環境:realmd / sssdを使用して、いくつかのRHEL 7.3システムをMS ADドメインに参加しました。許可されたいくつかのグループのメンバーのみがボックスにログインできるようにします。資格情報キャッシュが無効になっています。すべてが問題なくうまく機能します。
次に何を実装する必要がありますか?Kerberos(パスワードなし)を使用して、Windows SMB共有をLinux(fstabまたは他の場所)に永久にマウントしたいと思います。
これまで私が達成したこと:Windows SMBパスをマウントできますが、手動で作成されたTGTチケットが期限切れになると、パスも期限切れになります。
私がした方法:TGTチケットを作成するために「kinit」を使用します
次にkvnpを使用してCIF用TGTチケットをマウントします。
次に、sec = krb5でfstabにエントリを作成し、必要なサービスアカウントのuidを提供します。
上記の方法では、SMB共有は正常にマウントされますが、TGTチケットは期限切れになり、9時間後に期限切れになります。
永久的な設置のために私ができることがあれば提案してください。
メモ:私はTGTチケットの有効期限を変更しません。これは、いくつかのセキュリティまたはコンプライアンスの問題が発生する可能性があると考えるためです。 (私が間違っている場合は訂正してください)。
答え1
キャッシュに使用されているのと同じデフォルトプリンシパル名を使用している限り、すでにキータブを作成して安全に保存していると仮定して、キータブを使用してkinitを実行する冗長なcronjobを作成できます。