Nfs
如何讓 sssd 獲取掛載 NFS 共享服務的票證?
我在公司環境中有一個工作設置,我們使用 RHEL7 和 SSSD 對 Active Directory 進行身份驗證。正常身份驗證效果很好。
我設法讓 NFSv4 伺服器與所有使用相同域以及 Kerberos 和 SSSD 的 NFSv4 客戶端一起工作,但只能以互動方式(即:SSSD 在登錄時自動創建票證或使用 kinit 手動創建)。
這些 NFS 共享的目的是儲存一些需要應用程序使用者(即 httpd 或 tomcat)訪問的內容。
這種部署以非互動方式使使用者可以訪問的最佳方法是什麼?
我通常用於此的方法:
- 為需要訪問的服務創建使用者帳戶
- 使用 kadmin 為該服務創建密鑰表。
- 使用諸如 k5start 之類的過程來確保以適當的時間間隔刷新 keytab。
為了便於管理,我經常將這個 SystemD 單元文件(或變體)用於 k5start。將其配置為由 systemd 管理的使用者服務。
[Unit] Description=Service User Kerberos Auth (Keytab) After=dbus.service After=network.target After=NetworkManager.service [Service] Environment="KEYTAB=${HOME}/krb5.keytab" Environment="INTERVAL=120" Type=simple ExecStart=/usr/bin/k5start -f ${KEYTAB} -K ${INTERVAL} -L -u ${USER}