RHEL7, проблема с pam_mount для учетных записей AD

Я занимался этим несколько часов и был бы очень признателен за помощь в устранении неполадок, если у кого-то есть опыт работы с pam_mount на RHEL. Попытка pam-монтировать сетевой ресурс в общий ящик RHEL7 автоматически при входе в систему ssh, в частности, для пользователей домена, но приведенная ниже конфигурация установлена ​​​​для всех пользователей в целях отладки. Я не хочу, чтобы пользователям сначала приходилось «извлекать» билет Kerberos вручную, хотя я еще не зашел так далеко. В случае, если это имеет значение, когда пользователи подключаются по ssh (через PuTTY) с рабочих станций своей компании, им НЕ предлагается вводить пароль - им нужно только ввести идентификатор пользователя, и если они входят в ту же учетную запись AD, они в настоящее время вошли на рабочую станцию. с, то учетные данные "протекают" из-за отсутствия лучшего понимания с моей стороны...

Я не пытаюсь монтировать домашние каталоги Windows, просто пытаюсь монтировать общую папку общего доступа в ~ каталогах пользователей. У некоторых пользователей разные уровни доступа (r, rw и т. д.) к этой общей папке, и я смог придумать такой способ, чтобы убедиться, что они просматривают ее со своими собственными разрешениями. Если есть способ применить это при однократном монтировании в /mnt, сообщите мне, как это сделать.

Информация об окружающей среде ниже - дайте мне знать, если я должен поделиться какой-либо другой, и заранее спасибо

версия pam-mount:

(base) [root@hostname security]# yum list installed | grep pam_mount
Repository packages-microsoft-com-prod is listed more than once in the configuration
pam_mount.x86_64            2.16-5.el7             @epel

/var/log/messages при подключении по ssh к ящику с идентификатором домена:

(base) [root@hostname security]# cat /var/log/messages | grep pam_mount
Nov 22 18:03:46 hostname sshd[6056]: (pam_mount.c:568): pam_mount 2.16: entering session stage
Nov 22 18:03:46 hostname sshd[6056]: (pam_mount.c:173): conv->conv(...): Conversation error
Nov 22 18:03:46 hostname sshd[6056]: (pam_mount.c:477): warning: could not obtain password interactively either
Nov 22 18:03:47 hostname sshd[6056]: (pam_mount.c:522): mount of /transfer failed
Nov 22 18:03:47 hostname sshd[6056]: (pam_mount.c:173): conv->conv(...): Conversation error
Nov 22 18:03:47 hostname sshd[6056]: (pam_mount.c:477): warning: could not obtain password interactively either
Nov 22 18:03:47 hostname sshd[6056]: (pam_mount.c:441): pmvarrun says login count is 1
Nov 22 18:03:47 hostname sshd[6056]: (pam_mount.c:660): done opening session (ret=0)

/etc/pam.d/system-auth

(base) [root@hostname security]# cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quiet
auth        [default=1 ignore=ignore success=ok] pam_localuser.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_sss.so forward_pass
auth        required      pam_deny.so
**auth        optional      pam_mount.so**

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_oddjob_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so
**session     optional      pam_mount.so**

pam_mount.conf.xml

(base) [root@hostname security]# cat pam_mount.conf.xml
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
        See pam_mount.conf(5) for a description.
-->

<pam_mount>

                <!-- debug should come before everything else,
                since this file is still processed in a single pass
                from top-to-bottom -->

<debug enable="1" />

                <!-- Volume definitions -->


                <!-- pam_mount parameters: General tunables -->

<!--
<luserconf name=".pam_mount.conf.xml" />
-->

<!-- Note that commenting out mntoptions will give you the defaults.
     You will need to explicitly initialize it with the empty string
     to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />
<!-- requires ofl from hxtools to be present -->
<logout wait="0" hup="no" term="no" kill="no" />


                <!-- pam_mount parameters: Volume-related -->

<mkmountpoint enable="1" remove="true" />

<volume
        user="*"
        fstype="cifs"
        server="10.7.3.11"
        path="/transfer"
        mountpoint="/home/$(USER)/transfer"
        options="rw,mand,iocharset=utf8,file_mode=0755,dir_mode=0755 00"
/>


</pam_mount>

rhel7 pam automount
person mb158127    schedule 23.11.2019    source источник
comment
предупреждение: также не удалось получить пароль в интерактивном режиме, есть ли у каких-либо учетных данных AD ограничение, препятствующее интерактивному входу в систему, или я думаю об использовании учетных данных AD там, где используются некоторые другие учетные данные?   -  person Brian McMahon    schedule 25.11.2019
comment
Я не верю, что есть такие ограничения. Однако целью будет автоматический вход в систему (с использованием Kerberos?), а не использование интерактивного входа.   -  person mb158127    schedule 26.11.2019

Ответы (2)


arrow_upward
0
arrow_downward

Если это проще, и вы хотите, чтобы все пользователи видели одну и ту же папку, вы можете смонтировать ее как что-то вроде /folder. Затем добавьте всех пользователей в «группу папок» и назначьте что-то вроде chown root:folder-group -R /folder. Это, вероятно, будет самым быстрым способом в качестве ресурса сообщества.

Мне нужно знать немного больше, если вы не знаете, как настроить группы, но если вы зашли так далеко, у вас, вероятно, уже есть идея.

person ThatCampbellKid    schedule 03.12.2019
comment
Мне действительно нужно, чтобы пользователи обращались к общему ресурсу под своими учетными данными AD, чтобы соответствовать требованиям безопасности. Я бы предпочел, например, одно монтирование в /mnt/folder, но у меня нет учетных данных приложения, чтобы использовать его для монтирования. Есть ли способ сделать то, что вы предлагаете, с ограничением, которое у меня есть? - person mb158127; 17.12.2019
comment
Они будут с этой моделью, так как они аутентифицируются под своей учетной записью, чтобы попасть на машину. Затем вы должны изменить права доступа к файлам и каталогам внутри монтирования, чтобы разрешить отдельным лицам или группам доступ к ним. Это все спорно, если у пользователей есть доступ к sudo. - person ThatCampbellKid; 18.12.2019

arrow_upward
0
arrow_downward

Возможно, вы захотите поместить pam_mount над достаточным утверждением.

person Marcel Lans    schedule 14.09.2020