NFS 服务器使用 gsscred 凭证表将 Kerberos 凭证映射到 UNIX UID。缺省情况下,主体名称的基本部分与 UNIX 登录名匹配。如果缺省映射不满足要求,可创建此表。
开始之前
您必须承担 root 角色。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
# cat /etc/gss/gsscred.conf ... # files # # # Syslog (auth.debug) a message for GSS cred to Unix cred mapping #SYSLOG_UID_MAPPING=yes
# gsscred -m kerberos_v5 -a
gsscred 命令从 svc:/system/name-service/switch:default 服务的 passwd 项列出的所有源中收集信息。如果不想将本地口令项包含到凭证表,可临时删除 files 项。有关更多信息,请参见 gsscred(1M) 手册页。
例如,在 NFS 服务器上以 root 角色添加一个项,以将 sandy/admin 主体映射到 3736 UID。–a 选项可将该项添加到凭证表。
# gsscred -m kerberos_v5 -n sandy/admin -u 3736 -a
本示例使用全限定域名 (Fully Qualified Domain Name, FQDN) 来指定其他域中的主体。
# gsscred -m kerberos_v5 -n sandy/admin@EXAMPLE.COM -u 3736 -a