Когда Apache httpd пытается получить доступ к каталогу пользователя, автоматически смонтированному с sec=krb5p
, и предположительно другие sec=krb
параметры, gssproxy
выдает сообщение об ошибке, и веб-сервер отвечает 403 Forbidden
. Параметр отладки на gssproxy не был достаточно ясным.
Чтобы исключить никого RPCGSS
вопросы, 403
не выдается при действительном KRB5CC
принадлежащий uidNumber 48 (apache) присутствует в / tmp, и веб-сервер отобразит соответствующую страницу. Однако это связано с поведением rpc.gssd
. gssproxy
по-прежнему выдает то же сообщение об ошибке.
gssproxy: gp_rpc_execute: executing 6 (GSSX_ACQUIRE_CRED) for service "nfs-client", euid: 0, socket: (null)
gssproxy: gssproxy[639]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure. Minor code may provide more information, No credentials cache found
# cat /etc/gssproxy/gssproxy.conf
[gssproxy]
[service/HTTP]
mechs = krb5
cred_store = keytab:/etc/gssproxy/http.keytab
cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
euid = 48
[service/nfs-server]
mechs = krb5
socket = /run/gssproxy.sock
cred_store = keytab:/etc/krb5.keytab
trusted = yes
kernel_nfsd = yes
euid = 0
[service/nfs-client]
mechs = krb5
cred_store = keytab:/etc/krb5.keytab
cred_store = ccache:FILE:/var/lib/gssproxy/clients/krb5cc_%U
cred_store = client_keytab:/var/lib/gssproxy/clients/%U.keytab
cred_usage = initiate
allow_any_uid = yes
trusted = yes
euid = 0
# klist -ke /var/lib/gssproxy/clients/$(id -u apache).keytab
Keytab name: FILE:/var/lib/gssproxy/clients/48.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 apache/www.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
2 apache/www.example.com@EXAMPLE.COM (aes128-cts-hmac-sha1-96)
2 apache/www.example.com@EXAMPLE.COM (camellia256-cts-cmac)
2 apache/www.example.com@EXAMPLE.COM (camellia128-cts-cmac)
# cat /etc/systemd/system/gssproxy.service.d/override.conf
[Service]
ExecStart=
ExecStart=/usr/sbin/gssproxy -D --debug
Я использовал strace, чтобы увидеть, что gssproxy искал keytab в /var/kerberos/krb5/user/48/client.keytab. Мне также нужно было установить контекст selinux:
chcon -t krb5_keytab_t /var/kerberos/krb5/user/48/client.keytab
ls -lZ /var/kerberos/krb5/user/48/client.keytab
-r--------. apache apache unconfined_u:object_r:krb5_keytab_t:s0 /var/kerberos/krb5/user/48/client.keytab
Похоже, что раздел HTTP имеет приоритет над разделом nfs-client для UID 48.