Eu gostaria de configurar um servidor NFSv4 Kerberized para que os clientes não precisem de um keytab para montar um volume (mas de tal forma que os usuários obtenham seus privilégios de acordo com o ticket Kerberos, como de costume). É possível?
Mais precisamente: no meu entendimento, na configuração "usual" do Kerberized NFsv4, temos três tipos de princípios ao redor.
nfs/[email protected]
. host/[email protected]
. [email protected]
. Com o tíquete do cliente, é possível montar o volume, mas eles não podem acessar nenhum arquivo, porque os privilégios são controlados no nível do usuário. Depois que um usuário adquirir um tíquete de usuário, ele poderá acessar os arquivos, sujeitos aos privilégios concedidos a esse diretor.
Isso está correto? Eu gostaria de remover o tíquete do cliente, basicamente dizendo que cada computador pode montar o volume (mas, é claro, ainda está sujeito a ter um tíquete de usuário válido para acessar os arquivos). Isso é possível?
Eu quero fazer isso porque no meu ambiente há muitos clientes por perto e eles mudam com frequência. Eu não quero me preocupar em dar um principal e um keytab para todos eles e ter que acompanhar as coisas.
Como uma solução intermediária (e apenas parcialmente satisfatória, no meu caso), seria aceitável dizer que o cliente ainda requer um ticket, mas há um principal curinga que eu posso distribuir para todos os clientes. Algo como host/*@EXAMPLE.COM
. Isso é possível? (Eu entendo que, em geral, o serviço Kerberizado verifica se o principal do cliente corresponde ao seu nome FQDN por meio de uma consulta reversa de consulta DNS; mas, no meu caso, meus clientes podem nem ter um registro DNS reverso).