我有一个 Windows 文件共享服务器,想要使用 PKI 身份验证在 Linux 服务器中安装这些 CIFS。这是使用用户名和密码在 Linux 中挂载 Windows 共享的命令:
mount.cifs //HPSERVER/WindowsFS-bup/ /home/maxg/bmsOnSrvr --v -o user=linux,pass=****
任何想法或建议表示赞赏。
答案1
据我所知,SMB(Windows 文件共享协议)不直接支持 PKI 身份验证,但支持 Kerberos 身份验证。
因此,如果 Windows 文件共享服务器是 Active Directory 域的成员,并且您可以安排某种方式使用 PKI 身份验证来获取 Kerberos 身份验证票证,则可以使用它(使用sec=krb5
或sec=krb5i
选项mount.cifs
)来挂载共享。这似乎是可能的,但相当复杂。
第一步是使用pkinit
(krb5-pkinit
在某些发行版中打包)使用 PKI 身份验证获取初始 Kerberos 身份验证票证。一旦运行该命令的用户拥有Windows 域的mount.cifs
有效票证,就可以在使用挂载选项时自动请求进一步的票证。krbtgt
mount.cifs
cifs/[email protected]
sec=krb5[i]
这看起来像是对此类设置的相当详细的描述: 针对 Active Directory 启用智能卡身份验证并使用 PKINIT 生成 TGT。