3.9.19.6.8 Автоматическое монтирование ресурсов при входе пользователя с помощью pam_mount
Скачать документ Для автоматического монтирования разделяемых файловых ресурсов при входе пользователя используется PAM-модуль pam_mount
, предоставляемый пакетом pam_mount
, то есть для автоматического монтирования разделяемых файловых ресурсов на компьютере-клиенте должны быть установлены пакет cifs-utils и pam_mount:
dnf install cifs-utils pam_mount
Настройка модуля pam_mount
осуществляется с помощью конфигурационного файла /etc/security/pam_mount.conf.xml.
Вы можете подробнее ознакомиться с возможностью автоматического монтирования ресурсов, просмотрев наши обучающие видео:
на RuTube — Монтирование файловых систем в РЕД ОС;
в Яндекс.Дзен — Монтирование файловых систем в РЕД ОС;
в VK Видео — Монтирование файловых систем в РЕД ОС.
На наших каналах вы также сможете найти много другой полезной информации.
Описание возможностей модуля pam_mount
и формат его конфигурационного файла приведены в руководстве man
для pam_mount
и pam_mount.conf
.
Для монтирования с помощью pam_mount
разделяемых файловых ресурсов в конфигурационном файле должны быть указаны параметра монтируемого тома, например:
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!-- See pam_mount.conf(5) for a description.-->
<pam_mount>
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<mntoptions require="nosuid,nodev" />
<mkmountpoint enable="1" remove="true" />
<debug enable="0" />
<logout wait="500000" hup="1" term="1" kill="1" />
<cifsmount>
mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)
</cifsmount>
<volume
fstype="cifs"
server="dc.example.ru"
path="share-pam"
mountpoint="~/share-pam"
options="username=%(USER),uid=%(USERUID),pass=%(PASSWD),rw,setuids,sec=ntlmv2i"
/>
<volume
fstype="cifs"
server="dc.example.ru"
path="share-pam"
mountpoint="~/share-pam"
options="username=%(USER),cruid=%(USERUID),setuids,file_mode=0664,dir_mode=0775,sec=krb5i"
/>
</pam_mount>
где:
server
— машина, откуда производится монтирование. Обычно, если сеть не является доменной структурой, допустимо использование IPv4-адреса;path
— каталог, который необходимо смонтировать с сервера;mountpoint
— точка монтирования, другими словами - куда монтировать ресурс;options
— атрибуты монтирования.
После настройки pam_mount.conf.xml необходимо внести изменения в файл postlogin профиля authselect и применить новую конфигурацию.
Для этого выполните следующее:
1. Определите используемый профиль:
authselect current
1.1. В случае если компьютер введен в домен, но используется профиль sssd, создайте профиль sssd_domain:
authselect create-profile sssd_domain -b sssd
В опции -b
указывается профиль, который будет основой для создаваемого.
1.2. В случае если компьютер введен в домен, но используется профиль winbind, создайте профиль winbind_domain:
authselect create-profile winbind_domain -b winbind
1.3. В случае если компьютер введен в домен и уже используется профиль sssd_domain или winbind_domain, создавать профиль не нужно.
2. Отредактируйте файл /etc/authselect/<идентификатор_профиля>/postlogin:
nano /etc/authselect/<идентификатор_профиля>/postlogin
где <идентификатор_профиля> может принимать следующие значения:
для sssd_domain —
custom/sssd_domain
;- для winbind_domain —
custom/winbind_domain
.
и добавьте в конец файла следующую строку:
session optional pam_mount.so
Модуль pam_mount.so с атрибутом disable_interactive
допустим только при аутентификации через krb5 и krb5i.
3. Примените отредактированный профиль:
authselect select <идентификатор_профиля>
Аутентификация через Kerberos при использовании модуля pam_mount
Для использования Kerberos-аутентификации на введенной в домен рабочей станции в конфигурационном файле /etc/security/pam_mount.conf.xml в строке с опциями монтирования укажите параметр аутентификации:
sec=krb5i – предпочтительно с точки зрения безопасности, но требует больше ресурсов;
sec=krb5 – при монтировании будет использоваться текущий кеш Kerberos-пользователя.
Также можно добавить атрибут disable_interactive
к модулю pam_mount.so, который позволяет авторизоваться на сетевом ресурсе без повторного ввода пароля (в файле /etc/authselect/<идентификатор_профиля>/postlogin). Для применения изменений, внесенных в профиль, выполните:
authselect select <идентификатор_профиля>
Обратите внимание, что настроенный автоматический вход в систему не производит автоматическую авторизацию сетевых ресурсов при использовании модуля pam_mount.so с атрибутом disable_interactive
.
При подключении сетевой папки на windows server 2003 в опции монтирования необходимо дописать параметр vers=1.0
. Логин и пароль не должны содержать кириллических символов. Обратите внимание, что начиная с версии ядра 5.15 в клиенте CIFS прекращена поддержка NTLM и менее надёжных алгоритмов аутентификации, основанных на алгоритме DES и используемых в протоколе SMB1.
При повторном вводе в домен внесенные изменения в профиль authselect будут удалены в связи с повторным конфигурированием профиля.
Дата последнего изменения: 25.10.2024
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.