我有一个加入域(通过samba/ sssd)的CentOS 7服务器,充当 SFTP 服务器,它有一个映射到 Windows 共享的安装点:
SFTP 客户端 -> Linux SFTP 服务器 -> Windows 文件服务器
我的目标是尽可能消除 Linux 端的权限和配置。
该安装座配置了multiuser和sec=krb5选项。登录 SFTP 服务器的用户将根据 AD 数据库进行身份验证,一切正常:对于每个登录并访问已安装/共享文件夹的用户,multiuser+krb5设置会启动,并且文件夹权限完全由保存文件的 Windows 文件服务器控制,因为每个用户都使用登录 SFTP 服务器时获得的自己的 kerberos 票证来挂载此共享。
伟大的。现在进入故事的悲伤部分。
我必须提供对上述相同文件的 HTTPS 访问。问题是我找不到使用经过身份验证的用户凭据来创建Apache/httpd访问文件的方法,这将导致使用正确的(请求用户的)凭据而不是 Apache 的用户来安装共享。
我可以通过设置 mod ldap 的组授权来解决这个问题,但我真的想使用 Windows 权限来控制一切,就像我使用 SFTP 访问一样。除了使用之外还有什么想法IIS(默认情况下这正是我想要的)?
我已经可以Single Sign-On通过 Apache 使用,甚至可以缓存 kerberos 票证。那么是什么阻止我(除了我缺乏编程技能)使用同一张票证(和用户名信息)来调用automount它呢?