ゴール

tag-icon tag-icon kerberos cifs fstab ntlm kinit
ゴール

ゴール

CentOS 8.2 の Active Directory 環境でマルチユーザー CIFS マウントを設定しています。ストレージ サーバーは SMB3.1.1 プロトコルをサポートしています。

前提条件

システムを Active Directory に簡単に統合でき、realm好みやニーズに合わせて SSSD (/etc/sssd/sssd.conf) と構成を編集できました。

結果:

  • Active Directoryユーザーはログインできる

私はまた、この投稿で名前を付ける専用ユーザーを作成しました。マウントリーノ「」。マウントリーノCIFS 共有をマウントするには、共有権限 (RO) と NTFS 権限 (ルート フォルダのトラバース) が必要です。識別情報はファイルに保存されます/root/cifs.cred

シナリオ A: NTLM

multiuserおよびオプションを使用して CIFS 共有をマウントしますntlmsspi

//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=ntlmsspi,credentials=/root/cifs.cred 0 0

結果:

  • cifscreds add --username <user> <server>エンドユーザーのコンテキストから、コマンドを実行する限りは機能します。
  • cifscreds add --username <user> --domain <domain>コマンドを実行しても動作しません

シナリオ B: ケルベロス

multiuser、、krb5iおよびオプションを使用して CIFS 共有をマウントしますcruid

//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=krb5i,cruid=0,credentials=/root/cifs.cred 0 0

結果:

  • kinit mounterino@<DOMAIN>ルートとしてコマンドを実行する限りは動作します

質問:

  • NTLM ではなぜcifscreds add --username <user> --domain <domain>機能しないのでしょうか? ユーザー、サーバー、クライアントはすべて同じ Windows ドメインのメンバーです。
  • さらに重要なのは、Kerberosでルート権限を取得してKerberosチケットを取得する方法です。前にkeytabfstabエントリの自動マウントはどうなるのでしょうか?ファイルを生成することで、入力する必要がなくなるのは理解していますムトリノを実行するときにパスワードを入力するとkinit、使用を自動化できますkinit。しかし、自動マウントがマウントされる前に が実行されるようにするにはどうすればよいでしょうかkinit? PAM ですか? systemd ユニットですか?

出典

よろしくお願いいたします、MauvaisJoueur

関連情報