Пользователь вызывает автомонтирование, но получает 'permssion denied' для каталога / файлов

Я боролся с этим в течение нескольких дней, и мне повезло, что окна не открываются слишком широко;-). Я собираю новую инфраструктуру и пытаюсь заставить NFS работать на Ubuntu и работать с FreeIPA, в том числе с Ubuntu. У меня идентификация и сохранение имен работают просто отлично; Я могу выполнить "идентификатор студента" (студент является моим тестовым пользователем) как на NFS-сервере, так и на клиентском компьютере, и я получаю одинаковые значения для uid, gid и групп, которые явно получены из FreeIPA. Я могу зайти на тестовый клиентский компьютер в качестве студента, где учетная запись не определена, и использовать пароль от FreeIPA, чтобы войти.

Вот где это становится странным: "студенту" отказывают в доступе к его домашнему каталогу, хотя попытка доступа к нему приводит к его автоматическому подключению. Если я попытаюсь получить доступ к /home/student как любой пользователь, кроме root (включая пользователя "student"), я получу разрешение. Корень, однако, может это увидеть и осмотреться, если пожелает. Еще более странно: выполнение команды df в качестве студента показывает только локальные монтирования, но в то же время в роли root df одновременно показывает монтирование NFS /home/student и все остальное:

смонтированный дом невидим для владельца, видим только для корня

Среди других ресурсов я в основном использовал это, чтобы показать мне, как использовать FreeIPA с NFS в Ubuntu.

Файл / etc / exports на моем NFS-сервере содержит:

/home    *(rw,sec=sys:krb5:krb5i:krb5p)

Мой Я добавил следующую строку в /etc/auto.master моего клиента:

/home    /etc/auto.home

И auto.home содержит это:

*   -fstype=nfs4,rw,sec=krb5,soft,rsize=8192,wsize=8192 nfs.XXXXXX:/home/&

Предположительно, ipa-client-automount устанавливает файл nsswitch.conf и несколько других файлов, которых, по-видимому, нет в Ubuntu, поэтому сложно определить их влияние. Логи я много не рассказываю.

Я посмотрел инструкции Ubuntu для автоматического монтирования с LDAP, но похоже, что для этого потребуются изменения, которые делают перерыв в использовании FreeIPA.

Я чувствую, что я довольно близко здесь; монтирование происходит, но где-то личность пользователя, кажется, теряется, и предоставляются разрешения на просмотр файлов, которые в противном случае было бы хорошо видеть. Это звучит как что-то знакомое?