Назад | Перейти на главную страницу

gssproxy: apache httpd как nfs-клиент? centos7

Когда Apache httpd пытается получить доступ к каталогу пользователя, автоматически смонтированному с sec=krb5p, и предположительно другие sec=krb параметры, gssproxy выдает сообщение об ошибке, и веб-сервер отвечает 403 Forbidden. Параметр отладки на gssproxy не был достаточно ясным.

Чтобы исключить никого RPCGSS вопросы, 403 не выдается при действительном KRB5CC принадлежащий uidNumber 48 (apache) присутствует в / tmp, и веб-сервер отобразит соответствующую страницу. Однако это связано с поведением rpc.gssd. gssproxy по-прежнему выдает то же сообщение об ошибке.

gssproxy: gp_rpc_execute: executing 6 (GSSX_ACQUIRE_CRED) for service "nfs-client", euid: 0, socket: (null)
gssproxy: gssproxy[639]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure.  Minor code may provide more information, No credentials cache found

# cat /etc/gssproxy/gssproxy.conf 
[gssproxy]

[service/HTTP]
  mechs = krb5
  cred_store = keytab:/etc/gssproxy/http.keytab
  cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
  euid = 48

[service/nfs-server]
  mechs = krb5
  socket = /run/gssproxy.sock
  cred_store = keytab:/etc/krb5.keytab
  trusted = yes
  kernel_nfsd = yes
  euid = 0

[service/nfs-client]
  mechs = krb5
  cred_store = keytab:/etc/krb5.keytab
  cred_store = ccache:FILE:/var/lib/gssproxy/clients/krb5cc_%U
  cred_store = client_keytab:/var/lib/gssproxy/clients/%U.keytab
  cred_usage = initiate
  allow_any_uid = yes
  trusted = yes
  euid = 0

# klist -ke /var/lib/gssproxy/clients/$(id -u apache).keytab
Keytab name: FILE:/var/lib/gssproxy/clients/48.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   2 apache/www.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96) 
   2 apache/www.example.com@EXAMPLE.COM (aes128-cts-hmac-sha1-96) 
   2 apache/www.example.com@EXAMPLE.COM (camellia256-cts-cmac) 
   2 apache/www.example.com@EXAMPLE.COM (camellia128-cts-cmac)

# cat /etc/systemd/system/gssproxy.service.d/override.conf 
[Service]
ExecStart=
ExecStart=/usr/sbin/gssproxy -D --debug

Я использовал strace, чтобы увидеть, что gssproxy искал keytab в /var/kerberos/krb5/user/48/client.keytab. Мне также нужно было установить контекст selinux:

chcon -t krb5_keytab_t /var/kerberos/krb5/user/48/client.keytab
ls -lZ /var/kerberos/krb5/user/48/client.keytab
-r--------. apache apache unconfined_u:object_r:krb5_keytab_t:s0 /var/kerberos/krb5/user/48/client.keytab

Похоже, что раздел HTTP имеет приоритет над разделом nfs-client для UID 48.