Цель
Я настраиваю многопользовательские CIFS-монтирования в среде Active Directory под CentOS 8.2. Сервер хранения поддерживает протокол SMB3.1.1.
Предпосылки
Я смог легко интегрировать систему в Active Directory и отредактировал SSSD (/etc/sssd/sssd.conf) и realmконфигурацию в соответствии со своими предпочтениями и потребностями.
Полученные результаты:
- Пользователи Active Directory могут войти в систему
Я также создал специального пользователя, имя которого я укажу в этом посте.маунторино".маунториноимеет требуемые разрешения на общий доступ (RO) и разрешения NTFS (проход через корневую папку) для монтирования общих ресурсов CIFS. Идентификационная информация хранится в файле /root/cifs.cred.
Сценарий А: NTLM
Монтирование общих ресурсов CIFS с параметрами multiuserи ntlmsspi:
//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=ntlmsspi,credentials=/root/cifs.cred 0 0
Полученные результаты:
- Это работает до тех пор, пока я из контекста конечного пользователя запускаю
cifscreds add --username <user> <server>команду - Это не работает, если я запускаю
cifscreds add --username <user> --domain <domain>команду
Сценарий B: Kerberos
Монтирование общих ресурсов CIFS с параметрами multiuser, krb5i, и cruid:
//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=krb5i,cruid=0,credentials=/root/cifs.cred 0 0
Полученные результаты:
- Это работает до тех пор, пока я, как root, запускаю
kinit mounterino@<DOMAIN>команду
Вопросы:
- Почему не работает NTLM
cifscreds add --username <user> --domain <domain>? Пользователь, сервер и клиент — все являются членами одного домена Windows! - Что еще более важно, с помощью Kerberos, как мне получить права root, чтобы получить билет Kerberos?допроисходит автоматическое монтирование записей fstab? Я понимаю, что, создав
keytabфайл, мне не придется вводитьмоуторинопароль при запускеkinit, что позволяет автоматизироватьkinitиспользование. Но как мне убедиться,kinitчто он запущен до того, как будут смонтированы автомонтирования? PAM? systemd unit?
Источники
- https://computingforgeeks.com/join-centos-rhel-system-to-active-directory-domain/
- https://access.redhat.com/articles/3023821
- https://superuser.com/questions/1498295/how-can-i-write-to-dfs-share-with-different-users-other-than-mount-user-on-the-l
- FSTAB CIFS керберос
С наилучшими пожеланиями, MauvaisJoueur