5.5 Подключение сетевых директорий с использованием automount и механизма Kerberos

autofs — это служба, которая автоматически монтирует файловые системы при их использовании, и отключает их позже, когда файловые системы перестают использоваться. autofs может работать с сетевыми файловыми системами, компакт-дисками и т. д.

1. Установите пакет cifs-utils и autofs (если они не установлены).
Для этого перейдите в сеанс пользователя root или запустите команду от sudo-пользователя.

$ su
# yum install cifs-utils autofs

2. Войдите в систему под учетной записью доменного пользователя и проверьте билет Керберос командой (именно от доменного пользователя, а не от root):

$ klist

Пример вывода команды:

$ klist
Ticket cache: FILE:/tmp/krb5cc_51105
Default principal: u1@WINTEST.REDOSTEST

Valid starting       Expires              Service principal
23.01.2020 15:41:54  24.01.2020 01:41:54  krbtgt/WINTEST.REDOSTEST@WINTEST.REDOSTEST
	renew until 30.01.2020 12:04:05
Важно
Рабочая станция должна быть введена в домен. Инструкция по вводу доступна в статье «Ввод РЕД ОС в MS Active Directory».
Для выполнения всех последующих действий перейдите в сеанс пользователя root (su) или выполните действия от sudo-пользователя.

3. Добавьте строку для монтирования в файл /etc/auto.master

# nano /etc/auto.master
/mnt/samba    /etc/auto.samba    --ghost
  • Первое поле (в примере — /mnt/samba) — базовая точка монтирования, которая выступает родительским каталогом для подключаемых общих сетевых ресурсов (они будут располагаться именно в этом каталоге)
  • Второе поле (в примере — /etc/auto.samba) — файл таблицы (map-файл), соответствующий этой точке монтирования.
  • Третье поле (в примере — —ghost) необязательно и может содержать опции, которые будут применены ко всем записям таблицы.

4. Создайте файл /etc/auto.samba и впишите туда строку

# nano /etc/auto.samba
share    -fstype=cifs,multiuser,cruid=$UID,sec=krb5,domain=WINTEST.REDOSTEST ://dc2.wintest.redostest/share
  • Первое поле (в примере — share) — имя автоматически создаваемой autofs папки, в которую монтируется общая папка //dc2.wintest.redostest/share.
  • Второе поле (в примере — -fstype) — параметры подключения и указание на использования механизма Kerberos
  • Третье поле (в примере — ://dc2.wintest.redostest/share) — адрес сетевого хранилища
В некоторых случаях для успешного монтирования в -fstype= нужно указывать дополнительную опцию (через запятую):

vers=1.0
5. В файле /etc/krb5.conf нужно закомментировать строку (если она ещё не закомментирована)

default_ccache_name = KEYRING:persistent:%{uid}

а вместо нее вставить параметр:

default_ccache_name = FILE:/tmp/krb5cc_%{uid}

6. Добавьте autofs в автозагрузку и запустите службу:

systemctl enable autofs --now

Теперь подключённые общие сетевые ресурсы будут автоматически примонтироваться при обращении пользователя к каталогу-точке монтирования (по запросу пользователя, а не при загрузке ОС на ПК, что позволяет снизить нагрузку на сервер). В нашем примере точкой монтирования выступает каталог /mnt/samba/share.

В том случае, если на ПК с РЕД ОС установлено дополнительное ПО SecretNet, и ввод в домен производится средствами SecretNet, тогда для автоматического входа пользователя в общий сетевой ресурс с помощью Kerberos (без ввода пароля) необходим настроенный конфигурационный файл /etc/security/pam_winbind.conf

Пример:

1) Ввод в домен производится скриптом SecretNet:

/opt/secretnet/usr/scripts/domain.sh pc33 dc1.win2008.murom admin qweasd123!

Перед перезагрузкой ПК нужно дополнительно отредактировать файл /etc/security/pam_winbind.conf.

2) В /etc/security/pam_winbind.conf в секции [global] должны быть прописаны 3 параметра:

cached_login = yes
krb5_ccache_type = FILE
krb5_auth = yes

Для изменения параметра krb5_ccache_type можно отредактировать файл вручную в любимом текстовом редакторе или выполнить следующую команду от пользователя root:

sudo sed -i "s/krb5_ccache_type\ =/krb5_ccache_type\ =\ FILE/" /etc/security/pam_winbind.conf

В случае возникновения проблем с подключением общих сетевых ресурсов необходимо проверить данный конфигурационный файл /etc/security/pam_winbind.conf на наличие всех трёх активных параметров, которые описаны выше: cached_login, krb5_ccache_type, krb5_auth = yes (в начале строки не должно быть символа «;», так как в этом случае эти параметры не применяются).

3) После ввода в домен и настройки pam_winbind.conf нужно выполнить перезагрузку ПК

reboot

 

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.

Print Friendly, PDF & Email