[gelöst]Kerberos mit Synology-NAS per NFS

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
paul1234
Beiträge: 1584
Registriert: 28.06.2014 15:41:15

[gelöst]Kerberos mit Synology-NAS per NFS

Beitrag von paul1234 » 03.03.2019 04:24:34

Hallo,
ich benutze eine Synology ds214 als NAS im Heimnetz. Zugriff per NFS mit festen IP's. Jetzt möchte ich die Authentifizierung auf Kerberos umstellen. Eine Frage: Wer ist Server, wer ist Client im Bezug auf Kerberos u. NFS. Für mich wäre es logisch, wenn beide Server auf meiner debian-Maschine laufen, da ich ja meine NAS nur ab u. zu anstelle. Laut der Info aus dem Ubuntu-Wiki ist das dann aber so nicht umsetzbar:

Code: Alles auswählen

Meldet sich ein Benutzer am Client über Kerberos an, wird diesem ein Ticket zugewiesen.
Quelle: https://wiki.ubuntuusers.de/Kerberos/NF ... s_sichern/
Demnach müßte ja, wenn ich mit einer Anwendung von meiner Debian-Maschine aus auf die ds zugreife, die ds als Client meinen Laptop ansprechen.
Ist das bis hierhin richtig gedacht?

Gruß paul!
Zuletzt geändert von paul1234 am 27.03.2019 06:49:56, insgesamt 1-mal geändert.
Thinkpad T520; i7 2670QM; Intel QM67 Express; NVIDIA NVS 4200M + Intel HD3000; Buster; XFCE

Benutzeravatar
jph
Beiträge: 648
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Kerberos mit Synology-NAS per NFS

Beitrag von jph » 03.03.2019 10:36:08

paul1234 hat geschrieben: ↑ zum Beitrag ↑
03.03.2019 04:24:34
Frage: Wer ist Server, wer ist Client im Bezug auf Kerberos u. NFS.
Beide sind sog. Kerberos-Principals, die mit einem Kerberos-Server sprechen. Als ersten Einstieg kannst du das hier nehmen: https://wiki.debian.org/NFS/Kerberos und https://wiki.ubuntuusers.de/Kerberos/NF ... s_sichern/. Beide Artikel sind m.E. nicht völlig korrekt, da in beiden geschrieben wird, dass auch die Clients einen NFS-Principal benötigen – tatsächlich reicht für diese ein Host-Principal. Den würde ich immer anlegen; darüber lässt sich bspw. auch SSH abwickeln.

Nachtrag: „Für mich wäre es logisch, wenn beide Server auf meiner debian-Maschine laufen, da ich ja meine NAS nur ab u. zu anstelle. Laut der Info aus dem Ubuntu-Wiki ist das dann aber so nicht umsetzbar“: der Kerberos-Server muss von allen Maschinen aus erreichbar sein. Wenn dein NAS nicht ständig läuft, kannst du dieses dafür nicht verwenden. Wenn du mehrere Rechner daheim hast, die alle nicht durchgängig eingeschaltet sind, dann musst du entweder auf Kerberos verzichten oder dir eine andere Lösung einfallen lassen. Du kannst den Server bpsw. auf einem Raspberry Pi installieren und 24x7 laufen lassen. Da reicht ein Pi 1.

Antworten