Cron 如何与 Kerberos 交互进行身份验证？

Question 1

如果您使用的是启用了 kerberos 的 NFSv4（如果您使用的是，我会非常惊讶），那么您需要创建某种用户密钥表，并在 cron 作业开始时使用类似 kstart 的程序来获取 kerberos tgt。否则，您不需要任何 kerberos 凭据即可访问 NFS 文件系统。

这个问题在 AFS 环境中一直存在，并且有一些标准解决方案。通常，您会创建一个备用主体放入密钥表中，并将两个主体映射到同一个 unix uid。（例如，我在 cron 系统上为 fred/ 创建了一个密钥表[电子邮件保护]）并使用适当的工具将 kerberos 主体映射到相同的 unix uid[电子邮件保护]。

Answer

如果您使用的是启用了 kerberos 的 NFSv4（如果您使用的是，我会非常惊讶），那么您需要创建某种用户密钥表，并在 cron 作业开始时使用类似 kstart 的程序来获取 kerberos tgt。否则，您不需要任何 kerberos 凭据即可访问 NFS 文件系统。

这个问题在 AFS 环境中一直存在，并且有一些标准解决方案。通常，您会创建一个备用主体放入密钥表中，并将两个主体映射到同一个 unix uid。（例如，我在 cron 系统上为 fred/ 创建了一个密钥表[电子邮件保护]）并使用适当的工具将 kerberos 主体映射到相同的 unix uid[电子邮件保护]。

Question 2

作业正在写入的文件夹位于 NFS 共享上

NFSv3？没有进行身份验证。NFSv3 相信客户的说法，即用户就是他们所说的那个人。它也完全不安全 - 如果我拥有对某个框的 root 访问权限，那么即使该共享是 root_squash，我也可以 su 并访问 NFS 共享上的用户文件。

Cron 实际上并不是以 DOMAIN\user 的身份运行该作业，而是以 UID # 的身份运行它，而这正是 NFSv3 所关心的。

现在，如果您正在安装 CIFS/NFSv4 共享，它将会失败。

Answer

作业正在写入的文件夹位于 NFS 共享上

NFSv3？没有进行身份验证。NFSv3 相信客户的说法，即用户就是他们所说的那个人。它也完全不安全 - 如果我拥有对某个框的 root 访问权限，那么即使该共享是 root_squash，我也可以 su 并访问 NFS 共享上的用户文件。

Cron 实际上并不是以 DOMAIN\user 的身份运行该作业，而是以 UID # 的身份运行它，而这正是 NFSv3 所关心的。

现在，如果您正在安装 CIFS/NFSv4 共享，它将会失败。

Cron 如何与 Kerberos 交互进行身份验证？

答案1

答案2

相关内容