Я пытаюсь настроить сервер yum, на котором пакеты хранятся в общей папке Kerberised NFSv4. Как получить имя пользователя службы, под которым запускаются apache и reposync (my-yum-service-accnt), чтобы иметь возможность чтения и записи в общий ресурс NFSv4, поскольку он не может kinit, будучи учетной записью службы?
Ответы:
Сервис потребности получить билеты Kerberos тем или иным способом - если не пароль, то с помощью таблицы ключей.
Создайте любую учетную запись на Kerberos KDC и извлеките ее ключи в файл keytab. (Я полагаю, вы могли бы использовать для этого таблицу ключей хоста по умолчанию, но для безопасности лучше использовать отдельную).
использование k5start получить билеты, используя keytab. (Для тестирования, один выстрел kinit -k -t можно использовать, но для их периодического обновления необходим k5start - или хотя бы cronjob.)
Наконец установить KRB5CCNAME в среде Apache, указывающей на новый кеш билетов. (Это можно сделать, отредактировав httpd.service или эквивалентный скрипт init.d.)
Если на сервере установлен MIT Kerberos 1.11 или новее, это можно сделать более простым способом, используя инициирование keytab особенность, поместив keytab в /var/lib/krb5/user/<apacheuid>/client.keytab, Это делает k5start и KRB5CCNAME ненужными.