Linux
NFS 客戶端密鑰表:多台機器
應該如何為每台客戶端機器設置客戶端密鑰表文件以訪問網路服務?我的工作範例是 NFSv4,它要求每個客戶端在客戶端電腦(以及 NFS 伺服器主機)上本地有一個 Kerberos 密鑰表。
- 在需要訪問 NFS 主機的所有客戶端電腦之間共享通用密鑰表文件(用於 NFS 目的)中的相同密鑰可能會導致什麼不良情況(如果有)?
- 如果從 #1 的結果來看,我們確實需要在**每個客戶端的不同密鑰表中使用單獨的密鑰,那麼為每個客戶端自動創建密鑰表是一種有效且更重要的是安全的方法幾千台機器?我不想在每個盒子上生成和導出密鑰!
通用密鑰表根本沒有用 - Kerberos 服務原則與主機名相關聯。因此,通用密鑰表根本行不通。您不一定需要特定於 NFS 的密鑰 - 取決於您使用的作業系統版本。我們可以用來
HOST/full.qualified.hostname
在 RHEL 6+ 上驗證 NFS。所以是的,您確實需要在每台機器上都有一個密鑰表。我知道這很可怕,但事情就是這樣。
請記住,在 Windows 域中,您必須在“域加入”過程中有效地執行相同的操作 - 其中一項主要操作是在 Windows 客戶端上創建密鑰表。
我們已經開始了集成域的道路——將我們的 Linux 客戶端綁定到 Windows AD。使用這種方法,您可以
net
在 Linux 上使用該命令,例如net ads join
,我認為這是 SAMBA 的一部分。您可以在其中嵌入使用者名和密碼,並通過您已有的任何現有自動化機制執行它。(net ads keytab create
也確實……好吧,正如它在錫上所說的那樣。)如果您不使用廣告,那麼恐怕我不知道。我會想像存在類似的東西來生成密鑰表。