J'ai une arborescence NFS exportée depuis un serveur de fichiers qui est sécurisé par Kerberos et utilise LDAP pour l'authentification et la gestion des uid/gid. Tout fonctionne parfaitement pour chaque machine cliente et chaque utilisateur individuel, mais je ne sais pas comment accorder l'accès à certaines parties du partage aux démons.
Les démons s'exécutent généralement avec un setuid sur un compte système local, il n'y a donc pas d'informations d'identification spécifiques pour eux sur le serveur. Si je peux m'introduire dans les sources et les modifier, je peux généralement les faire appeler kinit avec un fichier keytab pour un utilisateur qui existe dans kerberos lorsqu'ils démarrent, mais ce n'est pas toujours possible.
Notre environnement m'interdit d'ouvrir les choses en les rendant lisibles par tous, ou de supprimer complètement Kerberos du NFS.
J'ai bricolé en ajoutant un sous-arbre à /etc/exports con all_squash , anonuid=... y anongid=... mais cela ne fait que le rendre lisible par toutes les machines clientes. Il doit être accessible uniquement à une certaine machine.
J'ai essayé d'utiliser samba, mais nous avons certains démons qui ont une approche "NFS or bust" pour travailler avec les partages (tout ce qui implique mercurial, par exemple).
La plupart de nos serveurs fonctionnent sous Ubuntu 10.04 LTS, mais le problème affecte également un client 12.04 LTS que nous avons.
Existe-t-il un moyen d'accorder à un système entier un ticket pour un utilisateur Kerberos particulier, de sorte que tout utilisateur de ce système puisse toujours accéder au partage ? Ou existe-t-il une autre méthode pour obtenir ce type d'accès que je peux étudier ?
