Я занимался этим несколько часов и был бы очень признателен за помощь в устранении неполадок, если у кого-то есть опыт работы с pam_mount на RHEL. Попытка pam-монтировать сетевой ресурс в общий ящик RHEL7 автоматически при входе в систему ssh, в частности, для пользователей домена, но приведенная ниже конфигурация установлена для всех пользователей в целях отладки. Я не хочу, чтобы пользователям сначала приходилось «извлекать» билет Kerberos вручную, хотя я еще не зашел так далеко. В случае, если это имеет значение, когда пользователи подключаются по ssh (через PuTTY) с рабочих станций своей компании, им НЕ предлагается вводить пароль - им нужно только ввести идентификатор пользователя, и если они входят в ту же учетную запись AD, они в настоящее время вошли на рабочую станцию. с, то учетные данные "протекают" из-за отсутствия лучшего понимания с моей стороны...
Я не пытаюсь монтировать домашние каталоги Windows, просто пытаюсь монтировать общую папку общего доступа в ~ каталогах пользователей. У некоторых пользователей разные уровни доступа (r, rw и т. д.) к этой общей папке, и я смог придумать такой способ, чтобы убедиться, что они просматривают ее со своими собственными разрешениями. Если есть способ применить это при однократном монтировании в /mnt, сообщите мне, как это сделать.
Информация об окружающей среде ниже - дайте мне знать, если я должен поделиться какой-либо другой, и заранее спасибо
версия pam-mount:
(base) [root@hostname security]# yum list installed | grep pam_mount
Repository packages-microsoft-com-prod is listed more than once in the configuration
pam_mount.x86_64 2.16-5.el7 @epel
/var/log/messages при подключении по ssh к ящику с идентификатором домена:
(base) [root@hostname security]# cat /var/log/messages | grep pam_mount
Nov 22 18:03:46 hostname sshd[6056]: (pam_mount.c:568): pam_mount 2.16: entering session stage
Nov 22 18:03:46 hostname sshd[6056]: (pam_mount.c:173): conv->conv(...): Conversation error
Nov 22 18:03:46 hostname sshd[6056]: (pam_mount.c:477): warning: could not obtain password interactively either
Nov 22 18:03:47 hostname sshd[6056]: (pam_mount.c:522): mount of /transfer failed
Nov 22 18:03:47 hostname sshd[6056]: (pam_mount.c:173): conv->conv(...): Conversation error
Nov 22 18:03:47 hostname sshd[6056]: (pam_mount.c:477): warning: could not obtain password interactively either
Nov 22 18:03:47 hostname sshd[6056]: (pam_mount.c:441): pmvarrun says login count is 1
Nov 22 18:03:47 hostname sshd[6056]: (pam_mount.c:660): done opening session (ret=0)
/etc/pam.d/system-auth
(base) [root@hostname security]# cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quiet
auth [default=1 ignore=ignore success=ok] pam_localuser.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_sss.so forward_pass
auth required pam_deny.so
**auth optional pam_mount.so**
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_sss.so
account required pam_permit.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password sufficient pam_sss.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session optional pam_oddjob_mkhomedir.so umask=0077
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
**session optional pam_mount.so**
pam_mount.conf.xml
(base) [root@hostname security]# cat pam_mount.conf.xml
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
See pam_mount.conf(5) for a description.
-->
<pam_mount>
<!-- debug should come before everything else,
since this file is still processed in a single pass
from top-to-bottom -->
<debug enable="1" />
<!-- Volume definitions -->
<!-- pam_mount parameters: General tunables -->
<!--
<luserconf name=".pam_mount.conf.xml" />
-->
<!-- Note that commenting out mntoptions will give you the defaults.
You will need to explicitly initialize it with the empty string
to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />
<!-- requires ofl from hxtools to be present -->
<logout wait="0" hup="no" term="no" kill="no" />
<!-- pam_mount parameters: Volume-related -->
<mkmountpoint enable="1" remove="true" />
<volume
user="*"
fstype="cifs"
server="10.7.3.11"
path="/transfer"
mountpoint="/home/$(USER)/transfer"
options="rw,mand,iocharset=utf8,file_mode=0755,dir_mode=0755 00"
/>
</pam_mount>