Meta
Estoy configurando montajes CIFS multiusuario en un entorno de Active Directory en CentOS 8.2. El servidor de almacenamiento admite el protocolo SMB3.1.1.
Requisitos previos
Pude integrar fácilmente el sistema a Active Directory y edité SSSD (/etc/sssd/sssd.conf) y realmla configuración para que coincida con las preferencias y necesidades.
Resultados:
- Los usuarios de Active Directory pueden iniciar sesión
También creé un usuario dedicado que nombraré en esta publicación "monterino".monterinoha requerido permisos compartidos (RO) y permisos NTFS (atravesar la carpeta raíz) para montar los recursos compartidos CIFS. La información de identificación se almacena en el /root/cifs.credarchivo.
Escenario A: NTLM
Montaje de recursos compartidos CIFS con las opciones multiusery ntlmsspi:
//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=ntlmsspi,credentials=/root/cifs.cred 0 0
Resultados:
- Funciona siempre y cuando, desde el contexto del usuario final, ejecute el
cifscreds add --username <user> <server>comando - No funciona si ejecuto
cifscreds add --username <user> --domain <domain>el comando
Escenario B: Kerberos
Montaje de recursos compartidos CIFS con las opciones multiuser, krb5iy cruid:
//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=krb5i,cruid=0,credentials=/root/cifs.cred 0 0
Resultados:
- Funciona siempre y cuando, como root, ejecute el
kinit mounterino@<DOMAIN>comando
Preguntas:
- Con NTLM, ¿por qué
cifscreds add --username <user> --domain <domain>no funciona? ¡El usuario, el servidor y el cliente son todos miembros del mismo dominio de Windows! - Más importante aún, con Kerberos, ¿cómo puedo hacer root para obtener un ticket de Kerberos?antes¿Se produce el montaje automático de entradas de fstab? Entiendo que al generar un
keytabarchivo no tendré que escribirmoutorinocontraseña cuando se ejecutakinit, lo que permite automatizarkinitel uso. Pero, ¿cómo me asegurokinitde que se ejecute antes de montar los montajes automáticos? ¿PAM? unidad del sistema?
Fuentes
- https://computingforgeeks.com/join-centos-rhel-system-to-active-directory-domain/
- https://access.redhat.com/articles/3023821
- https://superuser.com/questions/1498295/cómo-puedo-escribir-en-dfs-compartir-con-diferentes-usuarios-distintos-de-montar-usuario-en-el-l
- FSTAB CIFS kerberos
Saludos cordiales, MauvaisJoueur