<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">2014-09-16 20:57 GMT+02:00 Nordgren, Bryce L -FS <span dir="ltr"><<a href="mailto:bnordgren@fs.fed.us" target="_blank">bnordgren@fs.fed.us</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><br>
> Also opened <a href="https://fedorahosted.org/freeipa/ticket/4544" target="_blank">https://fedorahosted.org/freeipa/ticket/4544</a><br>
<br>
Tried to summarize this thread on that ticket.<br>
<br>
Back to the OP's concern, whenever I use NFS as a documentroot for apache (even a WebDAV server), I make a separate mountpoint, fall back to sec=sys, set "all-squash", and specify the webserver's IP. It's not like individual user accounts need a presence on the filesystem. Do you need encryption for your application or is apache just going to spray the content out across the commodity internet via un-encrypted http?<br>
<span class=""><font color="#888888"><br>
Bryce<br>
</font></span><span class="im"><br>
<br>
<br>
<br>
<br>
<br>
This electronic message contains information generated by the USDA solely for the intended recipients. Any unauthorized interception of this message or the use or disclosure of the information it contains may violate the law and subject the violator to civil or criminal penalties. If you believe you have received this message in error, please notify the sender and delete the email immediately.<br>
<br>
</span><div class=""><div class="h5">--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">Hello,</div><div class="gmail_extra"><br></div><div class="gmail_extra">I've already implemented the share as 1.2.3.4(ro,sync,all-squash,sec=sys)</div><div class="gmail_extra">It's not sensitive data and it's also internal, so it will do fine for now as a workaround.</div><div class="gmail_extra">But there is going to be a situation that apache requires access to a document root containing sensitive data, in that case I would prefer a more secure method.</div><div class="gmail_extra"><br></div><div class="gmail_extra">I've been reading up a little on the gss-proxy, which would be the prefered way on the obtaining of the credentials from a keytab.</div><div class="gmail_extra">Have gss-proxy do it or have gss-proxy use  s4u2proxy to fetch the keytab ? (which might also solve some of my ssh anoyances but that's a bit off topic)</div><div class="gmail_extra"><br></div><div class="gmail_extra">Rob Verduijn</div><div class="gmail_extra"><br></div></div>