我无法理解 Linux 中的一些安全性问题。
我有一款软件,它作为用户 X 上的服务运行,它需要对用户 Z 和组 C(均在 LDAP 中)拥有的目录 Y 进行 RW(这在单独的 VM 上运行 - 并且 vm 已加入 kerberos REALM)。目录 Y 是 NFS 挂载的。使用 posix ACL,我将用户 X 添加到目录中
我有 FreeIPA(kerberos)身份验证,将用户 X 迁移到 kerberos 并将其添加到组 C 是否明智?
该目录也用于 samba 共享(Windows 客户端),因此多个用户可以访问它,他们属于 C 组。
我该如何处理服务帐户?有没有什么推荐的读物?
答案1
当然,您可以在 FreeIPA 中创建此类用户和组帐户。我建议确保您使用与独立系统相同的 UID/GID、主目录等,并注意此类帐户将在域中的每台计算机上可用。这意味着如果有一个主目录,它应该存在于域中可能使用该服务帐户的每台计算机上。例如,您可以创建 UID/GID 为 48/48 的用户和组,并通过在可能需要使用该用户和组的每个域成员上安装软件包apache来确保其主目录存在。无论如何您都会这样做,因为 httpd 将使用该用户和组!/usr/share/httpdhttpd