Hallo Community
ich hab vor kurzen mal ein Kerberos-Server aufgesetzt und NFS,FreeRadius,OpenVPN,uswdaran angebunden. Leider haben mir ein Paar Wikieinträge dazu hier gefehlt. Habe mal angefangen diese nach Zupflegen.
NFS mit Kerberos sichern - Erläutert wie man NFS mit Kerberos sichert.
Wer einen performanten Raid oder SSD und Gigabit-Ethernet hat (und zu viel Zeit) kann mal unter 11.04 oder 11.10 die Performance Testen und im Artikel aktualisieren, da unter 10.04 noch der Veraltete DES-Algoritmus zum Einsatz kommt.
Wer gut in Rechtschreibung ist, bitte Typo prüfen.
mit freundlichen Gruß Raptor 2101
NFS mit Kerberos sichern
Anmeldungsdatum: Beiträge: 14259 |
|
Anmeldungsdatum: Beiträge: Zähle... |
In dem diesem Wiki-Betrag: https://wiki.ubuntuusers.de/Archiv/Kerberos/NFS_mit_Kerberos_sichern/ wurde erwähnt, dass man für jeden Client ein Principal anlegen müsste. Warum sollte man das machen, wenn man doch User authentifizieren will. Soweit ich weis, kann Keberos entweder Host oder User authentifizieren, aber keine Kombination, da nur ein TGT pro Credential-Cache möglich ist. Wozu benötigt man dann die Host Principals? Das macht so wie ich das verstehe nur Sinn, wenn ich einen Computer und keinen bestimmten User Zugriff auf den NFS Server gewähren will. Eigentlich sollten die Server-Principals ausreichen, da sich lediglich User und Server gegenseitig authentifizieren müssen. Im Artikel wird auch erwähnt, dass ein Client ein principal benötigt, um gegenüber dem NFS-Server authentifiziert zu werden:
Hier tritt ein klassisches missverständnis auf. "Die Beglaubigen, dass ein Rechner für eine Aufgabe freigeschaltet ist". Um sowas kümmert sich Kerberos nicht. Es dient der Authentifizierung, nicht der Authorisierung. Moderiert von noisefloor: An bestehende Diskussion angehängt |
Anmeldungsdatum: Beiträge: 29567 |
Hallo, @Sebi2020: Der Artikel ist archiviert, seit dem 10.12.2015. Damit ist der Ist-Stand von damals "eingefroren" - egal, wie richtig oder falsch der Artikel aus heutiger Sicht ist. Steht ja auch in der 1. Box im Artikel. Und an archivierten Artikel wird grundsätzlich nichts mehr editiert. Was du natürlich machen könntest wäre, den Artikel zu überarbeiten und für eine aktuell unterstützte Ubuntu-Version zu testen. Bei Interesse bitte dann hier kurz posten. Gruß, noisefloor |
Supporter
Anmeldungsdatum: Beiträge: 6492 |
Dann bitte nächstes Mal das in der zugehörigen Artikeldiskussion (also hier) posten. Sieht für mich erstmal ok aus, allerdings frage ich mich, warum du da so viele Optionen (inkl. Gruß BillMaier |
Anmeldungsdatum: Beiträge: 1249 Wohnort: Stuttgart, Deutschland |
Da sich das erst im nachgang ergeben hat ...
Wollen wir die optionen durchgehen? Waren damals (und sind heute noch) meine bevorzugten Optionen (wobei secure wohl mittlerweile im default ist..) |
Supporter
Anmeldungsdatum: Beiträge: 6492 |
Hallo, meines Wissens ist Kerberos nur ab NFSv4 möglich - siehe auch die Beispiele in diesem Artikel. IMHO sollte man das noch in der Einleitung erwähnen.
Wenn du das nach gut 1,5 Jahre noch machen willst: Gerne. Gruß BillMaier |
Anmeldungsdatum: Beiträge: 1249 Wohnort: Stuttgart, Deutschland |
Spielt das im Jahr 2020 noch eine Rolle? Deployed heute noch irgendwer NFSv3 der nicht genau weiß was er macht?
von mir aus gerne |
Supporter
Anmeldungsdatum: Beiträge: 6492 |
Gerade die:
Gut, das ist kein Kerberos. Aber mir scheint, die Unterschiede von NFSv3 und NFSv4 sind - zumindest hier bei ubuntuusers noch nicht angekommen. Das mache ich fest
Melde mich nochmal wegen der Optionen. Gruß BillMaier |
Supporter
Anmeldungsdatum: Beiträge: 6492 |
async,soft sind aus meiner Sicht eher unsichere Parameter - v.a. in Bezug auf Datenverlust. Bin nicht sicher, ob man das in einem Wiki-Artikel so haben will. @raptor2101 was ist der Grund für dich für diese Optionen? Gruß BillMaier |