如何在 RHEL7 上使用 kerberos 身份验证获得持久(永久)smb 挂载?

如何在 RHEL7 上使用 kerberos 身份验证获得持久(永久)smb 挂载?

环境:我已经使用realmd/sssd 将一些 RHEL 7.3 机器加入了 MS AD 域。我只允许少数允许组的成员可以登录该框。凭证缓存已禁用。一切正常,没有任何问题。

接下来我需要实现什么:我希望使用 Kerberos(无密码)将一个 Windows SMB 共享永久安装到 Linux(在 fstab 或其他位置)。

到目前为止我所取得的成就:我能够挂载 Windows SMB 路径,但当手动生成的 TGT 票证过期时,该路径也会过期。

我是怎么做的:我使用“kinit”生成 TGT 票证

然后使用 kvnp 进行 cifs 挂载的 TGT 票证

然后在 fstab 中使用“sec=krb5”进行条目并提供所需服务帐户的 uid。

使用上述方法,SMB 共享已成功挂载,但在 TGT 票证到期后 9 小时后到期。

请建议我是否可以做些什么来使安装永久化。

笔记:我不会修改 TGT 票证过期时间,认为这可能会导致一些安全或合规性问题。(如果我错了,请纠正我)。

答案1

只要您使用与缓存中使用的相同的默认主体名称,您就应该能够创建一个重复的 cronjob,该 cronjob 使用您的密钥表运行 kinit 假设您已经创建并安全地存储了一个密钥表。

相关内容