2.9.20.1.8 Автоматическое монтирование ресурсов при входе пользователя с помощью pam_mount
Скачать документ
Для автоматического монтирования разделяемых файловых ресурсов при входе пользователя используется PAM-модуль pam_mount, предоставляемый пакетом pam_mount, то есть для автоматического монтирования разделяемых файловых ресурсов на компьютере-клиенте должны быть установлены пакет cifs-utils и pam_mount:
dnf install cifs-utils pam_mount
Настройка модуля pam_mount осуществляется с помощью конфигурационного файла /etc/security/pam_mount.conf.xml.
Вы можете подробнее ознакомиться с возможностью автоматического монтирования ресурсов, просмотрев наши обучающие видео:
на RuTube — Монтирование файловых систем в РЕД ОС;
в Яндекс.Дзен — Монтирование файловых систем в РЕД ОС;
в VK Видео — Монтирование файловых систем в РЕД ОС.
На наших каналах вы также сможете найти много другой полезной информации.
Описание возможностей модуля pam_mount и формат его конфигурационного файла приведены в руководстве man для pam_mount и pam_mount.conf.
Для монтирования с помощью pam_mount разделяемых файловых ресурсов в конфигурационном файле должны быть указаны параметра монтируемого тома, например:
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!-- See pam_mount.conf(5) for a description.-->
<pam_mount>
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<mntoptions require="nosuid,nodev" />
<mkmountpoint enable="1" remove="true" />
<debug enable="0" />
<logout wait="500000" hup="1" term="1" kill="1" />
<cifsmount>
mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)
</cifsmount>
<volume
fstype="cifs"
server="dc.example.ru"
path="share-pam"
mountpoint="~/share-pam"
options="username=%(USER),uid=%(USERUID),pass=%(PASSWD),rw,setuids,sec=ntlmv2i"
/>
<volume
fstype="cifs"
server="dc.example.ru"
path="share-pam"
mountpoint="~/share-pam"
options="username=%(USER),cruid=%(USERUID),setuids,file_mode=0664,dir_mode=0775,sec=krb5i"
/>
</pam_mount>где:
server— машина, откуда производится монтирование. Обычно, если сеть не является доменной структурой, допустимо использование IPv4-адреса;path— каталог, который необходимо смонтировать с сервера;mountpoint— точка монтирования, другими словами - куда монтировать ресурс;options— атрибуты монтирования.
Для использования Kerberos-аутентификации на введенной в домен рабочей станции в конфигурационном файле /etc/security/pam_mount.conf.xml в строке с опциями монтирования укажите параметр аутентификации:
sec=krb5i — предпочтительно с точки зрения безопасности, но требует больше ресурсов;
sec=krb5 — при монтировании будет использоваться текущий кэш Kerberos-пользователя.
После настройки pam_mount.conf.xml необходимо внести изменения в файл postlogin профиля authselect и применить новую конфигурацию.
Способ внесения изменения зависит от текущей настройки authselect:
1. Если компьютер введен в домен с помощью утилиты join-to-domain, то может использоваться authselect профиль sssd_domain или winbind_domain. В таком случае необходимо внести изменения в файл /etc/authselect/<идентификатор_профиля>/postlogin.
Чтобы определить <идентификатор_профиля> используемого профиля authselect выполните команду :
authselect current
Пример вывода:
Идентификатор профиля: custom/sssd_domain Включенные функции: - with-faillock - with-fingerprint - with-smartcard - with-mkhomedir
где :
<идентификатор_профиля> может принимать следующие значения:
для sssd_domain — custom/sssd_domain;
для winbind_domain — custom/winbind_domain.
Например, если вывод authselect current показал идентификатор custom/sssd_domain, то в конец файла /etc/authselect/custom/sssd_domain/postlogin добавьте следующую строку:
session optional pam_mount.so
Примените изменения текущего профиля:
authselect apply-changes
Также можно добавить в конец строки с модулем pam_mount.so аргумент disable_interactive, который позволяет авторизоваться на сетевом ресурсе без повторного ввода пароля (в файле /etc/authselect/<идентификатор_профиля>/postlogin).
Для применения изменений, внесенных в профиль, выполните:
authselect apply-changes
2. Если применён собственный пользовательский профиль authselect (идентификатор начинается на "custom"), то произведите действия идентичные предыдущему пункту, но с использованием идентификатора текущего профиля.
3. Если применён предустановленный в системе профиль authselect (идентификатор НЕ начинается на "custom"), то необходимо создать собственный профиль согласно статьи "Настройка системной аутентификации с помощью authselect" и отредактировать идентично пункту 1 выше.
Не забудьте после переключения на созданный профиль authselect включить необходимые функции:
authselect enable-feature <название_функции>Обратите внимание, что настроенный автоматический вход в систему не производит автоматическую авторизацию сетевых ресурсов при использовании модуля pam_mount.so с аргументом disable_interactive.
Модуль pam_mount.so с аргументом disable_interactive допустим только при аутентификации через krb5 и krb5i.
При подключении сетевой папки на windows server 2003 в опции монтирования необходимо дописать параметр vers=1.0. Логин и пароль не должны содержать кириллических символов. Обратите внимание, что начиная с версии ядра 5.15 в клиенте CIFS прекращена поддержка NTLM и менее надёжных алгоритмов аутентификации, основанных на алгоритме DES и используемых в протоколе SMB1.
При повторном вводе в домен внесенные изменения в профиль authselect будут удалены в связи с повторным конфигурированием профиля.
Дата последнего изменения: 21.04.2025
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.