Como o Cron interage com o Kerberos para autenticação?

Question

Como o Cron interage com o Kerberos para autenticação?

#1 resposta do (2 votos)
#2 resposta do (0 votos)

1

Eu tenho uma máquina CentOS 6.4 que é configurada com pam_ldap e pam_krb5. Está configurado para usar nossos servidores do Active Directory para autenticação. Eu posso SSH na máquina usando contas do AD.

Eu não configurei nenhum tipo de arquivo keytab.

Eu configurei um crontab para um usuário do AD na máquina do CentOS, que grava alguns dados em um arquivo a cada minuto. A pasta na qual o trabalho está sendo gravado está em um compartilhamento NFS e a pasta está bloqueada para que apenas os membros de um grupo específico do AD possam acessá-lo. O usuário do AD em questão é um membro do grupo e não possui uma conta local na máquina do CentOS.

Como o cron continua a ter acesso para executar o trabalho como o usuário do AD quando o usuário do AD não está conectado?

cron pam active-directory kerberos centos

por Peter Loron 14.11.2013 / 18:38

2 respostas

0

The folder the job is writing into is on a NFS share

NFSv3? Não há auth ocorrendo. O NFSv3 aceita a palavra do cliente de que o usuário é quem ele diz ser. Também é totalmente inseguro - se eu tiver acesso root a uma caixa, eu posso su e acessar os arquivos de um usuário em um compartilhamento NFS, mesmo que o compartilhamento seja root_squash.

Cron não está realmente executando o trabalho como DOMÍNIO \ usuário, ele está rodando como o UID # que é tudo sobre o que o NFSv3 se importa.

Agora, se você estiver montando um compartilhamento CIFS / NFSv4, ele deverá falhar.

por 14.11.2013 / 18:49

Tags cron pam active-directory kerberos centos

Encontrando uma rede muda IP saída do Mysql sem truncar

score 2 · Accepted Answer

Se você está usando o kerberos habilitado NFSv4 (e eu ficaria muito surpreso se você estiver), então você precisa criar algum tipo de keytab de usuário e usar algo como o kstart no início do cron job para obter um kerberos tgt. Caso contrário, você não precisará de nenhuma credencial kerberos para acessar o sistema de arquivos NFS.

Esse problema sempre existiu em ambientes AFS e tem algumas soluções padrão. Geralmente você cria um principal alternativo para colocar no keytab e mapear os dois principais para o mesmo unix uid. (por exemplo, eu crio um keytab no sistema cron para fred/[email protected]) e uso uma ferramenta apropriada para mapear kerberos principal para o mesmo unix uid em [email protected].