Nfs

如何讓 sssd 獲取掛載 NFS 共享服務的票證?

  • April 29, 2022

我在公司環境中有一個工作設置,我們使用 RHEL7 和 SSSD 對 Active Directory 進行身份驗證。正常身份驗證效果很好。

我設法讓 NFSv4 伺服器與所有使用相同域以及 Kerberos 和 SSSD 的 NFSv4 客戶端一起工作,但只能以互動方式(即:SSSD 在登錄時自動創建票證或使用 kinit 手動創建)。

這些 NFS 共享的目的是儲存一些需要應用程序使用者(即 httpd 或 tomcat)訪問的內容。

這種部署以非互動方式使使用者可以訪問的最佳方法是什麼?

我通常用於此的方法:

  • 為需要訪問的服務創建使用者帳戶
  • 使用 kadmin 為該服務創建密鑰表。
  • 使用諸如 k5start 之類的過程來確保以適當的時間間隔刷新 keytab。

為了便於管理,我經常將這個 SystemD 單元文件(或變體)用於 k5start。將其配置為由 systemd 管理的使用者服務。

[Unit]
Description=Service User Kerberos Auth (Keytab)
After=dbus.service
After=network.target
After=NetworkManager.service

[Service]
Environment="KEYTAB=${HOME}/krb5.keytab"
Environment="INTERVAL=120"
Type=simple
ExecStart=/usr/bin/k5start -f ${KEYTAB} -K ${INTERVAL} -L -u ${USER} 

引用自:https://serverfault.com/questions/882306