Red Hat 上的多用户 SMB 挂载:尽管 cifscreds 不同,用户仍可以看到彼此的文件夹

Red Hat 上的多用户 SMB 挂载:尽管 cifscreds 不同,用户仍可以看到彼此的文件夹

我们正在尝试在 Red Hat 9 机器上安装 Windows 文件系统。此 Windows 文件系统包含数百个具有精细调整的访问权限的帐户。

我们正在尝试实施 Red Hat 文档中提供的说明关联

我们定义了一个具有最小可见性的服务帐户,并将其用作挂载的“服务帐户”,如下所示:

mount -t cifs -o username=minimaluser,cifsacl,multiuser,sec=ntmlssp //machine.name.local/Data /mnt

或者:

mount -t cifs -o username=minimaluser,cifsacl,multiuser,sec=ntmlsspi //machine.name.local/Data /mnt

一旦完成此操作,机器上的 root 帐户就只会minimaluser看到/mnt/

我们有两个测试用户,Mickey 和 Donald,每个用户都有不同的访问权限。我们以 Mickey 的身份连接以执行以下操作cifscreds

cifscreds add -u mickey machine.name.local

这对 Mickey 来说非常完美,他可以在具有正确权限的情况下查看 中的内容/mnt。但是,如果 Donald 登录,他也可以看到 Mickey 的文件夹和文件!(root 以及通过 SSH 连接到机器的任何其他用户也可以看到。)

如果唐纳德参选:

cifscreds add -u donald machine.name.local

变化不大,Mickey 的文件夹仍然被挂载。

这是有问题的,我们希望每个用户在运行时只能看到他们的文件夹cifscreds add...(我们的目标是最终实现自动化pam_cifscreds)。

您对我们有什么建议吗?

先感谢您。

编辑 :

我们在使用 Kerberos 身份验证在 Red Hat 上实现多用户 SMB 挂载方面取得了进展。以下是我们采取的步骤:

  1. 以 root 身份kinit运行minimaluser

    kinit [email protected]
    
  2. 然后我们使用以下命令挂载 SMB 共享:

    mount -t cifs -o username=machine.name.local,multiuser,sec=krb5,cifsacl //machine.name.local/Data /mnt
    

    完成此步骤后,任何登录机器并运行的用户kinit都可以看到正确的内容/mnt。这对我们来说是个好消息,但我们想充分了解这个过程背后的复杂性。

我们正在寻求帮助来揭开这个谜团并加深理解。此外,由于我们计划自动化此过程,我们希望确保在继续之前有扎实的理解。

如果您能提供任何关于 Kerberos 身份验证如何影响此场景中的多用户 SMB 挂载的见解,我们将不胜感激。

相关内容