Автор Тема: FreeIPA и автомонтирование NFS autofs [решено]  (Прочитано 37554 раз)

Оффлайн dezzzm

  • Завсегдатай
  • *
  • Сообщений: 19
Пытаюсь настроить автомонтирование, альт сервер и клиенты 8.2 с сегодняшними апдейтами.
Клиент и сервер NFS заведены в домен freeipa, монтирование нфс шары с авторизацией по керберосу работает, не работает именно автомонтирование.

На контроллере домена:
ipa automountlocation-add FileServer
Добавляем карту монтирования:
ipa automountmap-add FileServer auto.nfs
Добавляем ссылку на auto.nfs в auto.master
ipa automountkey-add FileServer --key "/-" --info auto.nfs auto.master
Добавляем ключ монтирования в auto.nfs:
ipa automountkey-add FileServer --key "/mnt/fs" --info "-rw,soft,localflocks,sec=krb5i,no_root_squash,proto=tcp,port=2049, fs.test.loc:/nfs/share" auto.nfs

На клиенте:
ipa-client-automount --location=FileServer
в ответ:
Searching for IPA server...
IPA server: DNS discovery
Location: FileServer
Continue to configure the system with these values? [no]: yes
Configured /etc/nsswitch.conf
Configured /etc/sysconfig/nfs
Configured /etc/idmapd.conf
rpcidmapd failed to restart: Command '/sbin/systemctl restart nfs-idmap.service' returned non-zero exit status 5
Started rpcgssd
Restarting sssd, waiting for it to become available.
Started autofs
Это нормально что нет в системе nfs-idmap.service?
На клиента установлены autofs-sss и libsss_autofs
в логах:
Oct 17 14:51:05 testvm124 automount[970]: lookup_read_map: lookup(sss): getautomntent_r: No such file or directory

в итоге в папке /mnt/fs пусто. Если монтировать руками из консоли под рутом, то монтируется.
Может кто сталкивался - что я делаю не так?
« Последнее редактирование: 01.03.2019 10:31:32 от Skull »

Оффлайн dezzzm

  • Завсегдатай
  • *
  • Сообщений: 19
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #1 : 06.11.2018 13:02:07 »
Получилось вроде как, и даже домашний каталог пользователя монтируется с nfs server, но 2 проблемы:
1) при первом логине пользователя не создается домашняя директория на nfs server (пишет нет прав) хотя права на время давал 777. Если руками создать домашнюю папку на nfs server то остальные конфиги и папки(рабочий стол и тд) создаются корректно.
2) периодически перестает работать автомонтирование, помогает только  ipa-client-automount --uninstall и ipa-client-automount заново. Куда смотреть в логах для отладки? И какие конфиги проверить?
смотрел /etc/sysconfig/nfs и /etc/idmapd.conf но разницы при рабочем\нерабочем автомонтировании нет.

Оффлайн klark973

  • Давно тут
  • **
  • Сообщений: 447
  • Неспящий саппорт
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #2 : 06.11.2018 18:43:45 »
периодически перестает работать автомонтирование
1) rpm -q autofs-sss # Для p8 д.б. >= 5.1.4-alt0.M80P.1
2) пробовали этот воркараунд: https://bugzilla.redhat.com/show_bug.cgi?id=1189767#c12 ?
To moan or to solve -- that is the question!

Оффлайн dezzzm

  • Завсегдатай
  • *
  • Сообщений: 19
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #3 : 07.11.2018 09:35:47 »
klark973 спасибо за ответ.
1) autofs-sss-5.1.4-alt0.M80P.1 я следовал инструкции redhat и там было действие authconfig --update --enablesssd --enablesssdauth --enablemkhomedir
Если мой нубский мозг правильно понял именно это и делало возможным РАМ модулю автоматом создавать директорию? Аналогов под альтом я не нашел команды этой, поэтому пока руками домашние папки пользователей создаю.
2) Пробовал, не помогло. В момент когда отлетает автомонтирование в папке /mnt появляются еще 2 папки "auto" и "net" помимо моей папки "fs". Похоже это дефолтные папки autofs? Значит слетает настройка autofs? Подскажите пожалуйста куда заглянуть чтоб понять так ли это? в /var/log/message про automount ошибки одни и теже хоть работает автомаунт хоть не работает.
automount[1727]: lookup_read_map: lookup(sss): getautomntent_r: No such file or directory

Оффлайн klark973

  • Давно тут
  • **
  • Сообщений: 447
  • Неспящий саппорт
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #4 : 07.11.2018 19:54:20 »
dezzzm, ни NFSv4, ни FreeIPA с p8 я для продакшена ПОКА рекомендовать бы не стал. Делать что-либо по инструкции RedHat стоит в дистрибутивах от RedHat, в Альте это работать не будет. Если нужен полноценный read/write файл-сторадж с нормальной аутентификацией по Kerberos, лучше использовать Samba/CIFS. В p8 собран FreeIPA далеко не передовой версии, его усиленно дорабатывают в Сизифе, но в p8 в ближайшее время не будут пропускать принципиально. Нужные юниты systemd есть, вот только вытаскивать их надо руками из серверных пакетов, см.: https://bugzilla.altlinux.org/show_bug.cgi?id=30707#c20 . Мне не приходилось стендировать такое решение, поэтому точной информацией не владею. Думаю, надо разобраться с зависимостями и юнитами systemd сначала. Что касается PAM-модуля, то для создания хомяков такой модуль существует: pam_mkhomedir входит в пакет pam (man 8 pam_mkhomedir). На старой работе я предпочёл использовать более интересное решение с монтированием с uid=/gid= сквоша с заранее подготовленным хомяком, оверлеем и перенаправлением вложенных папок на сервер. PAM-модуль делал свой, разумеется. Плюс был в том, что dot-файлы и user-конфигурация были локальными и изменяемыми только в пределах рабочего сеанса.

В момент когда отлетает автомонтирование в папке /mnt появляются еще 2 папки "auto" и "net" помимо моей папки "fs". Похоже это дефолтные папки autofs? Значит слетает настройка autofs? Подскажите пожалуйста куда заглянуть чтоб понять так ли это?

Если эти папки появляются, значит autofs начинает работать -- уже хорошо!  :-) Но, видимо сам autofs как-то не так настроен. rpm -ql autofs покажет список файлов, в том числе, в /etc -- поправьте нужное. Также проверьте, что у вас в /etc/fstab.
« Последнее редактирование: 08.11.2018 02:46:37 от klark973 »
To moan or to solve -- that is the question!

Оффлайн dezzzm

  • Завсегдатай
  • *
  • Сообщений: 19
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #5 : 08.11.2018 06:19:18 »
ни NFSv4, ни FreeIPA с p8 я для продакшена ПОКА рекомендовать бы не стал
Спасибо klark973 за наводки. Команда rpm -ql autofs хороша.
Перебрал все конфиги и похоже решил проблему с периодическим отвалом автомаунта.
А проблема началась оказывается еще 5 месяцев назад когда мы только начали щупать "русские" ос. Наш старый виндовый домен был ***.local и для связи с ним пришлось подправить /etc/nsswitch.conf
поменять #hosts:      files mdns4_minimal [NOTFOUND=return] dns myhostname fallback
на hosts:      files mdns4_minimal dns myhostname fallback [NOTFOUND=return]
Мы проверили что это помогло и добавили в puppet шаблон для подмены этого файла.
А команда ipa-client-automount оказывается вносит в /etc/nsswitch.conf три волшебных буквы "s"
automount: sss files
И вот пока не придет puppet agent со своими обновами все прекрасно работало...

По поводу модуля pam_mkhomedir видимо придется читать разбираться как его заставить не только локально, но и на nfs шаре создавать хоум директорию. Временно руками посоздаю папки.

А владелец nfs шар примонтированных на клиенте показывается: 4294967294 вместо имени пользователя домена, как это побороть?
Пишут, что нужно в /etc/default/nfs-common:
добавить NEED_IDMAPD=yes, но я не нашел такого файла в альте. https://ubuntuforums.org/showthread.php?t=1651504&highlight=nfs
« Последнее редактирование: 08.11.2018 09:24:45 от dezzzm »

Оффлайн klark973

  • Давно тут
  • **
  • Сообщений: 447
  • Неспящий саппорт
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #6 : 08.11.2018 11:17:20 »
Пишут, что нужно в /etc/default/nfs-common:
добавить NEED_IDMAPD=yes, но я не нашел такого файла в альте.
/etc/sysconfig/nfs ?
To moan or to solve -- that is the question!

Оффлайн dezzzm

  • Завсегдатай
  • *
  • Сообщений: 19
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #7 : 08.11.2018 11:37:01 »
/etc/sysconfig/nfs ?
Добавление в конец файла NEED_IDMAPD=yes не помогло. Есть еще варианты?
В этом файле есть еще строки:
# Pass any additional options for idmapd. See rpc.idmapd(8)
IDMAPD_OPTIONS=""
Может через нее как-то надо это передать?
И еще не могу найти как правильно проверить запущена ли служба idmapd? systemctl status idmapd не работает

Если вручную монтирую командой mount -v -o sec=krb5i fs.test.loc://nfs/share /mnt/test1
ls -ali также показывает цифры в поле владельца.
« Последнее редактирование: 08.11.2018 11:44:52 от dezzzm »

Оффлайн klark973

  • Давно тут
  • **
  • Сообщений: 447
  • Неспящий саппорт
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #8 : 08.11.2018 13:20:28 »
a.o/NFS и a.o/NFSv4 д.б. отправными точками, не считая нативной документации. Там ничего такого нет, автомонтирование там описано как делать через avahi.
To moan or to solve -- that is the question!

Оффлайн dezzzm

  • Завсегдатай
  • *
  • Сообщений: 19
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #9 : 09.11.2018 05:16:21 »
Служба похоже зовется nfs-idmapd и на сервере она есть а на клиенте нет.
По наводке klark973 ( за что ему в очередной раз большое спасибо :)) установил на клиенте пакет nfs-server и служба появилась nfs-idmapd.
Только она не дает себя enable сделать - пишет:
[root@testvm14 ~]# systemctl enable nfs-idmapd
The unit files have no installation config (WantedBy, RequiredBy, Also, Alias
settings in the [Install] section, and DefaultInstance for template units).
This means they are not meant to be enabled using systemctl.
Possible reasons for having this kind of units are:
1) A unit may be statically enabled by being symlinked from another unit's
   .wants/ or .requires/ directory.
2) A unit's purpose may be to act as a helper for some other unit which has
   a requirement dependency on it.
3) A unit may be started when needed via activation (socket, path, timer,
   D-Bus, udev, scripted systemctl call, ...).
4) In case of template units, the unit is meant to be enabled with some
   instance name specified.

Как ее заставить запускаться саму? Да и наверное это же баг, что ее нет в клиенте?

Оффлайн klark973

  • Давно тут
  • **
  • Сообщений: 447
  • Неспящий саппорт
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #10 : 09.11.2018 21:34:47 »
Как ее заставить запускаться саму? Да и наверное это же баг, что ее нет в клиенте?
Да, это баг двухлетней давности, я же уже приводил ссылку выше:
Цитировать
Нужные юниты systemd есть, вот только вытаскивать их надо руками из серверных пакетов, см.: https://bugzilla.altlinux.org/show_bug.cgi?id=30707#c20 .
По сути необходимо разобраться с зависимостями и сделать нормальные юниты, после чего напомнить Сергею Большакову что-куда и как надо перепаковать, чтобы не ставить клиентам серверных пакетов. Ну и на Обнинск тут большая надежда, поскольку они сейчас больше всех с FreeIPA и NFSv4 воюют, правда в Сизифе.
To moan or to solve -- that is the question!

Оффлайн dezzzm

  • Завсегдатай
  • *
  • Сообщений: 19
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #11 : 11.11.2018 08:57:26 »
Да, это баг двухлетней давности
Это нормально, что ее не решили за два года? Мне баг на мою зависимую службу nfs-idmapd надо создавать?

По идее на данный момент это последний не решенный нюанс для работы freeipa automount nfs шары(в том числе домашних директорий). Мне остается только ждать исправлений? Помочь я как-то еще могу для ускорения решения проблемы?

Оффлайн klark973

  • Давно тут
  • **
  • Сообщений: 447
  • Неспящий саппорт
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #12 : 12.11.2018 00:22:30 »
Вероятно сейчас не самая приоритетная задача. Попробуйте написать rider@ или отметиться в том же баге. Как я уже говорил выше, сейчас всё пилится для p9 в Сизифе. Мы активно используем только NFSv3 (read-only), 4-ю версию NFS из p8 для продакшена я бы не рекомендовал.
To moan or to solve -- that is the question!

Оффлайн Rider

  • /usr/sbin/control
  • *******
  • Сообщений: 1 131
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #13 : 12.11.2018 07:42:58 »
Вероятно сейчас не самая приоритетная задача. Попробуйте написать rider@ или отметиться в том же баге. Как я уже говорил выше, сейчас всё пилится для p9 в Сизифе. Мы активно используем только NFSv3 (read-only), 4-ю версию NFS из p8 для продакшена я бы не рекомендовал.

Лёня, ты ошибаешься - мы вовсю используем NFSv4. Но данную задачу действительно не решали. Она есть в планах, разберёмся когда доберёмся.

Оффлайн dezzzm

  • Завсегдатай
  • *
  • Сообщений: 19
Re: FreeIPA и автомонтирование NFS autofs
« Ответ #14 : 13.11.2018 04:56:04 »
Предложили временное решение:
cp /lib/systemd/system/nfs-idmapd.service /etc/systemd/system/nfs-idmap.service

Добавить в файл /etc/systemd/system/nfs-idmap.service секцию [Install]:

[Install]
WantedBy=multi-user.target

Выполнить после этого:
systemctl enable --now nfs-idmap

Но при обновлении пакетов это дело не поломается?