我设置了一个 FreeRADIUS 服务器,其 SQL 后端在远程 MariaDB 实例上运行。身份验证和流量加密应由 Kerberos 处理,以k5start维护票证。该系统在 Debian 11 实例上运行。
我创建了一个覆盖/etc/systemd/system/freeradius.service:
[Service]
Environment="KRB5CCNAME=/run/freeradius/sql.tkt"
ExecStartPre=/usr/bin/k5start -u radius_user -f /etc/freeradius/3.0/freeradius.keytab -o freerad -g freerad -m 600 -H 60 -b -K 30 -L -k /run/freeradius/sql.tkt
这基本上是可行的。但是,由于这是一项后台服务,因此很可能k5start在某一天崩溃,然后在票证过期后 RADIUS 将关闭。
另一个不太令人担忧的问题是,k5start在这种情况下,以 RADIUS 用户身份运行,即密钥表必须可由 RADIUS 用户读取。我更喜欢将其设置为root:root 0600。
当然,我可以将其k5start作为一项自己的服务来运行,这在启动/run/freeradius时存在一些不一定存在的轻微美观问题,k5start即,我必须使用另一个目录来保存票证,并且考虑到PrivateTmp=true它可能不在/tmp。
因此,我的理想解决方案是freeradius.service创建/run/freeradius目录,然后启动类似的东西ticket.service,然后恢复启动 RADIUS。看起来类似于BindsTo=,但仍有不同。
有没有更好的解决方案来systemd监视它k5start并在它消失时重新启动它?
答案1
在一个 systemd 服务中启动多个依赖守护进程
不要。Systemd 明确不支持每个 .service 单元有多个“受监控”进程。这k5start应该是 FreeRADIUS 所依赖的单独服务。
因此,我的理想解决方案是 freeradius.service 将创建 /run/freeradius 目录,然后启动 ticket.service 之类的程序,然后恢复启动 RADIUS。看起来类似于 BindsTo=,但仍有不同。
通过 预先创建目录tmpfiles.d,这是在将“RuntimeDirectory=”作为功能添加到 systemd 之前的常见做法。
/etc/tmpfiles.d/freeradius.conf
d /run/freeradius 0750 半径 半径 -
一旦拥有了这些,您就可以使用常规Requires=和After=依赖项链接这两个服务:
[Unit]
[email protected]
[email protected]
请注意,使用最新的 MIT libkrb5,您不需要单独的任务来维护密钥表 - 如果通过环境变量指定,libkrb5 可以使用“客户端密钥表”自行获取票证:
radiusd配置文件
环境 { KRB5_CLIENT_KTNAME = '文件:/etc/raddb/radius.keytab' }
...或者如果密钥表位于FILE:/var/lib/krb5/user/%{euid}/client.keytab(参见default_client_keytab_namekrb5.conf(5))。
另一个不太令人担忧的问题是,在这种情况下,k5start 是以 RADIUS 用户身份运行的,即密钥表必须可由 RADIUS 用户读取。我更喜欢将其设置为 root:root 0600。
k5start 支持使用该选项将票证缓存的所有权转让给另一个用户-o <user>。
另一种选择是使用gssproxy,它类似于 Kerberos 票证的 ssh-agent。启用 gssproxy 后,radiusd 根本不需要票证缓存 - gssproxy 将代表 radiusd 更新票证并建立 GSS 安全上下文。
/etc/gssproxy/50-radius.conf
[服务/ldap] 机械 = krb5 cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U cred_store = client_keytab:/etc/radius.keytab cred_usage = 发起 euid = radius_user
radiusd配置文件
环境 { GSS_USE_PROXY = '1' }