Como eu monto um catálogo inicial usando cifs e autofs com autenticação do Active Directory no CentOS7?

Question

Como eu monto um catálogo inicial usando cifs e autofs com autenticação do Active Directory no CentOS7?

#1 resposta do (0 votos)

1

Estou tentando integrar um cliente CentOS7 com a autenticação Active Directy e montando automaticamente o usuário homedirs com cifs.

Eu preferiria usar o autofs, mas até agora não consegui fazer o cifs mount funcionar com a configuração sec = krb5. Sempre falha com esta mensagem

# mount -t cifs //fileserver.my.domain/user  /mnt/user/ -orw,noperm,sec=krb5
mount error(126): Required key not available
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)

Quaisquer dicas sobre como obter o autofs para trabalhar com cifs e AD seriam bem-vindas.

Configurar a autenticação foi algo óbvio usando este descrição do RedHat e somados apenas para adicionar os pacotes necessários listados por

realm discover MY.DOMAIN

e executando o comando

realm join MY.DOMAIN -U ad-admin-username

Portanto, a autenticação funciona bem, mas fazer com que o cifs e o kerberos funcionem está além de mim.

authentication cifs active-directory autofs centos7

por dragz 01.08.2016 / 13:20

1 resposta

Tags authentication cifs active-directory autofs centos7

como proteger um site em nstalx docker de beanstalk elástico usando senha Crie usuários manualmente - FOSWiki 2.1.2

score 0 · Answer 1

Eu tenho uma solução alternativa usando o pam_exec, mas não sinto que a montagem de compartilhamentos de arquivos pertença ao framework pam.

Ao inserir as seguintes linhas em /etc/pam.d/password-auth, o script listado no final montará o homedir direito na autenticação de senha. Uma desmontagem lenta é executada em session_close, mas pode não ser a coisa certa a fazer.

Coloque isso em password-auth

auth        optional      pam_exec.so expose_authtok /usr/bin/pam_mount_cifs.s

e isso

session     optional      pam_exec.so  /usr/bin/pam_mount_cifs.sh

as duas linhas devem ser inseridas após as linhas pam_mkhomedir inseridas pelo comando realm join.

Outra alternativa é usar o pam_mount, conforme descrito em esta postagem , mas você deve compilar e instalar o pam_mount manualmente, pois ele não é fornecido com o CentOS. (ou obtenha do repositório do Nux )

Aqui está o script, ele deve ser salvo como /usr/bin/pam_mount_cifs.sh

#!/bin/bash
# this script is called from pam by adding entries to /etc/pam.d/password-auth like this
#
# auth      optional      pam_exec.so expose_authtok /usr/bin/pam_mount_cifs.sh
#
# and
#
# session   optional      pam_exec.so  /usr/bin/pam_mount_cifs.sh

# the script assumes that the home dir is already created by pam_mkhomedir and pam_oddjob_mkhomedir.


DOMAIN=my.domain
FILESERVER=fileserver.my.domain
MNTPNT=/home

# turn of globbing because getent returns as string containing a *
set -f

pwstring=$(getent passwd $PAM_USER)
userinfo=(${pwstring//:/ })
USER=$PAM_USER
# strip off @my.domain from user.
SHORTUSER=${USER%@$DOMAIN}
USERUID=${userinfo[2]}
USERGID=${userinfo[3]}

USERDIR=$MNTPNT/$USER

if [ -z "$PAM_TYPE" ]; then
    echo this script should only be called from pam
    exit 1
fi



if [ $PAM_TYPE = "open_session" ]; then
    # nothing to do here, mount happened in auth.
    exit 0
fi

if [ $PAM_TYPE = "close_session" ]; then
    # this might cause problems if you have services that doesn't create procs in /home. (rstudio is one example)
    umount -l $USERDIR
    exit 0
fi

if [ ! -d $USERDIR ]; then
    mkdir -p $USERDIR
#    chown $USERID:$USERGID $USERDIR
fi

# skip if the share is already mounted.
mountpoint -q $USERDIR && exit 0

# make mount.cifs read password from stdin
export PASSWD_FD=0
mount -t cifs //$FILESERVER/$SHORTUSER $USERDIR -o user=$SHORTUSER,uid=$USERUID,gid=$USERGID,noserverino