Ziel
Ich richte Multi-User-CIFS-Mounts in einer Active Directory-Umgebung unter CentOS 8.2 ein. Der Speicherserver unterstützt das SMB3.1.1-Protokoll.
Voraussetzungen
Ich konnte das System problemlos in das Active Directory integrieren und habe SSSD (/etc/sssd/sssd.conf) und realmdie Konfiguration bearbeitet, um sie an Vorlieben und Bedürfnisse anzupassen.
Ergebnisse:
- Active Directory-Benutzer können sich anmelden
Ich habe auch einen dedizierten Benutzer erstellt, den ich in diesem Beitrag nenne "bergorino".bergorinoverfügt über die erforderlichen Freigabeberechtigungen (RO) und NTFS-Berechtigungen (Stammordner durchsuchen), um die CIFS-Freigaben zu mounten. Identifikationsinformationen sind in der /root/cifs.credDatei gespeichert.
Szenario A: NTLM
Einbinden der CIFS-Freigaben mit den Optionen multiuserund ntlmsspi:
//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=ntlmsspi,credentials=/root/cifs.cred 0 0
Ergebnisse:
- Es funktioniert, solange ich im Endbenutzerkontext den
cifscreds add --username <user> <server>Befehl ausführe - Es funktioniert nicht, wenn ich
cifscreds add --username <user> --domain <domain>den Befehl ausführe
Szenario B: Kerberos
Mounten der CIFS-Freigaben mit den Optionen multiuser, krb5i, und cruid:
//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=krb5i,cruid=0,credentials=/root/cifs.cred 0 0
Ergebnisse:
- Es funktioniert, solange ich als Root den
kinit mounterino@<DOMAIN>Befehl ausführe.
Fragen:
- Warum funktioniert das mit NTLM
cifscreds add --username <user> --domain <domain>nicht? Benutzer, Server und Client sind alle Mitglieder derselben Windows-Domäne! - Noch wichtiger: Wie kann ich mit Kerberos rooten, um ein Kerberos-Ticket zu erhalten?VorAutomounting von Fstab-Einträgen passiert? Ich verstehe, dass
keytabich durch das Generieren einer Datei nicht eingeben mussAbonnierenPasswort beim Ausführenkinit, wodurch die Nutzung automatisiert werden kannkinit. Aber wie stelle ich sicher,kinitdass es ausgeführt wird, bevor Automounts gemountet werden? PAM? Systemd-Einheit?
Quellen
- https://computingforgeeks.com/join-centos-rhel-system-to-active-directory-domain/
- https://access.redhat.com/articles/3023821
- https://superuser.com/questions/1498295/wie-kann-ich-in-dfs-share-mit-verschiedenen-benutzern-anderen-als-mount-user-on-the-l-schreiben
- FSTAB CIFS Kerberos
Freundliche Grüße, MauvaisJoueur