Pastas remotas com pasta opcional, mas preferida, criptografada localmente

Eu tenho o caso de uso que, por padrão, todos os usuários estão trabalhando em diretórios iniciais montados remotamente. No entanto, às vezes eles preferem uma casa local em uma ou mais máquinas, e. porque a rede é muito lenta, os dados são muito grandes, etc.

Assim, gosto de configurar o seguinte:

1. Os usuários são distribuídos via LDAP
2. Por padrão, os usuários recebem sua pasta pessoal remota, por exemplo, %código%
3. Se uma pasta home em /mnt/smb/$SERVER/$USER existir (link simbólico ou pasta), isso deve ser escolhido e definido como /home/$USER -env etc.
4. Se um diretório inicial precisar ser criado (porque aponta para $HOME ), ele deve ser criado com ecryptfs

Resumindo: não defina o diretório pessoal do usuário globalmente, mas no nível da máquina com um local padrão.

Estado atual:

1. O OpenLDAP com autenticação, etc., está em funcionamento. /home/$USER está definido como homeDirectory no LDAP
2. A pasta remota é montada usando o pam_mount com o servidor e o local codificados permanentemente em /home/$USER
3. Se um usuário quiser usar sua pasta remota em uma máquina, ele simboliza /smb/$USER to /home/$USER . Por outro lado, um diretório vazio (ou uma cópia de /smb/$USER ) é criado manualmente se o usuário quiser uma pasta pessoal local.

Para:

1. Livre-se do link simbólico (se possível)
2. Possibilitar especificar um servidor remoto dinâmico em que a pasta base reside
3. Crie uma pasta pessoal criptografada (ecryptfs), se não houver uma local ou se for impossível montar a pasta remota

Ao tentar implementá-lo com a ajuda do pam_script, encontrei vários obstáculos:

1. O script é executado como raiz, portanto, simplesmente exportar uma nova /etc/skel -variable não produz nenhum efeito
2. ecryptfs-utils são horríveis documentados e têm muitas falhas. Não há possibilidade de especificar manualmente o diretório pessoal do usuário. Afaik é retirado de getent, que seria o ponto de montagem da pasta remota e não de $HOME