我有一个从使用 Kerberos 保护并使用 LDAP 进行身份验证和 uid/gid 管理的文件服务器导出的 NFS 树。每台客户端机器和每个用户都可以顺利运行,但我不确定如何将部分共享的访问权限授予守护进程。
守护进程通常使用本地系统帐户的 setuid 运行,因此服务器上没有它们的任何特定凭据。如果我能进入并处理源代码,我通常可以让他们在启动时使用 kerberos 中存在的用户的 keytab 文件调用 kinit,但这并不总是可能的。
我们的环境禁止我通过使它们具有世界可读性来破解它们,或者禁止我从 NFS 中完全删除 Kerberos。
我摆弄着向/etc/exportswith和set 添加一个子树all_squash,但这只是让它对每台客户端机器来说都是世界可读的。它需要只能由特定机器访问。anonuid=...anongid=...
我试过使用 samba,但我们有一些守护进程采用“NFS or bust”方法来处理共享(例如,任何涉及 mercurial 的东西)。
我们的大多数服务器都运行 Ubuntu 10.04 LTS,但该问题也影响了我们拥有的 12.04 LTS 客户端。
有没有一种方法可以为整个系统授予特定 Kerberos 用户的系统范围票证,以便该系统上的任何用户始终可以访问共享?或者是否有其他一些方法可以实现我可以调查的这种访问?
一种“正确”的方法是重写初始化脚本以在守护进程模式和每个守护进程的密钥表中使用 k5start 。这将确保正在运行的守护进程在运行时可以访问有效的凭证缓存。
您可能需要 daemon/hostname.domain.tld 样式原则。它们更容易跟踪,也更容易管理密钥表。将密钥添加到密钥表会自动增加密钥版本号 (KVNO) 并随机化该主体的“密码”。
如果您正在运行 gssproxy,使用标准的 nfs-client 配置,例如:
您可以将服务的密钥表放在 /var/lib/gssproxy/clients/%UID%.keytab 中,gssproxy 将为您创建票证。这可能比使用 k5start 更可取,因为 k5start 会干扰 SELinux 转换。