NFS autenticato con Kerberos¶

Documentazione inserita in https://fuss-tech-guide.readthedocs.io

Per impedire che una macchina non fidata inseritasi nella rete interna (LAN) delle scuole possa montare via NFS le home degli utenti dal server, ed accedere potenzialmente ai relativi dati, con la nuova versione del fuss-server, è stato attivato il montaggio delle home esclusivamente via NFSv4 con Kerberos.

La nuova infrastruttura richiede che per poter montare la directory delle home una macchina venga autenticata tramite Kerberos, questa funzionalità viene abilitata in fase di installazione del fuss-client, quando la macchina viene registrata presso il fuss-server, cosa che richiede le credenziali amministrative per poter accedere allo stesso. In questo modo si evita che macchine portate da estranei possano montare le home via NFS.

Una volta che la macchina è stata autorizzata in ogni caso i dati delle singole home sono accessibili ai singoli utenti soltanto previa autenticazione degli stessi. Ad ogni utente infatti è stato associato un principal (una utenza) Kerberos, che gli consente di accedere solo ai dati per i quali ha i permessi di accesso sul server.

La gestione delle credenziali aggiuntive per Kerberos è già disponibile all'interno di octofuss, qualora si intenda creare un utente a mano dovrà essere seguire la nuova procedura di creazione manuale documentata in Gestione manuale degli utenti.