Eu tenho uma árvore NFS exportada de um servidor de arquivos que é protegido usando o Kerberos e usa LDAP para autenticação e gerenciamento de uid / gid. Tudo funciona muito bem para cada máquina cliente e para cada usuário individual, mas não sei como conceder acesso a partes do compartilhamento para daemons.
Os daemons geralmente são executados com um setuid para uma conta do sistema local, portanto, não há credenciais específicas para eles no servidor. Se eu consigo entrar e me meter com a fonte, geralmente consigo fazer com que eles chamem o kinit com um arquivo keytab para um usuário que existe no kerberos quando eles iniciam, mas isso nem sempre é possível.
Nosso ambiente me proíbe de abrir as portas, tornando-as legíveis para o mundo, ou removendo completamente o Kerberos do NFS.
Eu brinquei com a adição de uma subárvore a /etc/exports
com all_squash
, anonuid=...
e anongid=...
set, mas isso só tornou legível para todos os computadores clientes. Precisa estar acessível apenas a uma determinada máquina.
Eu tentei usar o samba, mas temos alguns daemons que têm uma abordagem "NFS ou busto" para trabalhar com compartilhamentos (qualquer coisa envolvendo mercurial, por exemplo).
A maioria dos nossos servidores executa o Ubuntu 10.04 LTS, embora o problema também afete um cliente 12.04 LTS que temos.
Existe uma maneira de conceder ao sistema inteiro um ticket para todo o sistema para um determinado usuário do Kerberos, para que qualquer usuário nesse sistema sempre possa acessar o compartilhamento? Ou há algum outro método para alcançar esse tipo de acesso que eu possa investigar?