5.6 Подключение сетевых директорий с использованием automount (autofs) и механизма Kerberos

autofs — это служба, которая автоматически монтирует файловые системы при их использовании, и отключает их позже, когда файловые системы перестают использоваться. autofs может работать с сетевыми файловыми системами, компакт-дисками и т. д.

1. Установите пакет cifs-utils и autofs (если они не установлены).
Для этого перейдите в сеанс пользователя root или запустите команду от sudo-пользователя.
для РЕД ОС версии 7.1 или 7.2:

$ su -
# yum install cifs-utils autofs

для РЕД ОС версии 7.3 и старше:

$ su -
# dnf install cifs-utils autofs

2. Войдите в систему под учетной записью доменного пользователя и проверьте билет Керберос командой (именно от доменного пользователя, а не от root):

$ klist

Пример вывода команды:

$ klist
Ticket cache: FILE:/tmp/krb5cc_51105
Default principal: u1@WIN.REDOS

Valid starting       Expires              Service principal
23.01.2020 15:41:54  24.01.2020 01:41:54  krbtgt/WIN.REDOS@WIN.REDOS
	renew until 30.01.2020 12:04:05
Важно
Рабочая станция должна быть введена в домен. Инструкция по вводу доступна в статье «Ввод РЕД ОС в MS Active Directory».
Для выполнения всех последующих действий перейдите в сеанс пользователя root (su) или выполните действия от sudo-пользователя.

3. Добавьте строку для монтирования в файл /etc/auto.master

Для РЕД ОС 7.3 целесообразно создать точку монтирования сетевой папки в /media, потому что каталоги, созданные в /media, будут отображаться на рабочем столе и в файловых менеджерах Nemo/Caja (в левой колонке). В файловых менеджерах Nemo/Caja монтировать данные каталоги можно будет одним кликом.
# nano /etc/auto.master
/media/samba    /etc/auto.samba    --ghost
  • Первое поле (в примере — /media/samba) — базовая точка монтирования, которая выступает родительским каталогом для подключаемых общих сетевых ресурсов (они будут располагаться именно в этом каталоге)
  • Второе поле (в примере — /etc/auto.samba) — файл таблицы (map-файл), соответствующий этой точке монтирования.
  • Третье поле (в примере это ––ghost) необязательно и может содержать опции, которые будут применены ко всем записям таблицы.

4. Создайте файл /etc/auto.samba и впишите туда строку

# nano /etc/auto.samba
share    -fstype=cifs,multiuser,cruid=$UID,sec=krb5,domain=WIN.REDOS ://dc.win.redos/share
  • Первое поле (в примере — share) — имя автоматически создаваемой autofs папки, в которую монтируется общая папка //dc2.wintest.redostest/share.
  • Второе поле (в примере — -fstype) — параметры подключения и указание на использования механизма Kerberos
  • Третье поле (в примере — ://dc.win.redos/share) — адрес сетевого хранилища
  • Параметр cruid может принимать значение идентификатора пользователя или доменного имени пользователя.
Важно

При подключении сетевой папки на windows server 2003 в опции монтирования надо дописать параметр vers=1.0. Логин и пароль пользователя не должны содержать кириллических символов.

Для подключения  скрытых сетевых каталогов необходимо экранировать символ $

share -fstype=cifs,multiuser,cruid=$UID,sec=krb5,domain=WIN.REDOS ://dc.win.redos/share\$

5. В файле /etc/krb5.conf нужно закомментировать строку (если она присутствует и ещё не закомментирована)

default_ccache_name = KEYRING:persistent:%{uid}

а вместо нее вставить параметр:

default_ccache_name = FILE:/tmp/krb5cc_%{uid}

6. Добавьте autofs в автозагрузку и запустите службу:

systemctl enable autofs --now

Теперь подключённые общие сетевые ресурсы будут автоматически монтироваться при обращении пользователя к каталогу-точке монтирования (по запросу пользователя, а не при загрузке ОС на ПК, что позволяет снизить нагрузку на сервер). В нашем примере точкой монтирования выступает каталог /mnt/samba/share.

В том случае, если на ПК с РЕД ОС установлено дополнительное ПО SecretNet, и ввод в домен производится средствами SecretNet, тогда для автоматического входа пользователя в общий сетевой ресурс с помощью Kerberos (без ввода пароля) необходим настроенный конфигурационный файл /etc/security/pam_winbind.conf

Пример:

1) Ввод в домен производится скриптом SecretNet:

/opt/secretnet/usr/scripts/domain.sh pc dc.win.redos admin qweasd123!

Перед перезагрузкой ПК нужно дополнительно отредактировать файл /etc/security/pam_winbind.conf.

2) В /etc/security/pam_winbind.conf в секции [global] должны быть прописаны 3 параметра:

cached_login = yes
krb5_ccache_type = FILE
krb5_auth = yes

Для изменения параметра krb5_ccache_type можно отредактировать файл вручную в любимом текстовом редакторе или выполнить следующую команду от пользователя root:

sudo sed -i "s/krb5_ccache_type\ =/krb5_ccache_type\ =\ FILE/" /etc/security/pam_winbind.conf

В случае возникновения проблем с подключением общих сетевых ресурсов необходимо проверить данный конфигурационный файл /etc/security/pam_winbind.conf на наличие всех трёх активных параметров, которые описаны выше: cached_login, krb5_ccache_type, krb5_auth = yes (в начале строки не должно быть символа «;», так как в этом случае эти параметры не применяются).

3) После ввода в домен и настройки pam_winbind.conf нужно выполнить перезагрузку ПК

reboot

 

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

Print Friendly, PDF & Email