gssproxy - Kerberos-Credentials vom User trennen

Folgende Situation: Du hast einen Daemon unter User x mit UID 13001. Dieser muss auf einen NFSv4 Share mit aktivierter Kerberos-Authentifizierung zugreifen. Der Dienst weiss aber nichts von Kerberos.

Lösung bis RHEL6: basteln

Bisher hätte ich vermutlich irgendwie etwas mit Umgebungsvariabeln + Credential-Cache-Renew Cronjobs oder kstart gebastelt.

Lösung ab RHEL7: gssproxy

Zumindest im Fall von Zugriff auf den NFS Share lässt sich das ohne irgendwelche Änderungen am betreffenden Dienst lösen: der NFS-Client routet GSS anfragen standardmässig über gssproxy und dieser ist standardmässig dafür konfiguriert (siehe /etc/gssproxy/gssproxy.conf oder /etc/gssproxy/*.conf in neueren Fedora Versionen).

cp user-x.keytab /var/lib/gssproxy/clients/13001.keytab

Das wars! Der User x kann jetzt auf einen NFS Share mit Kerberos-Authentifizierung zugreifen.

mod_auth_kerb -> mod_auth_gssapi

Auch für den Apache HTTPD gibt es ein neues Modul für die Kerberos-Authentifizierung: mod_auth_gssapi - es kann auch mit gssproxy arbeiten. Der Apache Prozess benötig so keinen direkten Zugiff mehr auf die Credentials.

Links

• GSSAPI Negotiate module for Apache (in RHEL7 enthalten)
• https://fedoraproject.org/wiki/Features/gss-proxy
• https://pagure.io/gssproxy
• Simo Sorce - GSSAPI Privilege separation with GSS-Proxy (Youtube)
• kstart Utility