<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">2015-01-11 16:33 GMT+01:00 Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Sun, Jan 11, 2015 at 11:00:16AM +0100, John Obaterspok wrote:<br>
> 2015-01-10 13:32 GMT+01:00 Gianluca Cecchi <<a href="mailto:gianluca.cecchi@gmail.com">gianluca.cecchi@gmail.com</a>>:<br>
><br>
> > To get the whole root environment you have to run<br>
> > su - root<br>
> > did you try with it?<br>
> ><br>
><br>
> ahh... that works fine Gianluca!<br>
><br>
> Final question, if I have a file on the share like:<br>
>      [john@ipaserver mountpoint]$ ll test.txt<br>
>      -rwxr-----. 1 root admins 12 11 jan 10.42 test.txt<br>
><br>
> Should I be able to access it if I aquire an admin ticket? Currently I get<br>
> Permission denied<br>
><br>
> [john@ipaserver mountpoint]$ id<br>
> uid=1434400004(john) gid=1434400004(john) grupper=1434400004(john)<br>
> context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023<br>
><br>
> [john@ipaserver mountpoint]$ getfacl test.txt<br>
> # file: test.txt<br>
> # owner: root<br>
> # group: admins<br>
> user::rwx<br>
> group::r--<br>
> other::---<br>
><br>
> [john@ipaserver mountpoint]$ id admin<br>
> uid=1434400000(admin) gid=1434400000(admins) groups=1434400000(admins)<br>
><br>
> [john@ipaserver mountpoint]$ klist<br>
> Ticket cache: KEYRING:persistent:1434400004:krb_ccache_MVjxTqf<br>
> Default principal: admin@MY.LAN<br>
><br>
> Valid starting       Expires              Service principal<br>
> 2015-01-11 10:43:52  2015-01-12 10:43:50  krbtgt/MY.LAN@MY.LAN<br>
><br>
> [john@ipaserver mountpoint]$ cat test.txt<br>
> cat: test.txt: Permission denied<br>
<br>
</div></div>Looks like your account needs to be in the 'admins' group in order to<br>
access the file.<br>
<br>
Acquiring the admin ticket doesn't switch the user ID nor add you to the<br>
group..<br>
<div class="HOEnZb"><div class="h5"><br></div></div></blockquote><div><br></div><div>I thought the krb5 mount option would allow ticked based access to the file.  </div><div>Is the purpose of the krb5 mount option just used during mounting of the share? Otherwise I see no difference compared to not using krb5 mount option!?</div><div><br></div><div>-- john</div></div></div></div>