RHEL7에서 Kerberos 인증을 사용하여 영구(영구) SMB 마운트를 얻는 방법은 무엇입니까?

RHEL7에서 Kerberos 인증을 사용하여 영구(영구) SMB 마운트를 얻는 방법은 무엇입니까?

환경:realmd/sssd를 사용하여 일부 RHEL 7.3 시스템을 MS AD 도메인에 가입했습니다. 허용된 몇몇 그룹의 구성원만 상자에 로그인하도록 허용합니다. 자격 증명 캐싱이 비활성화되었습니다. 모든 것이 문제 없이 잘 작동합니다.

다음에 무엇을 구현해야 합니까?Kerberos(암호 없음)를 사용하여 Windows SMB 공유를 Linux(fstab 또는 기타 위치)에 영구적으로 마운트하고 싶습니다.

지금까지 내가 달성한 것:Windows SMB 경로를 탑재할 수 있지만 수동으로 생성된 TGT 티켓이 만료되면 경로도 만료됩니다.

내가 한 방법:TGT 티켓을 생성하기 위해 "kinit"을 사용합니다

그런 다음 kvnp를 사용하여 CIF용 TGT 티켓을 마운트합니다.

그런 다음 "sec=krb5"로 fstab에 항목을 만들고 필요한 서비스 계정의 uid를 제공합니다.

위 방법을 사용하면 SMB 공유가 성공적으로 탑재되지만 TGT 티켓이 만료되고 9시간 후에 만료됩니다.

영구적인 설치를 위해 제가 할 수 있는 일이 있다면 제안해 주십시오.

노트:나는 TGT 티켓 만료 시간을 수정하지 않을 것입니다. 이로 인해 일부 보안 또는 규정 준수 문제가 발생할 수 있다고 생각하기 때문입니다. (내가 틀렸다면 정정해주세요).

답변1

캐시에 사용된 것과 동일한 기본 주체 이름을 사용하는 한, 이미 키탭을 생성하고 안전하게 저장했다는 가정하에 키탭을 사용하여 kinit를 실행하는 중복 cronjob을 생성할 수 있습니다.

관련 정보