我们正在尝试在 Red Hat 9 机器上安装 Windows 文件系统。此 Windows 文件系统包含数百个具有精细调整的访问权限的帐户。
我们正在尝试实施 Red Hat 文档中提供的说明关联。
我们定义了一个具有最小可见性的服务帐户,并将其用作挂载的“服务帐户”,如下所示:
mount -t cifs -o username=minimaluser,cifsacl,multiuser,sec=ntmlssp //machine.name.local/Data /mnt
或者:
mount -t cifs -o username=minimaluser,cifsacl,multiuser,sec=ntmlsspi //machine.name.local/Data /mnt
一旦完成此操作,机器上的 root 帐户就只会minimaluser看到/mnt/。
我们有两个测试用户,Mickey 和 Donald,每个用户都有不同的访问权限。我们以 Mickey 的身份连接以执行以下操作cifscreds:
cifscreds add -u mickey machine.name.local
这对 Mickey 来说非常完美,他可以在具有正确权限的情况下查看 中的内容/mnt。但是,如果 Donald 登录,他也可以看到 Mickey 的文件夹和文件!(root 以及通过 SSH 连接到机器的任何其他用户也可以看到。)
如果唐纳德参选:
cifscreds add -u donald machine.name.local
变化不大,Mickey 的文件夹仍然被挂载。
这是有问题的,我们希望每个用户在运行时只能看到他们的文件夹cifscreds add...(我们的目标是最终实现自动化pam_cifscreds)。
您对我们有什么建议吗?
先感谢您。
编辑 :
我们在使用 Kerberos 身份验证在 Red Hat 上实现多用户 SMB 挂载方面取得了进展。以下是我们采取的步骤:
以 root 身份
kinit运行minimaluser:kinit [email protected]然后我们使用以下命令挂载 SMB 共享:
mount -t cifs -o username=machine.name.local,multiuser,sec=krb5,cifsacl //machine.name.local/Data /mnt完成此步骤后,任何登录机器并运行的用户
kinit都可以看到正确的内容/mnt。这对我们来说是个好消息,但我们想充分了解这个过程背后的复杂性。
我们正在寻求帮助来揭开这个谜团并加深理解。此外,由于我们计划自动化此过程,我们希望确保在继续之前有扎实的理解。
如果您能提供任何关于 Kerberos 身份验证如何影响此场景中的多用户 SMB 挂载的见解,我们将不胜感激。