use*_*308 10 permissions mount cifs kerberos
目前,我们的 Ubuntu 客户端在系统启动期间通过 /etc/fstab 连接到 cifs 共享。这有以下缺点:
我已经在我们的 Ubuntu 客户端上成功测试的内容:在用户登录时使用 kerberos 身份验证 - 因此用户可以使用 kerberos 票证。
使用该 kerberos 票证 (sudo) 在 systemd 用户服务中安装 cifs 共享
使用该 kerberos 票证从文件浏览器 nautilus 和 thunar 动态挂载共享
所以我想要的是访问 cifs 共享,就像访问 nfs 共享一样。
我可以多次挂载 CIFS 共享,将每个用户分别挂载到他的主目录中,但是
有没有办法在引导期间由用户 root 挂载 CIFS 共享,而不指定连接用户,然后使用访问用户的权限(例如通过 kerberos 票证)?
提前谢谢你,巴斯蒂安
您可以使用 automount 和 mount.cifs 的多用户选项来实现这一点。安装所需的软件包:
sudo apt install autofs keyutils cifs-utils
以下示例假定 cifs 服务器导出以访问它的用户命名的共享。通常这适用于主目录。
将此添加到您的/etc/auto.master:
/cifs /etc/auto.cifs
在/etc/auto.cifs把这个:
* -fstype=cifs,multiuser,cruid=${UID},sec=krb5 ://server.domain/&
确保用您的文件服务器替换server.domain。您也可以通过这种方式使用固定共享。只需用*固定名称替换&.
上述配置中的一个重要细节是cruid=${UID}. 它将使内核在用户访问共享的上下文中查找 kerberos 票证。否则它会尝试根票证缓存。
最后重新加载自动挂载:
sudo service autofs reload
如果您有 kerberos 票证,它将/cifs/$USER在第一次访问时挂载文件系统。这意味着您需要cd /cifs/myuser在 GUI 文件浏览器中明确键入 eg或类似的操作。为了避免这种情况,您可以从其他地方放置指向 this 的符号链接,并告诉用户访问这些链接。
如果您使用固定共享(不使用*和&),当然您必须输入cd /cifs/sharename.
其他用户对同一共享的后续访问将使用他们的权限,通过该multiuser选项成为可能。不会制作额外的安装,但会重复使用现有的安装。
Run Code Online (Sandbox Code Playgroud)multiuser Map user accesses to individual credentials when accessing the server. By default, CIFS mounts only use a single set of user credentials (the mount credentials) when accessing a share. With this option, the client instead creates a new session with the server using the user's credentials whenever a new user accesses the mount. Further accesses by that user will also use those credentials. Because the kernel cannot prompt for passwords, multiuser mounts are limited to mounts using sec= options that don't require passwords.
也可以将所需的自动挂载映射添加到 LDAP 服务器以进行集中管理,但这可能超出了本答案的范围。
在您的问题中,您要求在启动时以 root 身份挂载该挂载。从技术上讲,这是在这里以 autofs 的占位符安装的形式完成的。实际上,真正的挂载仅在用户第一次访问时完成。
我们在我的工作场所为大约 100 个客户端使用此设置来访问相当大的 luster 文件系统,并且它运行可靠。
| 归档时间: |
|
| 查看次数: |
11098 次 |
| 最近记录: |