考虑到 MacOS 和 Synology(我的 NAS)的特殊特性,我花了一些时间在我的 MacOS、iOS 和 Linux 网络中设置基于 LDAP 的身份验证。SSH 登录(SSH 密钥等)有效,Samba 共享挂载有效。这一切都非常繁琐,而且我现在对 LDAP 的了解比我预期的要多。
然而...
在达到我可以(至少在理论上)登录到我网络中的任何机器的程度之后,我认为用户也可以在任何地方访问同一个主目录会很好。没问题:autofs,也可以从 LDAP 管理!或者我是这么想的……
我正在尝试以下方法来设置 Samba 主目录autofs:
cn=*,ou=auto.home,cn=automount,cn=etc,dc=home,dc=arpa
cn: *
objectClass: automount
objectClass: top
automountInformation: -fstype=cifs,vers=3.0,domain=HOME,rw,username=&,uid=&,gid=& ://s-sy-00.local/home
一些背景:
s-sy-00.local是我的主目录所在的 Synology NAS。/home是 Synology 为 中定义的用户提供的主目录共享的 UNCusername=。
当我使用 SSH 登录到远程机器时,问题就开始了。autofs尝试挂载用户的主目录,但需要用户的密码。我可以将密码放入password=该行中的参数中automountInformation,或者我可以将用户名和密码放入与credentials=参数一起传递的凭据文件中。这两种方法都会增加复杂性(automount每个用户的条目)和重复(在两个不同的地方使用相同的用户名和密码:LDAP 和凭证文件或 LDAP 中的 theautomount和 the posixUser)。
有处理这个问题的标准方法吗?我的搜索引擎技能还没有出现任何东西。
在我看来,有三种可能的解决方案:
- 对其他人来说是显而易见的,但对我来说不是;
- 使用 SSH 密钥从 SSHFS 共享中为每个用户安装凭据文件(可能从 LDAP 动态生成);
- 使用 Kerberos 实现成熟的 SSO。
我更喜欢数字 1 :-) 我对 Kerberos 有反感:它似乎有点矫枉过正,而且肯定相对复杂。
任何人都可以提供一些智慧的话,让我在新的一年里有一个飞跃的开始吗?
