:    files



Client :
[jtremesay@hawk ~]$ cat /etc/nsswitch.conf
passwd:     files sss
shadow:     files sss
group:      files sss

hosts:      files mdns4_minimal [NOTFOUND=return] dns

bootparams: nisplus [NOTFOUND=return] files

ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files

netgroup:   files sss

publickey:  nisplus

automount:  files
aliases:    files nisplus


[root@hawk ~]# cat /etc/sssd/sssd.conf
[sssd]                              
config_file_version = 2             
services = nss, pam
domains = LDAP

[nss]
filter_groups = root                                                        
filter_users = root                                                         
reconnection_retries = 3       

[pam]
reconnection_retries = 3

[domain/default]
cache_credentials = False

[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://whale
ldap_search_base = dc=menta,dc=fr
ldap_schema = rfc2307
ldap_tls_reqcert = allow
auth_provider = ldap
cache_credentials = true
enumerate = true


On 07/31/2014 10:33 AM, Arnaud Serrut wrote:
cat /etc/nsswitch.conf  ?
J'ai vu passer qu'un redémarrage du service idmapd corrige parfois des trucs, on sait jamais...



> Date: Thu, 31 Jul 2014 10:15:46 +0200
> From: jonathan.tremesaygues@menta.fr
> To: frsag@ww7.be
> CC: frsag@frsag.org
> Subject: Re: [FRsAG] NFSv4 et ACL : problèmes
>
> Bonjour,
>
> Selinux est désactivé sur sl65 (c'est une VM destinée à subir les
> expériences
> douloureuses nécessaire à mon apprentissage de sysadmin, osef de la
> sécurité),
> donc je ne pense pas qu'il soit en cause.
> Sur les "vrais" machines où selinux est activé, j'ai rien vu de
> particulier dans les logs.
>
> Cordialement,
> Jonathan
>
>
> On 07/31/2014 10:06 AM, neo futur wrote:
> > vous avez regarde les logs kernel ? y aurai pas un selinux ou autre
> > rbac qui foutrai sa zone ?
> >
> > 2014-07-31 3:56 GMT-04:00 Jean Milot <milot.jean@gmail.com>:
> >> Bonjour,
> >>
> >> As tu essayé de forcer la version sur le serveur nfs?
> >>
> >> Cordialement
> >>
> >> Jean
> >>
> >> Le 31 juil. 2014 09:52, "Jonathan Tremesaygues"
> >> <jonathan.tremesaygues@menta.fr> a écrit :
> >>
> >>> Bonjour,
> >>>
> >>> Ne marche pas non plus en NFSv3 :-/
> >>>
> >>>
> >>> Montage de l'export de test en nfs3 :
> >>> [root@sl65 mnt]# mount -o vers=3,acl whale:/share/MD0_DATA/test whale/
> >>> [root@sl65 mnt]# nfsstat -m
> >>> /mnt/whale from whale:/share/MD0_DATA/test
> >>> Flags:
> >>> rw,relatime,vers=3,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,mountaddr=192.168.10.150,mountvers=3,mountport=58340,mountproto=udp,local_lock=none,addr=192.168.10.150
> >>>
> >>>
> >>> Vérification de la présence des ACL :
> >>> [root@sl65 mnt]# ll
> >>> total 8
> >>> drwxrwx---+ 3 root root 4096 Jul 31 09:14 whale
> >>> [root@sl65 mnt]# getfacl whale
> >>> # file: whale
> >>> # owner: root
> >>> # group: root
> >>> user::rwx
> >>> user:lrouge:rwx
> >>> user:jtremesay:rwx
> >>> user:nfsnobody:---
> >>> group::rwx
> >>> mask::rwx
> >>> other::rwx
> >>> default:user::rwx
> >>> default:user:lrouge:rwx
> >>> default:user:jtremesay:rwx
> >>> default:user:nfsnobody:---
> >>> default:group::rwx
> >>> default:mask::rwx
> >>> default:other::---
> >>>
> >>>
> >>> Tentative d'accès au dossier :
> >>> [jtremesay@sl65 mnt]$ ls whale/
> >>> ls: cannot open directory whale/: Permission denied
> >>>
> >>>
> >>> Cordialement
> >>> Jonathan
> >>>
> >>>
> >>>
> >>>
> >>> On 07/30/2014 06:15 PM, Jean Milot wrote:
> >>>
> >>> Bonjour,
> >>>
> >>> Moi, j'ai abandonné NFSv4. Je force l'utilisation de la version 3 pour
> >>> utiliser les ACLs.
> >>>
> >>> Cordialement,
> >>>
> >>> Jean
> >>>
> >>>
> >>>
> >>> Le 30 juillet 2014 16:40, Jonathan Tremesaygues
> >>> <jonathan.tremesaygues@menta.fr> a écrit :
> >>>> Bonjour la liste,
> >>>>
> >>>> Nous essayons désespérément de faire fonctionner les ACL sur du partage
> >>>> réseau
> >>>> NSFv4. Le serveur de partage est un NAS QNAP TS-879-PRO tournant sous un
> >>>> linux
> >>>> custom et les clients sont essentiellement des Scientific Linux
> >>>> (RHEL-like)
> >>>> 6.5. Les comptes des utilisateurs sont stockés dans un LDAP.
> >>>>
> >>>> ########################
> >>>> # Configuration du serveur (whale) : #
> >>>> ########################
> >>>> [~] # cat /etc/idmapd.conf
> >>>> [General]
> >>>> Verbosity = 9
> >>>> Pipefs-Directory = /var/lib/nfs/rpc_pipefs
> >>>> Domain = menta.fr
> >>>>
> >>>> [Mapping]
> >>>> Nobody-User = guest
> >>>> Nobody-Group = guest
> >>>>
> >>>> [Translation]
> >>>> Method = nsswitch
> >>>>
> >>>>
> >>>> [~] # cat /etc/exports
> >>>> "/share/NFS"
> >>>> *(no_subtree_check,no_root_squash,insecure,fsid=0,subtree_check,acl,sec=sys)
> >>>> "/share/NFS/shared"
> >>>> 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys)
> >>>> "/share/NFS/test"
> >>>> 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys)
> >>>>
> >>>>
> >>>> [~] # cat /sys/module/nfsd/parameters/nfs4_disable_idmapping
> >>>> N
> >>>>
> >>>>
> >>>> [~] # ll /share/NFS/
> >>>> drwxr-xr-x 19 root root 1.0k Jul 29 10:16 ./
> >>>> drwxr-xr-x 32 root root 1.0k Jul 29 14:34 ../
> >>>> drwxrwxrwx 12 root shared 4.0k Jul 17 15:00 shared/
> >>>> drwxrwx--- 2 root root 4.0k Jul 22 15:44 test/
> >>>>
> >>>>
> >>>> [~] # getfacl /share/NFS/test
> >>>> getfacl: Removing leading '/' from absolute path names
> >>>> # file: share/NFS/test
> >>>> # owner: root
> >>>> # group: root
> >>>> user::rwx
> >>>> user:jtremesay:rwx
> >>>> group::rwx
> >>>> mask::rwx
> >>>> other::---
> >>>> default:user::rwx
> >>>> default:group::rwx
> >>>> default:mask::rwx
> >>>> default:other::---
> >>>>
> >>>>
> >>>>
> >>>> ###################
> >>>> # Configuration d'un client : #
> >>>> ###################
> >>>> [jtremesay@hawk ~]$ cat /etc/idmapd.conf
> >>>> [General]
> >>>> Verbosity = 9
> >>>> Pipefs-Directory = /var/lib/nfs/rpc_pipefs
> >>>> Domain = menta.fr
> >>>>
> >>>> [Mapping]
> >>>> Nobody-User = nobody
> >>>> Nobody-Group = nobody
> >>>>
> >>>> [Translation]
> >>>> Method = nsswitch
> >>>>
> >>>>
> >>>> [jtremesay@hawk ~]$ mount | grep whale
> >>>> whale:/ on /mnt/whale type nfs
> >>>> (rw,vers=4,addr=192.168.10.150,clientaddr=192.168.10.121)
> >>>>
> >>>>
> >>>> [jtremesay@hawk ~]$ nfsstat -m
> >>>> /mnt/whale from whale:/
> >>>> Flags:
> >>>> rw,relatime,vers=4,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.10.121,minorversion=0,local_lock=none,addr=192.168.10.150
> >>>>
> >>>>
> >>>> [jtremesay@hawk ~]$ ll /mnt/whale/
> >>>> total 134
> >>>> drwxr-xr-x. 19 root root 1024 Jul 29 10:16 .
> >>>> drwxr-xr-x. 5 root root 4096 Jul 29 10:46 ..
> >>>> drwxrwxrwx. 12 root shared 4096 Jul 17 15:00 shared
> >>>> drwxrwx---. 2 root root 4096 Jul 22 15:44 test
> >>>>
> >>>>
> >>>> [jtremesay@hawk ~]$ nfs4_getfacl /mnt/whale/test/
> >>>> A::OWNER@:rwaDxtTcCy
> >>>> A::jtremesay@menta.fr:rwaDxtcy
> >>>> A::GROUP@:rwaDxtcy
> >>>> A::EVERYONE@:tcy
> >>>> A:fdi:OWNER@:rwaDxtTcCy
> >>>> A:fdi:GROUP@:rwaDxtcy
> >>>> A:fdi:EVERYONE@:tcy
> >>>>
> >>>>
> >>>> [jtremesay@hawk ~]$ ll /mnt/whale/test/
> >>>> ls: cannot open directory /mnt/whale/test/: Permission denied
> >>>>
> >>>>
> >>>> Lorsque que j'utilise la même configuration (mêmes réglages
> >>>> d'idmapd.conf,
> >>>> mêmes exports, mêmes ACL) depuis un serveur sous Scientific Linux, ça
> >>>> fonctionne : seul moi et root peuvent accéder au dossier "test".
> >>>> Donc à priori le problème viendrait du QNAP mais je vois pas trop ce que
> >>>> j'ai pu oublier de modifier ou vérifier.
> >>>>
> >>>> Si quelqu'un a une idée... Merci d'avance
> >>>>
> >>>>
> >>>> Cordialement,
> >>>> Jonathan Tremesaygues
> >>>> _______________________________________________
> >>>> Liste de diffusion du FRsAG
> >>>> http://www.frsag.org/
> >>>
> >>>
> >>>
> >>> --
> >>> MILOT Jean
> >>> Tél. : 0659514624
> >>> milot.jean@gmail.com
> >>>
> >>>
> >> _______________________________________________
> >> Liste de diffusion du FRsAG
> >> http://www.frsag.org/
> >>
>
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/