Meta
Estou configurando montagens CIFS multiusuário em um ambiente Active Directory no CentOS 8.2. O servidor de armazenamento suporta o protocolo SMB3.1.1.
Pré-requisitos
Eu poderia integrar facilmente o sistema ao Active Directory e editei o SSSD (/etc/sssd/sssd.conf) e realma configuração para atender às preferências e necessidades.
Resultados:
- Os usuários do Active Directory podem fazer login
Também criei um usuário dedicado que nomearei neste post "monterino".monterinoexigiu permissões de compartilhamento (RO) e permissões NTFS (atravessar pasta raiz) para montar os compartilhamentos CIFS. As informações de identificação são armazenadas no /root/cifs.credarquivo.
Cenário A: NTLM
Montando os compartilhamentos CIFS com as opções multiusere ntlmsspi:
//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=ntlmsspi,credentials=/root/cifs.cred 0 0
Resultados:
- Funciona desde que, no contexto do usuário final, eu execute o
cifscreds add --username <user> <server>comando - Não funciona se eu executar
cifscreds add --username <user> --domain <domain>o comando
Cenário B: Kerberos
Montando os compartilhamentos CIFS com as opções multiuser, krb5ie cruid:
//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=krb5i,cruid=0,credentials=/root/cifs.cred 0 0
Resultados:
- Funciona desde que, como root, eu execute o
kinit mounterino@<DOMAIN>comando
Questões:
- Com NTLM, por que
cifscreds add --username <user> --domain <domain>não funciona? O usuário, o servidor e o cliente são membros do mesmo domínio do Windows! - Mais importante ainda, com Kerberos, como posso fazer root para obter um tíquete Kerberosantesa montagem automática de entradas fstab acontece? Entendo que ao gerar um
keytabarquivo, não precisarei digitarMoutorinosenha ao executarkinit, o que permite automatizarkinito uso. Mas como posso ter certezakinitde que será executado antes que as montagens automáticas sejam montadas? PAM? unidade do sistema?
Fontes
- https://computingforgeeks.com/join-centos-rhel-system-to-active-directory-domain/
- https://access.redhat.com/articles/3023821
- https://superuser.com/questions/1498295/how-can-i-write-to-dfs-share-with- Different-Users-other-than-mount-user-on-the-l
- Kerberos FSTAB CIFS
Atenciosamente, MauvaisJoueur