我想设置一个Kerberized NFSv4服务器,这样客户端不需要一个keytab来挂载一个卷(但是这样用户就像往常一样根据他们的Kerberos票据获得他们的权限)。 可能吗?
更确切地说:我的理解是,在Kerberized NFsv4的“常规”设置中,我们有三种校长。
nfs/[email protected] 。 host/[email protected] 。 [email protected] 。 使用客户端票据,可以挂载卷,但是无法访问任何文件,因为权限是在用户级别进行控制的。 一旦用户获得了用户票据,他们实际上可以访问这些文件,受到授予该主体的特权的支配。
它是否正确? 我想删除客户票据,基本上说,每台电脑都可以挂载音量(但当然还要有一个有效的用户票据才能访问文件)。 这可能吗?
我想这样做,因为在我的环境中有很多客户,他们经常变化。 我不想关心给所有人一个校长和一个keytab,而且必须跟踪事情。
作为一个中间人(在我的情况下只能部分满足),可以接受的是,客户仍然需要一张票,但是有一个通配符主体可以分发给所有的客户。 像host/*@EXAMPLE.COM 。 这可能吗? (据我所知,一般来说,Kerberized服务通过反向DNS查询查询客户主体与其FQDN名称相匹配;但在我的情况下,我的客户甚至可能没有反向DNSlogging)。