Я хочу использовать PAM для подключения общих ресурсов для пользователей домена на моих рабочих станциях Xubuntu, потому что он не хранит пароли, но пока безуспешно. Любая помощь будет принята с благодарностью.
Мой тестовый экземпляр Xubuntu 20.04 — это виртуальная машина (имя: vmlx01) присоединен к домену Active Directory (dom01.dom) управляется Zentyal 7.04 Community Edition DC (название: дзен01). я использовал эти инструкции чтобы присоединить рабочую станцию к домену — они прекрасно работают — а также установили пакеты keyutils, cifs-utils и libpam-mount. DNS и NTP настроены правильно.
Пользователь домена "пользователь1" может войти в vmlx01 с помощью графического интерфейса пользователя. user1 является членом группы "Пользователи домена" AD, а на рабочей станции Xubuntu - членом локальной группы sudo.
На сервере TrueNAS CORE 12.0-U5.1 (имя: nas02), доля SMB"Музыка" настроен так:
Пользователь: USER1 -- чтение/запись/выполнение
Группа: Пользователи домена -- чтение/запись/выполнение
Разрешения для «Других» установлены на «Чтение/Выполнение».
При входе на рабочую станцию Xubuntu user1 может сопоставить общий ресурс TrueNAS SMB "Музыка" вручную с помощью этой команды:
sudo mount -t cifs -o имя пользователя[email protected],пароль=********,uid=84401108,gid=84400513 //nas02/Музыка /home/user1/Музыка
но попытка смонтировать тот же общий ресурс с помощью монтирования PAM не удалась. Терминальная команда «dmesg» возвращает:
[ 28.759653] CIFS: попытка монтирования \nas02.dom01.dom\Music
[28.776805] CIFS: возвращен код состояния 0xc000006d STATUS_LOGON_FAILURE
[28.776823] CIFS: VFS: \nas02.dom01.dom Ошибка отправки в SessSetup = -13
[28.776837] CIFS: VFS: ошибка cifs_mount с кодом возврата = -13
[29.899013] [drm:vmw_msg_ioctl [vmwgfx]] *ОШИБКА* Не удалось открыть канал.
[29.899043] [drm:vmw_msg_ioctl [vmwgfx]] *ОШИБКА* Не удалось открыть канал.
[ 34.189831] kauditd_printk_skb: подавлено 11 обратных вызовов
[34.189834] аудит: тип=1400 аудит(1631746734.135:79): apparmor="РАЗРЕШЕНО" операция="открыть" профиль="/usr/sbin/sssd" имя="/proc/1267/cmdline" pid=679 comm= "sssd_nss" запрашиваемая_маска = "r" deny_mask = "r" fsuid = 0 ouid = 84401108
Файл /etc/pam.d/common-auth
auth [успех=2 по умолчанию=игнорировать] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_sss.so use_first_pass
реквизиты авторизации pam_deny.so
требуется авторизация pam_permit.so
авторизация необязательная pam_mount.so
авторизация необязательная pam_cap.so
Файл /etc/pam.d/общий-пароль
требование пароля pam_pwquality.so retry=3
пароль [success=2 default=ignore] pam_unix.so неясно use_authtok try_first_pass sha512
достаточный пароль pam_sss.so use_authtok
реквизиты пароля pam_deny.so
требуется пароль pam_permit.so
пароль необязательный pam_mount.so
пароль необязательный pam_mount.so disable_interactive
пароль необязательный pam_gnome_keyring.so
Файл /etc/pam.d/common-session
сеанс [по умолчанию=1] pam_permit.so
реквизит сеанса pam_deny.so
требуется сеанс pam_permit.so
сеанс необязательный pam_umask.so
требуется сеанс pam_unix.so
необязательный сеанс pam_sss.so
необязательный сеанс pam_mount.so disable_interactive
необязательный сеанс pam_systemd.so
Файл /etc/security/pam_mount.conf.xml
<pam_mount>
<debug enable="0" />
<!-- Volume definitions -->
<volume fstype="cifs" domain="dom01.dom" uid="84401108" gid=",84401109" username="*"
server="nas02.dom01.dom" sec="krb5" options="vers=3.0" path="Music" mountpoint="/home/user1/Music"> <not><user>root</user></not> <not><user>sddm</user></not> </volume>
<!-- pam_mount parameters: General tunables -->
<!--
<luserconf name=".pam_mount.conf.xml" />
-->
<!-- Note that commenting out mntoptions will give you the defaults.
You will need to explicitly initialize it with the empty string
to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />
<!-- requires ofl from hxtools to be present -->
<logout wait="0" hup="no" term="no" kill="no" />
<!-- pam_mount parameters: Volume-related -->
<mkmountpoint enable="1" remove="true" />
</pam_mount>
Файл /etc/sssd/sssd.conf
[СССД]
услуги = nss, pam
config_file_version = 2
домены = dom01.dom
[нсс]
entry_negative_timeout = 0
#отладочный_уровень = 5
[пэм]
#отладочный_уровень = 5
[домен/dom01.dom]
#отладочный_уровень = 10
перечислить = ложь
id_provider = объявление
auth_provider = объявление
chpass_provider = объявление
access_provider = объявление
dyndns_update = ложь
ad_hostname = vmlx01.dom1.dom
рекламный_сервер = zen01.dom1.dom
рекламный_домен = dom1.dom
ad_gpo_access_control = разрешающий
ldap_schema = объявление
ldap_id_mapping = истина
override_homedir = /home/%u
#fallback_homedir = /home/%u
default_shell = /bin/bash
ldap_sasl_mech = gssapi
ldap_sasl_authid = VMLX01$
krb5_keytab = /etc/sssd/dom1-keytab.keytab
ldap_krb5_init_creds = истина
use_full_qualified_names = Ложь
Файл /etc/krb5.conf
[libdefaults]
default_realm = DOM1.DOM
рдн = нет
dns_lookup_kdc = истина
dns_lookup_realm = истина
[сферы]
ДОМ1.ДОМ = {
kdc = zen01.dom1.dom
admin_server = zen01.dom1.dom
