目標

tag-icon tag-icon kerberos cifs fstab ntlm kinit
目標

目標

我正在 CentOS 8.2 下的 Active Directory 環境中設定多用戶 CIFS 掛載。儲存伺服器支援SMB3.1.1協定。

先決條件

我可以輕鬆地將系統整合到 Active Directory,並且我編輯了 SSSD (/etc/sssd/sssd.conf) 和realm配置來匹配偏好和需求。

結果:

  • Active Directory 使用者可以登入

我還創建了一個專門的用戶,我將在這篇文章中命名“蒙托里諾」。蒙托里諾具有掛載 CIFS 共用所需的共用權限 (RO) 和 NTFS 權限(遍歷根資料夾)。識別資訊儲存在/root/cifs.cred文件中。

場景 A:NTLM

multiuser使用和選項掛載 CIFS 共用ntlmsspi

//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=ntlmsspi,credentials=/root/cifs.cred 0 0

結果:

  • 只要我從最終用戶上下文中運行命令,它就可以cifscreds add --username <user> <server>工作
  • cifscreds add --username <user> --domain <domain>如果我運行命令它不起作用

場景 B:Kerberos

multiuser使用、krb5i和選項掛​​載 CIFS 共用cruid

//<server>/<share> /mnt/<mount point> cifs auto,_netdev,rw,noexec,nodev,nosuid,noperm,cache=strict,hard,vers=3.1.1,multiuser,sec=krb5i,cruid=0,credentials=/root/cifs.cred 0 0

結果:

  • 只要我以 root 身份運行kinit mounterino@<DOMAIN>命令,它就可以工作

問題:

  • 使用 NTLM,為什麼cifscreds add --username <user> --domain <domain>不起作用?使用者、伺服器和客戶端都是同一個Windows網域的成員!
  • 更重要的是,有了Kerberos,我怎麼才能root才能拿到Kerberos票證自動掛載 fstab 條目會發生嗎?我知道透過生成keytab文件,我不必輸入穆托里諾運行時輸入密碼kinit,允許自動kinit使用。但如何確保kinit在安裝自動掛載之前運行?帕姆?系統單元?

來源

最好的問候, MauvaisJoueur

相關內容