我正在尝试设置一个 yum 服务器,其中软件包存储在 Kerberised NFSv4 共享上。如何获取运行 apache 和 reposync 的服务用户名 (my-yum-service-accnt),以便能够读取和写入 NFSv4 共享,因为它作为服务帐户无法 kinit?
答案1
服务需求以某种方式获取 Kerberos 票证 – 如果没有密码,则使用 keytab。
在 Kerberos KDC 上创建您想要的任何帐户,并将其密钥提取到密钥表文件中。(我想您可以为此使用默认主机密钥表,但为了安全起见,使用单独的密钥表会更好。)
使用k5开始使用 keytab 获取票证。(为了进行测试,可以使用一次性操作kinit -k -t,但需要 k5start(或至少一个 cronjob)来定期刷新它们。)
最后KRB5CCNAME在 Apache 环境中设置指向新票证缓存。(这可以通过编辑 httpd.service 或等效的 init.d 脚本来完成。)
如果服务器有 MIT Kerberos 1.11 或更新版本,则可以使用更简单的方式完成此操作keytab 启动功能,通过将 keytab 放在 处/var/lib/krb5/user/<apacheuid>/client.keytab。这使得 k5start 和 KRB5CCNAME 变得不再必要。