목표

CentOS 8.2의 Active Directory 환경에서 다중 사용자 CIFS 마운트를 설정하고 있습니다. 스토리지 서버는 SMB3.1.1 프로토콜을 지원합니다.

전제조건

realm시스템을 Active Directory에 쉽게 통합할 수 있었고 기본 설정과 요구 사항에 맞게 SSSD(/etc/sssd/sssd.conf) 및 구성을 편집했습니다 .

결과:

• Active Directory 사용자는 로그인할 수 있습니다.

또한 이 게시물에서 이름을 지정할 전용 사용자를 만들었습니다."마운트토리노".마운트토리노CIFS 공유를 마운트하려면 RO(공유 권한) 및 NTFS 권한(루트 폴더 트래버스)이 필요합니다. 식별 정보는 파일에 저장됩니다 /root/cifs.cred.

시나리오 A: NTLM

multiuser및 옵션을 사용하여 CIFS 공유 마운트 ntlmsspi:

//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=ntlmsspi,credentials=/root/cifs.cred 0 0

결과:

• cifscreds add --username <user> <server>최종 사용자 컨텍스트에서 명령 을 실행하는 한 작동합니다.
• cifscreds add --username <user> --domain <domain>명령을 실행하면 작동하지 않습니다.

시나리오 B: Kerberos

multiuser, krb5i및 옵션을 사용하여 CIFS 공유 마운트 cruid:

//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=krb5i,cruid=0,credentials=/root/cifs.cred 0 0

결과:

• 루트로서 kinit mounterino@<DOMAIN>명령 을 실행하는 한 작동합니다.

질문:

• NTLM을 사용하면 왜 cifscreds add --username <user> --domain <domain>작동하지 않습니까? 사용자, 서버 및 클라이언트는 모두 동일한 Windows 도메인의 구성원입니다!
• 더 중요한 것은 Kerberos를 사용하여 Kerberos 티켓을 얻기 위해 루트를 만드는 방법입니다.~ 전에fstab 항목 자동 마운트가 발생합니까? keytab파일을 생성하면 입력할 필요가 없다는 것을 이해합니다.무토리노실행 시 비밀번호를 사용하여 사용을 kinit자동화할 수 있습니다 kinit. 하지만 kinit자동 마운트가 마운트되기 전에 이 실행되는지 어떻게 확인합니까 ? 팸? 시스템 단위?

출처

• https://computingforgeeks.com/join-centos-rhel-system-to-active-directory-domain/
• https://access.redhat.com/articles/3023821
• https://superuser.com/questions/1498295/how-can-i-write-to-dfs-share-with-다른-users-other-than-mount-user-on-the-l
• FSTAB CIFS 커베로스

감사합니다, MauvaisJoueur