Tastiera client NFS: macchine multiple

Come si dovrebbe fare per impostare i file keytab sul lato client per each macchina client per accedere ai servizi di networking? Il mio esempio di lavoro è NFSv4, che richiede che each client abbia una chiavetta Kerberos localmente sulle macchine client (nonché gli host NFS).

  1. Quale ctriggers, se ansible, potrebbe derivare dalla condivisione della stessa chiave in un file keytab generico (per scopi NFS) tra tutte le macchine client che richiedono l'accesso agli host NFS?

  2. C'è qualche repository decente per CentOS o Fedora?
  3. È l'aggiunta di utenti al gruppo www-data safe su Debian?
  4. Installare Go 1.8 con yum
  5. Come installare Apache Benchmark su CentOS?
  6. SSH con coppia di chiavi e password allo stesso tempo
  7. Programmi Anti-Rootkit
  8. Se, dal risultato # 1, abbiamo veramente bisogno di utilizzare una chiave separata in un keytab diverso su each client , che è un modo efficace e, più importnte, sicuro per automatizzare la creazione del keytab per ciascuno di diverse migliaia di macchine? Non voglio generare ed esportre una chiave in each casella!

  • Come distriggersre automaticamente Ubuntu X minuti dopo l'avvio?
  • Inoltro scritto per Outlook 2003
  • Installazione di Debian con PXE e indirizzo IP predefinito e dinamico, ma configurarlo finalmente con l'indirizzo IP statico
  • Installazione di postfix su Ubuntu da uno script di initialization di avvio
  • Configurazione della networking persistente tramite KVM e libvirt
  • Come cambiare automaticamente la lettera assegnata per le unità ephemerali?
  • 2 Solutions collect form web for “Tastiera client NFS: macchine multiple”

    Un keytab generico non è affatto un uso – il principio del servizio Kerberos è legato a hostname. Quindi una tastiera generica semplicemente non funziona. Non è necessario necessariamente un codice specifico NFS, a seconda della versione del sistema operativo utilizzato. Possiamo utilizzare HOST/full.qualified.hostname per autenticare NFS su RHEL 6+.

    Quindi sì, hai bisogno di un keytab su each macchina. So che è orribile, ma questo è il modo delle cose.

    Tenga presente che in un dominio di Windows, è necessario fare la stessa cosa con il process di "join dominio" – una delle cose più importnti è creare un keytab sui client Windows.

    Abbiamo iniziato la strada dei domini integrati, vincolando i nostri clienti Linux ad un Windows AD. Con questo approccio, è ansible utilizzare il command net su Linux, ad esempio l' net ads join che è parte di SAMBA. Puoi incorporare un nome utente e una password e gestirlo tramite qualsiasi meccanismo di automazione esistente. ( net ads keytab create anche net ads keytab create …. esattamente quello che dice sulla scatola).

    Se non utilizzi un AD, ho paura che non lo so. Immagino che esista qualcosa di simile per la generazione di un keytab.

    Ho scritto codice per risolvere il problema, ma non functionrà per tutti. Il problema è che è necessario capire un modo per estendere la fiducia a un hardware non attendibile. Ogni sito avrà un modo leggermente diverso da farlo.

    Utilizzo una chiave ssh che viene installata dalla nostra gestione di configuration per estendere la fiducia a macchine non attendibili.

    Il codice che ho scritto è dentro

    https://github.com/bbense/aeakos

    Ma è in realtà più di un contorno di come risolvere il difficile problema dell'installazione automatica dei keytabs.

    Per quanto riguarda l'utilizzo di un keytab generico per un client, che può funzionare per alcuni servizi basati su kerberos, ma non ho mai visto quello utilizzato per NFS kerberizzato. E in generale vuoi alless un host / foo.com su each macchina per trarre pieno vantaggio da ciò che offre kerberos. Se non puoi farlo, non esiste un piccolo punto nella distribuzione di kerberos.

    In teoria una keytab client generica dovrebbe funzionare se si desidera che each macchina abbia accesso agli stessi server / file. In pratica, dovresti fare un'analisi passata di come il server nfs utilizza l'authentication kerberos per implementare l'authorization per assicurarsi che tutto funzioni correttamente.

    Parte dell'utilizzo di Kerberos con successo è da ricordare che solo l'authentication, l'authorization è sempre specifica per l'applicazione. Tutto quello che ho fatto con NFSV4 suggerisce che si aspetta un id unico kerberos per host client, ma non ho alcuna prova che ne richiede uno.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.