Что: 6956d32d3209b6d89fed64f700bdbda7e1bad3bd
Когда: 2024-11-04 10:13:14+03:00
Темы: bsd crypto
Kerberized NFS https://blogsystem5.substack.com/p/demystifying-secure-nfs Как-то (8c06f231834997791621ae1bc3efae3dbb29956d) я пытался настроить NFS с использованием Kerberos. По факту я ни разу в жизни не использовал Kerberos, кроме как поднимания центра и получения билетов (tickets), но не более того. С NFS у меня ничего не вышло. Я грешил на то, что у меня была 12.x версия, которая была с массой багов на тот момент (я годами не обновлялся). Но я вроде бы точно ничего не делал касательно GSS, как это указано в статье. А в ней и написано про скудность документации по этой теме. Из-за отсутствия опыта и очевидности того, что ядерный NFS как-то должен общаться с Kerberos (по аналогии с IPsec↔IKE), я и не вспоминал про GSS-демона. Не уверен что я снова хочу повторять попытку сдружить NFS с Kerberos, так как я просто ограничиваю firewall-ом IPv6 сеть которой дозволено ходить к NFS. И трафик этой сети может ходить только через WireGuard (IPsec когда-то). Факт возможности обмениваться трафиком из этой сети означает что машина аутентифицировалась в VPN-е, что авторизует её доступ к NFS. Не скажу что я доволен этим решением, оно не изящно, нужно помнить о корректности настроек firewall и маршрутизации. Но для меня удовлетворительно.
Сгенерирован: SGBlog 0.34.0