环境:我已经使用realmd/sssd 将一些 RHEL 7.3 机器加入了 MS AD 域。我只允许少数允许组的成员可以登录该框。凭证缓存已禁用。一切正常,没有任何问题。
接下来我需要实现什么:我希望使用 Kerberos(无密码)将一个 Windows SMB 共享永久安装到 Linux(在 fstab 或其他位置)。
到目前为止我所取得的成就:我能够挂载 Windows SMB 路径,但当手动生成的 TGT 票证过期时,该路径也会过期。
我是怎么做的:我使用“kinit”生成 TGT 票证
然后使用 kvnp 进行 cifs 挂载的 TGT 票证
然后在 fstab 中使用“sec=krb5”进行条目并提供所需服务帐户的 uid。
使用上述方法,SMB 共享已成功挂载,但在 TGT 票证到期后 9 小时后到期。
请建议我是否可以做些什么来使安装永久化。
笔记:我不会修改 TGT 票证过期时间,认为这可能会导致一些安全或合规性问题。(如果我错了,请纠正我)。
答案1
只要您使用与缓存中使用的相同的默认主体名称,您就应该能够创建一个重复的 cronjob,该 cronjob 使用您的密钥表运行 kinit 假设您已经创建并安全地存储了一个密钥表。