Для автоматического монтирования разделяемых файловых ресурсов при входе пользователя используется PAM-модуль pam_mount, предоставляемый пакетом pam_mount, то есть для автоматического монтирования разделяемых файловых ресурсов на компьютере-клиенте должны быть установлены пакет cifs-utils и pam_mount:
pam_mount
dnf install cifs-utils pam_mount
Настройка модуля pam_mount осуществляется с помощью конфигурационного файла /etc/security/pam_mount.conf.xml.
Вы можете подробнее ознакомиться с возможностью автоматического монтирования ресурсов, просмотрев наши обучающие видео:
на RuTube — Монтирование файловых систем в РЕД ОС;
в Яндекс.Дзен — Монтирование файловых систем в РЕД ОС;
в VK Видео — Монтирование файловых систем в РЕД ОС.
На наших каналах вы также сможете найти много другой полезной информации.
Описание возможностей модуля pam_mount и формат его конфигурационного файла приведены в руководстве man для pam_mount и pam_mount.conf.
man
pam_mount.conf
Для монтирования с помощью pam_mount разделяемых файловых ресурсов в конфигурационном файле должны быть указаны параметра монтируемого тома, например:
<?xml version="1.0" encoding="utf-8" ?> <!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd"> <!-- See pam_mount.conf(5) for a description.--> <pam_mount> <mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" /> <mntoptions require="nosuid,nodev" /> <mkmountpoint enable="1" remove="true" /> <debug enable="0" /> <logout wait="500000" hup="1" term="1" kill="1" /> <cifsmount> mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS) </cifsmount> <volume fstype="cifs" server="dc.example.ru" path="share-pam" mountpoint="~/share-pam" options="username=%(USER),uid=%(USERUID),pass=%(PASSWD),rw,setuids,sec=ntlmv2i" /> <volume fstype="cifs" server="dc.example.ru" path="share-pam" mountpoint="~/share-pam" options="username=%(USER),cruid=%(USERUID),setuids,file_mode=0664,dir_mode=0775,sec=krb5i" /> </pam_mount>
где:
server — машина, откуда производится монтирование. Обычно, если сеть не является доменной структурой, допустимо использование IPv4-адреса;
server
path — каталог, который необходимо смонтировать с сервера;
path
mountpoint — точка монтирования, другими словами - куда монтировать ресурс;
mountpoint
options — атрибуты монтирования.
options
Для использования Kerberos-аутентификации на введенной в домен рабочей станции в конфигурационном файле /etc/security/pam_mount.conf.xml в строке с опциями монтирования укажите параметр аутентификации:
sec=krb5i — предпочтительно с точки зрения безопасности, но требует больше ресурсов;
sec=krb5 — при монтировании будет использоваться текущий кэш Kerberos-пользователя.
После настройки pam_mount.conf.xml необходимо внести изменения в файл postlogin профиля authselect и применить новую конфигурацию.
Способ внесения изменения зависит от текущей настройки authselect:
1. Если компьютер введен в домен с помощью утилиты join-to-domain, то может использоваться authselect профиль sssd_domain или winbind_domain. В таком случае необходимо внести изменения в файл /etc/authselect/<идентификатор_профиля>/postlogin.
Чтобы определить <идентификатор_профиля> используемого профиля authselect выполните команду :
authselect current
Пример вывода:
Идентификатор профиля: custom/sssd_domain Включенные функции: - with-faillock - with-fingerprint - with-smartcard - with-mkhomedir
где :
<идентификатор_профиля> может принимать следующие значения:
для sssd_domain — custom/sssd_domain;
для winbind_domain — custom/winbind_domain.
Например, если вывод authselect current показал идентификатор custom/sssd_domain, то в конец файла /etc/authselect/custom/sssd_domain/postlogin добавьте следующую строку:
session optional pam_mount.so
Примените изменения текущего профиля:
authselect apply-changes
Также можно добавить в конец строки с модулем pam_mount.so аргумент disable_interactive, который позволяет авторизоваться на сетевом ресурсе без повторного ввода пароля (в файле /etc/authselect/<идентификатор_профиля>/postlogin).
Для применения изменений, внесенных в профиль, выполните:
2. Если применён собственный пользовательский профиль authselect (идентификатор начинается на "custom"), то произведите действия идентичные предыдущему пункту, но с использованием идентификатора текущего профиля.
3. Если применён предустановленный в системе профиль authselect (идентификатор НЕ начинается на "custom"), то необходимо создать собственный профиль согласно статьи "Настройка системной аутентификации с помощью authselect" и отредактировать идентично пункту 1 выше.
Не забудьте после переключения на созданный профиль authselect включить необходимые функции:
authselect enable-feature <название_функции>
Обратите внимание, что настроенный автоматический вход в систему не производит автоматическую авторизацию сетевых ресурсов при использовании модуля pam_mount.so с аргументом disable_interactive.
Модуль pam_mount.so с аргументом disable_interactive допустим только при аутентификации через krb5 и krb5i.
При подключении сетевой папки на windows server 2003 в опции монтирования необходимо дописать параметр vers=1.0. Логин и пароль не должны содержать кириллических символов. Обратите внимание, что начиная с версии ядра 5.15 в клиенте CIFS прекращена поддержка NTLM и менее надёжных алгоритмов аутентификации, основанных на алгоритме DES и используемых в протоколе SMB1.
vers=1.0
При повторном вводе в домен внесенные изменения в профиль authselect будут удалены в связи с повторным конфигурированием профиля.
Дата последнего изменения: 21.04.2025
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.
Нажимая «Отправить запрос», вы соглашаетесь с условиями обработки персональных данных.
Вы будете получать только актуальную информацию по обновлению безопасности
Подписываясь на уведомления, вы соглашаетесь с условиями обработки персональных данных.
На ваш почтовый адрес отправлено письмо с подтверждением подписки.
