我有一个从使用 Kerberos 保护并使用 LDAP 进行身份验证和 uid/gid 管理的文件服务器导出的 NFS 树。每台客户端机器和每个用户都可以顺利运行,但我不确定如何将部分共享的访问权限授予守护进程。
守护进程通常使用本地系统帐户的 setuid 运行,因此服务器上没有它们的任何特定凭据。如果我能进入并处理源代码,我通常可以让他们在启动时使用 kerberos 中存在的用户的 keytab 文件调用 kinit,但这并不总是可能的。
我们的环境禁止我通过使它们具有世界可读性来破解它们,或者禁止我从 NFS 中完全删除 Kerberos。
我摆弄着向/etc/exportswith和set 添加一个子树all_squash,但这只是让它对每台客户端机器来说都是世界可读的。它需要只能由特定机器访问。anonuid=...anongid=...
我试过使用 samba,但我们有一些守护进程采用“NFS or bust”方法来处理共享(例如,任何涉及 mercurial 的东西)。
我们的大多数服务器都运行 Ubuntu 10.04 LTS,但该问题也影响了我们拥有的 12.04 LTS 客户端。
有没有一种方法可以为整个系统授予特定 Kerberos 用户的系统范围票证,以便该系统上的任何用户始终可以访问共享?或者是否有其他一些方法可以实现我可以调查的这种访问?
