Eli ongelmana on, että toi /home -jako ei toimi, kun yritän kirjautua ssh:lla etäkoneeseen (testatut metodit: publickey, kerberos ja gssapi). Se antaa vain ilmoituksen clientin päässä: "Could not chdir to home directory /home/user Permission denied" ja servussa näky samanlaista "Permission denied".
Olen saanut ongelman paikallistettua siihen että, kun kirjautuu ssh:n kautta servulle, niin vaikka kirjautuminen onnistuu, käyttäjälle ei luoda kerberos-tikettiä kyseiseen servuun, jolloin ei ole oikeuksia tuohon NFS-jakoon (joka on kerberossilla varmennettu). Ongelma katoaa kun on kirjautunut ssh:lla sisään ja käskyttää
Luulit, että tuo ratkeais ottamalla käyttöön tuon kerberossin itse sshd:ssä, mutta ei... Luulis et tuohon on joku valmis ratkaisu olemassa, enkä vain ole sitä löytänyt.
Mulla on siis FreeIPA-domaini, josta hallinnoin keskitetysti käyttäjiä ja kaikki Linuxit on liitetty sen alaisuuteen, niin että, jos tunnus löytyy IPA:sta, niin on oikeus loggautua koneelle joko suoraan, tai ssh:n kautta. NFS /home -jako on siis myös kerberoitu, jolloin oikeudet jakoon tarkistetaan IPA:sta. Jako liitetään käyttäjän käyttöön automaattisesti AUTOFS:llä, jonka mappaus on myös tuolla IPA:ssa.
Ongelma ei esiinny tällä pöytäkoneella, kun tähän joutuu kirjautumaan paikallisesti passulla, jolloin se kerberos-tiketti luodaan samalla automaattisesti. Ongelma esiintyy vain tuon ssh:n kautta kirjautumisessa kun sitä tikettiä ei sitä kautta luoda automaattisesti.
Olen saanut ongelman paikallistettua siihen että, kun kirjautuu ssh:n kautta servulle, niin vaikka kirjautuminen onnistuu, käyttäjälle ei luoda kerberos-tikettiä kyseiseen servuun, jolloin ei ole oikeuksia tuohon NFS-jakoon (joka on kerberossilla varmennettu). Ongelma katoaa kun on kirjautunut ssh:lla sisään ja käskyttää
kinit, antaa passun, kirjautuu ulos servulta ja menee takaisin, niin se /home/user tulee sieltä NFS-jaosta ongelmitta ja toimii kunnes tiketti vanhenee 24-tunnin päästä.Luulit, että tuo ratkeais ottamalla käyttöön tuon kerberossin itse sshd:ssä, mutta ei... Luulis et tuohon on joku valmis ratkaisu olemassa, enkä vain ole sitä löytänyt.
Mulla on siis FreeIPA-domaini, josta hallinnoin keskitetysti käyttäjiä ja kaikki Linuxit on liitetty sen alaisuuteen, niin että, jos tunnus löytyy IPA:sta, niin on oikeus loggautua koneelle joko suoraan, tai ssh:n kautta. NFS /home -jako on siis myös kerberoitu, jolloin oikeudet jakoon tarkistetaan IPA:sta. Jako liitetään käyttäjän käyttöön automaattisesti AUTOFS:llä, jonka mappaus on myös tuolla IPA:ssa.
Ongelma ei esiinny tällä pöytäkoneella, kun tähän joutuu kirjautumaan paikallisesti passulla, jolloin se kerberos-tiketti luodaan samalla automaattisesti. Ongelma esiintyy vain tuon ssh:n kautta kirjautumisessa kun sitä tikettiä ei sitä kautta luoda automaattisesti.
