Kerberized NFS
https://blogsystem5.substack.com/p/demystifying-secure-nfs
Как-то (
8c06f231834997791621ae1bc3efae3dbb29956d) я пытался настроить
NFS с использованием Kerberos. По факту я ни разу в жизни не использовал
Kerberos, кроме как поднимания центра и получения билетов (tickets), но
не более того. С NFS у меня ничего не вышло. Я грешил на то, что у меня
была 12.x версия, которая была с массой багов на тот момент (я годами не
обновлялся). Но я вроде бы точно ничего не делал касательно GSS, как это
указано в статье. А в ней и написано про скудность документации по этой
теме. Из-за отсутствия опыта и очевидности того, что ядерный NFS как-то
должен общаться с Kerberos (по аналогии с IPsec↔IKE), я и не вспоминал
про GSS-демона.
Не уверен что я снова хочу повторять попытку сдружить NFS с Kerberos,
так как я просто ограничиваю firewall-ом IPv6 сеть которой дозволено
ходить к NFS. И трафик этой сети может ходить только через WireGuard
(IPsec когда-то). Факт возможности обмениваться трафиком из этой сети
означает что машина аутентифицировалась в VPN-е, что авторизует её
доступ к NFS. Не скажу что я доволен этим решением, оно не изящно, нужно
помнить о корректности настроек firewall и маршрутизации. Но для меня
удовлетворительно.