Я хотел бы настроить сервер NFSv4 с Kerberized таким образом, чтобы клиентам не требовалась клавиатурная вкладка для монтирования тома (но чтобы пользователи получали свои привилегии в соответствии со своим билетом Kerberos, как обычно). Является ли это возможным?
Точнее: насколько я понимаю, в «обычной» настройке Kerberized NFsv4 у нас есть три типа принципалов.
nfs/server.example.com@EXAMPLE.COM.host/client.example.com@EXAMPLE.COM.user@EXAMPLE.COM.С клиентским билетом можно смонтировать том, но они не могут получить доступ ни к одному файлу, потому что права доступа контролируются на уровне пользователя. После того, как пользователь приобрел билет пользователя, он фактически может получить доступ к файлам с учетом привилегий, предоставленных этому принципалу.
Это верно? Я хотел бы удалить клиентский билет, в основном говоря, что каждый компьютер может монтировать том (но, конечно, все еще должен иметь действительный билет пользователя для доступа к файлам). Это возможно?
Я хочу сделать это, потому что в моем окружении много клиентов, и они часто меняются. Я не хочу заботиться о том, чтобы дать им всем директриса и ключ-вкладку, а также о необходимости отслеживать все.
В качестве промежуточного (и лишь частично удовлетворяющего, в моем случае) решения было бы приемлемо сказать, что клиенту по-прежнему требуется билет, но есть один принципал с подстановочными знаками, который я могу раздать всем клиентам. Что-то вроде host/*@EXAMPLE.COM. Это возможно? (Я понимаю, что, как правило, служба Kerberized проверяет соответствие принципала клиента его полному доменному имени с помощью обратного запроса DNS; но в моем случае у моих клиентов может даже не быть обратной записи DNS).