我想将我的服务器存储外部化并通过 NFS 从存储服务器导入。我想使用 NFSv4 和 Kerberos 来确保安全性,并且不必在服务器之间匹配 UID/GID。因此,我配置了所有内容,挂载工作正常,任何拥有有效 Kerberos 票证的用户都可以访问挂载的共享。
现在问题是:人类用户并不是唯一可以访问共享的人,应用程序也可以访问共享,例如 dovecot(邮件存储)、postgres(数据库存储)、seafile(数据存储)、minidlna(媒体存储)。但如何获得有效的票证呢?票证需要续订,因为它们往往会过期。
除了登录时通过 PAM 创建初始票据外,人类用户可以在需要时发出 kinit。但应用程序/守护进程呢?需要修改初始票据的启动脚本和用于续订的 cron 作业吗?或者最好的解决方案是什么?
答案1
为了记录我自己的问题,请回答:Linux 上的答案是 gssproxy,我的具体问题的答案详见https://github.com/gssapi/gssproxy/blob/main/docs/NFS.md