<div dir="ltr"><div>Hello all,</div><div><br></div><div>I have several virtual machines ( on virtualbox ) running freeipa-client and </div><div>freeipa-server in a trust domain relationship with an Active Directory (AD) also </div><div>on a virtual machine.</div><div><br></div><div>Here is the details of the machines :</div><div><br></div><div>### Freeipa-server :</div><div>- Centos 7.2</div><div>- ipa-server-install 4.2.0</div><div><br></div><div>### client1 :</div><div>- centos 7.2</div><div>- ipa-client-install 4.2.0</div><div><br></div><div>### Nfs-server :</div><div>- centos 7.2</div><div>- ipa-client-install 4.2.0</div><div><br></div><div>### Client2 :</div><div>- Ubuntu 14.04 (trusty)</div><div>- ipa-client-install 3.3.4 </div><div>also try the unofficial 4.0.x backport (<a href="https://launchpad.net/~freeipa/+archive/ubuntu/4.0">https://launchpad.net/~freeipa/+archive/ubuntu/4.0</a>)</div><div><br></div><div>Everything works fine except for the ubuntu client and the nfs mount :</div><div><br></div><div>- I can mount the share using ""-o sec=krb5" option but the owner of the </div><div>folders is nobody. It seems just a display error because the permissions on the files are good.</div><div>user1 cannot write on the folder of user2 and vice versa.</div><div><br></div><div><br></div><div>If I mount without kinit I get this (syslog ubuntu client):</div><div><br></div><div>Feb 10 17:09:38 client2 rpc.idmapd[417]: New client: 0</div><div>Feb 10 17:09:38 client2 kernel: [ 2709.796390] NFS: Registering the id_resolver key type</div><div>Feb 10 17:09:38 client2 kernel: [ 2709.796399] Key type id_resolver registered</div><div>Feb 10 17:09:38 client2 kernel: [ 2709.796399] Key type id_legacy registered</div><div>Feb 10 17:09:38 client2 rpc.idmapd[417]: Opened /run/rpc_pipefs/nfs/clnt0/idmap</div><div>Feb 10 17:09:38 client2 rpc.idmapd[417]: New client: 1</div><div>Feb 10 17:09:38 client2 nfsidmap[2714]: key: 0x261c251d type: uid value: root@ipa.local timeout 600</div><div>Feb 10 17:09:38 client2 nfsidmap[2714]: nfs4_name_to_uid: calling nsswitch->name_to_uid</div><div>Feb 10 17:09:38 client2 nfsidmap[2714]: nss_getpwnam: name 'root@ipa.local' domain 'ipa.local': resulting localname 'root'</div><div>Feb 10 17:09:38 client2 nfsidmap[2714]: nfs4_name_to_uid: nsswitch->name_to_uid returned 0</div><div>Feb 10 17:09:38 client2 nfsidmap[2714]: nfs4_name_to_uid: final return value is 0</div><div>Feb 10 17:09:38 client2 nfsidmap[2716]: key: 0x314352bb type: gid value: root@ipa.local timeout 600</div><div>Feb 10 17:09:38 client2 nfsidmap[2716]: nfs4_name_to_gid: calling nsswitch->name_to_gid</div><div>Feb 10 17:09:38 client2 nfsidmap[2716]: nfs4_name_to_gid: nsswitch->name_to_gid returned 0</div><div>Feb 10 17:09:38 client2 nfsidmap[2716]: nfs4_name_to_gid: final return value is 0</div><div>Feb 10 17:09:55 client2 nfsidmap[2722]: key: 0x29600d2b type: uid value: adipa@domino.local@ipa.local timeout 600</div><div>Feb 10 17:09:55 client2 nfsidmap[2722]: nfs4_name_to_uid: calling nsswitch->name_to_uid</div><div>Feb 10 17:09:55 client2 nfsidmap[2722]: nss_getpwnam: name 'adipa@domino.local@ipa.local' domain 'ipa.local': resulting localname '(null)'</div><div>Feb 10 17:09:55 client2 nfsidmap[2722]: nss_getpwnam: name 'adipa@domino.local@ipa.local' does not map into domain 'ipa.local'</div><div>Feb 10 17:09:55 client2 nfsidmap[2722]: nfs4_name_to_uid: nsswitch->name_to_uid returned -22</div><div>Feb 10 17:09:55 client2 nfsidmap[2722]: nfs4_name_to_uid: final return value is -22</div><div>Feb 10 17:09:55 client2 nfsidmap[2722]: nfs4_name_to_uid: calling nsswitch->name_to_uid</div><div>Feb 10 17:09:55 client2 nfsidmap[2722]: nss_getpwnam: name 'nobody@ipa.local' domain 'ipa.local': resulting localname 'nobody'</div><div>Feb 10 17:09:55 client2 nfsidmap[2722]: nfs4_name_to_uid: nsswitch->name_to_uid returned 0</div><div>Feb 10 17:09:55 client2 nfsidmap[2722]: nfs4_name_to_uid: final return value is 0</div><div>Feb 10 17:09:55 client2 nfsidmap[2724]: key: 0x398852c2 type: gid value: posix_users@domino.local@ipa.local timeout 600</div><div>Feb 10 17:09:55 client2 nfsidmap[2724]: nfs4_name_to_gid: calling nsswitch->name_to_gid</div><div>Feb 10 17:09:55 client2 nfsidmap[2724]: nfs4_name_to_gid: nsswitch->name_to_gid returned -22</div><div>Feb 10 17:09:55 client2 nfsidmap[2724]: nfs4_name_to_gid: final return value is -22</div><div>Feb 10 17:09:55 client2 nfsidmap[2724]: nfs4_name_to_gid: calling nsswitch->name_to_gid</div><div>Feb 10 17:09:56 client2 nfsidmap[2724]: nfs4_name_to_gid: nsswitch->name_to_gid returned -2</div><div>Feb 10 17:09:56 client2 nfsidmap[2724]: nfs4_name_to_gid: final return value is -2</div><div><br></div><div><br></div><div>But if I mount with let's say kinit admin no logs in the syslog file of the ubuntu client.</div><div><br></div><div><br></div><div><br></div><div>Another thing is, when mounting on both clients (ubuntu and centos), the NFS server output :</div><div><br></div><div>"nfsserver gssproxy: gssproxy[659]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure.  Minor code may provide more information, No credentials cache found"</div><div>But it works for the centos but not for the ubuntu.</div><div><br></div><div><br></div><div>### NFS server logs for client 2 (Ubuntu) : </div><div><br></div><div>Feb 10 17:30:01 nfsserver systemd: Created slice user-0.slice.</div><div>Feb 10 17:30:01 nfsserver systemd: Starting user-0.slice.</div><div>Feb 10 17:30:01 nfsserver systemd: Started Session 14 of user root.</div><div>Feb 10 17:30:01 nfsserver systemd: Starting Session 14 of user root.</div><div>Feb 10 17:30:01 nfsserver systemd: Removed slice user-0.slice.</div><div>Feb 10 17:30:01 nfsserver systemd: Stopping user-0.slice.</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: Closing 'gssd' pipe for /var/lib/nfs/rpc_pipefs/nfsd4_cb/clnt5</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: destroying client /var/lib/nfs/rpc_pipefs/nfsd4_cb/clnt5</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: handling gssd upcall (/var/lib/nfs/rpc_pipefs/nfsd4_cb/clnt6)</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: handle_gssd_upcall: 'mech=krb5 uid=0 target=host@client2.ipa.local service=nfs enctypes=18,17,16,23,3,1,2 '</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfsd4_cb/clnt6)</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: process_krb5_upcall: service is 'nfs'</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: krb5_use_machine_creds: uid 0 tgtname host@client2.ipa.local</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: Full hostname for 'client2.ipa.local' is 'client2.ipa.local'</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: Full hostname for 'nfsserver.ipa.local' is 'nfsserver.ipa.local'</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: Success getting keytab entry for 'nfs/nfsserver.ipa.local@IPA.LOCAL'</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: INFO: Credentials in CC 'FILE:/tmp/krb5ccmachine_IPA.LOCAL' are good until 1455202622</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: INFO: Credentials in CC 'FILE:/tmp/krb5ccmachine_IPA.LOCAL' are good until 1455202622</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: using FILE:/tmp/krb5ccmachine_IPA.LOCAL as credentials cache for machine creds</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: using environment variable to select krb5 ccache FILE:/tmp/krb5ccmachine_IPA.LOCAL</div><div>Feb 10 17:30:21 nfsserver gssproxy: gssproxy[659]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure.  Minor code may provide more information, No credentials cache found</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: creating tcp client for server client2.ipa.local</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: DEBUG: port already set to 50270</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: creating context with server host@client2.ipa.local</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: WARNING: Failed to create krb5 context for user with uid 0 for server host@client2.ipa.local</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: WARNING: Failed to create machine krb5context with cred cache FILE:/tmp/krb5ccmachine_IPA.LOCAL for server client2.ipa.local</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: WARNING: Machine cache prematurelyexpired or corrupted trying torecreate cache for server client2.ipa.local</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: Full hostname for 'client2.ipa.local' is 'client2.ipa.local'</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: Full hostname for 'nfsserver.ipa.local' is 'nfsserver.ipa.local'</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: Success getting keytab entry for 'nfs/nfsserver.ipa.local@IPA.LOCAL'</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: INFO: Credentials in CC 'FILE:/tmp/krb5ccmachine_IPA.LOCAL' are good until 1455202622</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: INFO: Credentials in CC 'FILE:/tmp/krb5ccmachine_IPA.LOCAL' are good until 1455202622</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: using FILE:/tmp/krb5ccmachine_IPA.LOCAL as credentials cache for machine creds</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: using environment variable to select krb5 ccache FILE:/tmp/krb5ccmachine_IPA.LOCAL</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: creating tcp client for server client2.ipa.local</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: DEBUG: port already set to 50270</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: creating context with server host@client2.ipa.local</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: WARNING: Failed to create krb5 context for user with uid 0 for server host@client2.ipa.local</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: WARNING: Failed to create machine krb5context with cred cache FILE:/tmp/krb5ccmachine_IPA.LOCAL for server client2.ipa.local</div><div>Feb 10 17:30:21 nfsserver gssproxy: gssproxy[659]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure.  Minor code may provide more information, No credentials cache found</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: WARNING: Failed to create machinekrb5 context with any credentialscache for server client2.ipa.local</div><div>Feb 10 17:30:21 nfsserver rpc.gssd[756]: doing error downcall</div><div><br></div><div>### NFS server logs for client 1 (centos 7) : </div><div><br></div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: Closing 'gssd' pipe for /var/lib/nfs/rpc_pipefs/nfsd4_cb/clnt0</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: destroying client /var/lib/nfs/rpc_pipefs/nfsd4_cb/clnt0</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: handling gssd upcall (/var/lib/nfs/rpc_pipefs/nfsd4_cb/clnt8)</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: handle_gssd_upcall: 'mech=krb5 uid=0 target=nfs@client1.ipa.local service=nfs enctypes=18,17,16,23,3,1,2 '</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfsd4_cb/clnt8)</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: process_krb5_upcall: service is 'nfs'</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: krb5_use_machine_creds: uid 0 tgtname nfs@client1.ipa.local</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: Full hostname for 'client1.ipa.local' is 'client1.ipa.local'</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: Full hostname for 'nfsserver.ipa.local' is 'nfsserver.ipa.local'</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: Success getting keytab entry for 'nfs/nfsserver.ipa.local@IPA.LOCAL'</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: INFO: Credentials in CC 'FILE:/tmp/krb5ccmachine_IPA.LOCAL' are good until 1455202622</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: INFO: Credentials in CC 'FILE:/tmp/krb5ccmachine_IPA.LOCAL' are good until 1455202622</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: using FILE:/tmp/krb5ccmachine_IPA.LOCAL as credentials cache for machine creds</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: using environment variable to select krb5 ccache FILE:/tmp/krb5ccmachine_IPA.LOCAL</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: creating tcp client for server client1.ipa.local</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: DEBUG: port already set to 42165</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: WARNING: can't create tcp rpc_clnt to server client1.ipa.local for user with uid 0: RPC: Remote system error - No route to host</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: WARNING: Failed to create machine krb5context with cred cache FILE:/tmp/krb5ccmachine_IPA.LOCAL for server client1.ipa.local</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: WARNING: Machine cache prematurelyexpired or corrupted trying torecreate cache for server client1.ipa.local</div><div>Feb 10 17:34:00 nfsserver gssproxy: gssproxy[659]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure.  Minor code may provide more information, No credentials cache found</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: Full hostname for 'client1.ipa.local' is 'client1.ipa.local'</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: Full hostname for 'nfsserver.ipa.local' is 'nfsserver.ipa.local'</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: Success getting keytab entry for 'nfs/nfsserver.ipa.local@IPA.LOCAL'</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: INFO: Credentials in CC 'FILE:/tmp/krb5ccmachine_IPA.LOCAL' are good until 1455202622</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: INFO: Credentials in CC 'FILE:/tmp/krb5ccmachine_IPA.LOCAL' are good until 1455202622</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: using FILE:/tmp/krb5ccmachine_IPA.LOCAL as credentials cache for machine creds</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: using environment variable to select krb5 ccache FILE:/tmp/krb5ccmachine_IPA.LOCAL</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: creating tcp client for server client1.ipa.local</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: DEBUG: port already set to 42165</div><div>Feb 10 17:34:00 nfsserver gssproxy: gssproxy[659]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure.  Minor code may provide more information, No credentials cache found</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: WARNING: can't create tcp rpc_clnt to server client1.ipa.local for user with uid 0: RPC: Remote system error - No route to host</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: WARNING: Failed to create machine krb5context with cred cache FILE:/tmp/krb5ccmachine_IPA.LOCAL for server client1.ipa.local</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: WARNING: Failed to create machinekrb5 context with any credentialscache for server client1.ipa.local</div><div>Feb 10 17:34:00 nfsserver rpc.gssd[756]: doing error downcall</div><div><br></div><div><br></div><div>So my question is :</div><div>How can I deal with this display problem?</div><div><br></div></div>