Centos

Cron 如何與 Kerberos 互動以進行身份驗證?

  • November 23, 2013

我有一台使用 pam_ldap 和 pam_krb5 設置的 CentOS 6.4 機器。它被配置為使用我們的 Active Directory 伺服器進行身份驗證。我可以使用 AD 帳戶通過 SSH 連接到機器。

我沒有設置任何類型的 keytab 文件。

我在 CentOS 機器上為 AD 使用者設置了一個 crontab,它每分鐘將一些數據寫入文件。作業寫入的文件夾位於 NFS 共享上,並且該文件夾已鎖定,因此只有特定 AD 組的成員才能訪問它。有問題的 AD 使用者是該組的成員,並且在 CentOS 機器上沒有本地帳戶。

當 AD 使用者未登錄時,cron 如何繼續有權以 AD 使用者身份執行作業?

如果您使用的是啟用了 kerberos 的 NFSv4(如果您是,我會非常驚訝),那麼您需要創建某種使用者密鑰表並在 cron 作業開始時使用 kstart 之類的東西來獲取 kerberos tgt。否則,您應該不需要任何 kerberos 憑據來訪問 NFS 文件系統。

這個問題在 AFS 環境中一直存在,並且有一些標準的解決方案。通常,您創建一個備用主體以放入 keytab 並將兩個主體映射到相同的 unix uid。(即,我在 cron 系統上為 fred/cron@MAGIC.WONDER.DOG 創建了一個 keytab)並使用適當的工具將 kerberos 主體映射到 fred@MAGIC.WONDER.DOG 的相同 unix uid。

引用自:https://serverfault.com/questions/555057