<div dir="ltr">Hi Alexander, <div><br></div><div>Thanks for the link. I read through it again, and I am still stuck on the rpcgss service on the server...I don't know how to properly restart it. The service in the documents is <span style="color:rgb(0,0,0);line-height:1.1em;background-color:rgb(249,249,249)">service nfs-secure-server enable (FC16), or rpcsvcgssd.service (RH7), but I cannot enable using those.</span></div><div><br>I killed rpc.gssd process on the client and restarted manually with rpc.gssd -vvv, which gave me more output. There is a flag set in /etc/sysconfig/nfs which should have already been giving that output, but it never took effect, even though I restarted nfs-server and nfs-secure-server. What is the right way to restart rpcgssd.service and rpcsvcgssd.service?</div><div><br></div><div>Anyway, after manually killing and executing rpc.gssd, the homedir automounts with krb5p when I ssh to the machine (yay - first time!), but the files are owned by nobody. I cannot access the files as the owner. The UID of the file owner is low (between 500-1000), so I had to change the user's UID just to be able to login (<1000 is blocked by PAM). Maybe the fact that the user with a matching UID doesn't exist is causing a problem in mapping the files' owner to a user? If so, how do I most efficiently map the name of the file owner to the user with a different numerical UID? I had hoped the kerberos auth might handle this for me. </div><div><br></div><div>The homedir does not mount when I su from root (not particularly a problem, but it was muddling the issue). This clued me in: rpc.gssd[9928]: No key table entry found for root/nfsclient.domain.tld.</div><div><br></div><div>Thank you!</div><div>Joanna</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 1, 2016 at 3:59 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, 01 Jul 2016, Joanna Delaporte wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I am having trouble using NFSv4 via krb5 on my new IPA realm, and I am<br>
starting to wonder if I don't have HBAC rules set up correctly.  I<br>
installed freeIPA with --no_hbac_allow.<br>
<br>
I have an HBAC service defined as an nfs service:<br>
$ ipa hbacsvc-add --desc="NFS service" nfs<br>
<br>
I have an HBAC rule that allows all users to access all services on a group<br>
of hosts. My nfsclient is in that group.<br>
<br>
Is that enough to allow users rights to mount nfs shares? Do I need some<br>
sort of HBAC between the nfsclient and the nfsserver?<br>
</blockquote></span>
HBAC is not involved at all for NFS use. Remember, HBAC checks are run<br>
by SSSD when it is called by PAM session setup. There is nothing like<br>
that for NFS mounts.<br>
<br>
Have you read <a href="http://wiki.linux-nfs.org/wiki/index.php/NFS_and_FreeIPA" rel="noreferrer" target="_blank">http://wiki.linux-nfs.org/wiki/index.php/NFS_and_FreeIPA</a> ?<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><br><br>Joanna Delaporte<br>Linux Systems Administrator | Parkland College<br><a href="mailto:joannadelaporte@gmail.com" target="_blank">joannadelaporte@gmail.com</a><br></div>
</div>