我想设置一个 Kerberized NFSv4 服务器,这样客户端就不需要 keytab 来挂载卷(但用户可以像往常一样根据他们的 Kerberos 票证获得权限)。这可能吗?
更准确地说:据我了解,在 Kerberized NFsv4 的“通常”设置中,我们有三种主体。
- 一个用于服务器,名为。
nfs/[email protected] - 每个客户端一个,名为。
host/[email protected] - 每个用户一个,名为
[email protected]。
有了客户端票证,用户可以挂载卷,但无法访问任何文件,因为权限是在用户级别控制的。一旦用户获得了用户票证,他们就可以实际访问文件,但要遵守授予该主体的权限。
这是正确的吗?我想删除客户端票证,基本上说每台计算机都可以安装该卷(但当然仍然需要拥有有效的用户票证才能访问文件)。这可能吗?
我想这样做是因为在我的设置中有很多客户端,而且它们经常变化。我不想关心向所有客户端提供主体和密钥表,也不想跟踪所有事情。
作为中间(在我的例子中,只能部分令人满意)解决方案,可以接受的说法是,客户端仍然需要票证,但有一个通配符主体可以分发给所有客户端。类似这样的内容host/*@EXAMPLE.COM。这可能吗?(我理解,一般来说,Kerberized 服务通过反向 DNS 查找查询检查客户端的主体是否与其 FQDN 名称匹配;但在我的情况下,我的客户端甚至可能没有反向 DNS 记录)。