Я использую сервер NFSv4 и клиент в двух дистрибутивах raspbian buster. Я использую Kerberos для защиты общего ресурса NFS.
На клиенте NFS я запускаю службу gitea с пользователем git, которая запускается при загрузке. Я хотел бы хранить репозитории git в общей папке NFS, поэтому пользователю git потребуется доступ к нему.
Когда я вхожу в git user и выполняю kinit Я могу получить доступ к общей папке без проблем.
Есть ли способ, которым служба gitea автоматически запрашивает билет Kerberos и обновляет его, чтобы служба могла получить доступ к общему ресурсу NFS без моего вмешательства?
Я провел небольшое исследование, у меня есть некоторые идеи, но я не уверен, как лучше всего их реализовать.
kinit. kinit и установить очень долгий срок службы билета но это не лучшая практика с точки зрения безопасности.(Я новичок в Kerberos и NFS, поэтому они могут быть плохо настроены, но работают)
Спасибо !
В основном у вас есть две альтернативы:
Чтобы использовать второе решение, вам нужно найти расположение по умолчанию для клиентских вкладок:
piotr@bialykiel:~$ krb5-config --defcktname
FILE:/etc/krb5/user/%{euid}/client.keytab
и создайте keytab, используя kadmin:
ktadd -k /etc/krb5/user/1234/client.keytab yourprincipal@YOUR.DOMAIN.ORG
Всякий раз, когда GSS-API приложение, такое как rpc.gssd не сможет получить доступ к вашему кешу учетных данных, он создаст новый с помощью keytab.