<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">2014-09-16 0:41 GMT+02:00 Anthony Messina <span dir="ltr"><<a href="mailto:amessina@messinet.com" target="_blank">amessina@messinet.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">On Monday, September 15, 2014 06:10:13 PM Nordgren, Bryce L -FS wrote:<br>
> How does the NFS server map the apache user to “something” it recognizes? I<br>
> would suggest that the easiest solution may be to use an IPA account called<br>
> “apache”, so that the mappings would just work, but currently I’m having<br>
> trouble running a service as a domain user via systemd.<br>
> (<a href="https://lists.fedorahosted.org/pipermail/sssd-users/2014-September/002194" target="_blank">https://lists.fedorahosted.org/pipermail/sssd-users/2014-September/002194</a>.<br>
> html)<br>
<br>
</span>Regarding your thread on the sssd-users list, this issue has to do with<br>
systemd not looking up non-local users (via nss/sssd) as these accounts are<br>
not usually available at boot.  I had tried something similar using k5start<br>
(prior to using gssproxy) and found this out:<br>
<a href="https://bugzilla.redhat.com/show_bug.cgi?id=915912" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=915912</a><br>
<span class=""><br>
> Beyond that, for kerberized NFS (local or domain user), you’ll need<br>
> something to keep a fresh ticket on hand, so you may end up running<br>
> something like k5start, and setting KRB5CCNAME in the environment where<br>
> you’re running apache.<br>
<br>
</span>I now use gssproxy for this purpose -- maintaining NFS/KRB5 credentials for<br>
the "apache" user.  But I can tell you that I haven't yet figured out what I<br>
need to do to have FreeIPA issue Kerberos credentials for the "apache" user,<br>
while restricting the "apache" user in FreeIPA, based on the security concerns<br>
mentioned by John Dennis in the following email:<br>
<a href="https://www.redhat.com/archives/freeipa-users/2013-February/msg00268.html" target="_blank">https://www.redhat.com/archives/freeipa-users/2013-February/msg00268.html</a>.<br>
<br>
Not trying to hijack the thread, but it would be helpful to have some<br>
instruction on:  What is the FreeIPA-recommended way to enable Kerberos<br>
functionality for a system account user, while restricting that system-account<br>
user?  The "apache" user being one that seems to be brought up frequently.<br>
<span class=""><font color="#888888"><br>
-A<br>
<br>
--<br>
Anthony - <a href="https://messinet.com/" target="_blank">https://messinet.com/</a> - <a href="https://messinet.com/~amessina/gallery
8F89" target="_blank">https://messinet.com/~amessina/gallery<br>
8F89</a> 5E72 8DF0 BCF0 10BE 9967 92DC 35DC B001 4A4E<br>
</font></span><br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div><div class="gmail_extra">Hello all,</div><div class="gmail_extra"><br></div><div class="gmail_extra">It seems after doing some more serious googling I found that using a system-account is problematic when using kerberized nfs4.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Like Anthony mentioned it would be nice to have a 'general' howto on how to deal with this situation.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Apache trying to use a document root on a kerberized nfs4 share being a very nice use case.</div><div class="gmail_extra"><br></div><div class="gmail_extra">btw after I posted this I spend some more time on google and found this old kb article on <a href="http://access.redhat.com">access.redhat.com</a> com that deals with a kerberized nfs document root for apache:</div><div class="gmail_extra"><a href="https://access.redhat.com/solutions/56581">https://access.redhat.com/solutions/56581</a><br></div><div class="gmail_extra">I haven't tried it yet cause it feels a bit like a workaround to me and I hoped to find a more elegant solution using ipa,</div><div class="gmail_extra"><br></div><div class="gmail_extra">Cheers</div><div class="gmail_extra">Rob Verduijn</div></div>