У меня установка очень похожа на Руководство Дэна Бишопа по окончательному серверу Ubuntu 12.04.
На самом деле я создал серию доступных скриптов для автоматизации этого процесса на мой гитхаб.
Итак, я установил ldap + kerberos на машине, к которой подключаются клиентские ящики. У меня есть NAS, на котором запущен сервер nfs, который обслуживает каталог / home для пользователей в домене. Вы можете увидеть мою полную конфигурацию на github за вычетом переменных, специфичных для моей среды, таких как пароли и т. Д.
Вроде все работает, кроме одной проблемы. Если я вхожу в систему как пользователь domainadmin, я могу использовать sudo для выполнения таких команд, как обновление кэша apt, но я не могу изменять данные в / home.
См. Ниже, обратите внимание, что оба пользователя, ansible и jgrowl, являются администраторами домена:
ansible@ip-192-168-0-13:~$ pwd
/home/ansible
ansible@ip-192-168-0-13:~$ ls -l /home
total 12
drwxr-xr-x 8 ansible ansible 4096 Aug 12 14:07 ansible
drwxr-xr-x 7 jgrowl jgrowl 4096 Aug 12 14:08 jgrowl
ansible@ip-192-168-0-13:~$ mkdir test1
ansible@ip-192-168-0-13:~$ ls -l
total 4
drwxrwxr-x 2 ansible ansible 4096 Aug 12 14:06 test1
ansible@ip-192-168-0-13:~$ sudo mkdir test2
mkdir: cannot create directory `test2': Permission denied
ansible@ip-192-168-0-13:~$ sudo -u ansible mkdir test3
ansible@ip-192-168-0-13:~$ ls -l
total 8
drwxrwxr-x 2 ansible ansible 4096 Aug 12 14:06 test1
drwxr-xr-x 2 ansible ansible 4096 Aug 12 14:07 test3
ansible@ip-192-168-0-13:~$ sudo mkdir ~jgrowl/test4
mkdir: cannot create directory `/home/jgrowl/test4': Permission denied
ansible@ip-192-168-0-13:~$ sudo -u jgrowl mkdir ~jgrowl/test5
ansible@ip-192-168-0-13:~$ ls -l /home/jgrowl
total 16
drwxr-xr-x 2 jgrowl jgrowl 4096 Aug 12 14:08 test5
Таким образом, sudo можно использовать только при указании пользователя, которому принадлежит каталог. Имеет ли это смысл?
Вот пара важных файлов:
Содержимое / etc / exports на сервере nfs
/export *(rw,fsid=0,crossmnt,insecure,async,no_subtree_check,sec=krb5p:krb5i:krb5)
/export/home *(rw,insecure,async,no_subtree_check,sec=krb5p:krb5i:krb5)
Я знаю, что здесь много всего происходит и, вероятно, мне трудно помочь, но любые предложения будут оценены!
Похоже, что ваши общие ресурсы NFS экспортируются с включенным root_squash, поэтому пользователь root фактически получает разрешения nobody
при попытке работать с монтированием NFS. Найдите в экспорте NAS параметр root или root squash и настройте его.