Início / server / Perguntas / 922926
Accepted
Lucio Crusca
Asked: 2018-07-21 14:06:27 +0800 CST

diretórios home do pam_mount sobre cifs, sssd e Bionic Beaver

  • 772

Configurei um cliente Ubuntu Bionic Beaver para autenticar em um Samba ADS (Zentyal), usando sssd . Este guia foi mais ou menos o suficiente para chegar lá. EDIT: veja minha resposta para obter uma citação do significado desse " mais ou menos ". EDIT2: o guia mencionado foi (re?) movido, mas não funcionou no Ubuntu 20.04 e mais recente de qualquer maneira.

Em seguida, configurei o pam_mount para que os diretórios pessoais sejam mantidos no servidor e meu cliente os monte para fazer login de usuários. Parece funcionar, com alguns problemas que aparecem apenas ao fazer login com uma conta do AD. Ao fazer login com uma conta local, tudo funciona como esperado (mas nenhum pam_mount está envolvido nesse caso).

As questões são:

  1. o layout do teclado é inglês mesmo que o sistema seja todo italiano e o método de entrada esteja configurado como italiano.
  2. Não consigo adicionar lançadores ao Ubuntu Dock (diz que foi adicionado, mas não aparece)
  3. (que parece ser 1+2) Não consigo adicionar novos idiomas, assim como não consigo adicionar lançadores ao Dock

Aqui está o meu /etc/security/pam_mount.conf.xml:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<pam_mount>
    <debug enable="0" />
    <volume user="*" fstype="cifs" server="zentyal" path="%(DOMAIN_USER)" mountpoint="/home/%(DOMAIN_USER)" options="sec=ntlmssp,nodev,nosuid,mfsymlinks,nobrl" />
    <mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
    <mntoptions require="nosuid,nodev" />
    <logout wait="0" hup="no" term="no" kill="no" />
    <mkmountpoint enable="1" remove="true" />
</pam_mount>

Alguma pista?

ubuntu

3 respostas

  1. Para qualquer pessoa com versões mais recentes, há três coisas que você precisa fazer para montar os diretórios iniciais de maneira funcional com o SMB v3.0.

    1. Use a opção nobrl
    2. Use a opção mfsymlinks

    Com essas duas opções, um software como o Chrome funcionará. No entanto, as configurações do gnome não funcionarão, o que significa, por exemplo, não alterar os itens na barra lateral. Para isso, você também deve adicionar

    1. "service-db:keyfile/user" para /etc/dconf/profile/user

    (veja https://help.gnome.org/admin/system-admin-guide/stable/dconf-nfs-home.html.en , completamente intuitivo)

    Espero que ajude!

    • 1
  2. Best Answer

    Eu não entendi exatamente o porquê, mas parece que gnome-control-centernão funciona bem com as versões mais recentes do cifsprotocolo, então você precisa forçar a versão 1.0 mais antiga em pam_mount.conf.xml:

    options="sec=ntlmssp,nodev,nosuid,mfsymlinks,nobrl,vers=1.0"

    O protocolo cifs padrão mudou desde o kernel 4.13 (antes era vers=1.0por padrão), então você pode não ter esses problemas em versões do Ubuntu anteriores a 17.10.

    Além disso, caso alguém deduza que esta resposta resolve todos os problemas em versões mais recentes do Ubuntu, esteja avisado que o Ubuntu 18.04 vem com o Samba 4.7.x, mas o Cosmic vem com o Samba 4.8, que quebra o guia de configuração sssd mencionado acima , que, em sua forma atual, faz você adicionar

    security = ads

    para o seu cliente /etc/samba/smb.conf, mas isso não funcionará com o Samba 4.8+, porque agora ele precisa do winbindd . Apenas tenha isso em mente se você seguir esse guia e eles não o atualizarem para as versões atuais de desenvolvimento do Ubuntu. Infelizmente não sei como configurar o Samba 4.8+ com winbindde sssd, mas aposto que está documentado em algum lugar, de alguma forma, por aí.

    Além disso, falando sobre isso " mais ou menos " na minha pergunta, observe que o guia não fala nada sobre mapeamento de id em seu cliente /etc/samba/smb.conf, mas para fazer o otário funcionar, mesmo no Ubuntu 18.04, tive que adicionar o seguinte para ele:

    idmap config * : backend = tdb
idmap config * : range = 1000000-1999999

idmap config ISONZO5 : backend = rid
idmap config ISONZO5 : range = 5000000-5999999

    onde ISONZO5é o mesmo valor que coloquei

    workgroup = ISONZO5

    Isso está documentado na página de manual do smb.conf.

    Outras coisas legais que outros guias esquecem de mencionar e que eu tive que descobrir por mim mesmo são a mfsymlinksopção (sem que os links simbólicos não funcionem) e a nobrlopção (sem que os bancos de dados SQLite não funcionem e tragam com eles uma boa parte de software de desktop como como navegador Chromium e Firefox).

    Espero que isso ajude os outros.

    • 0

  3. outra nota aqui, eu tive que me ater ao smb v2.0 por causa de restrições externas.

    Na minha configuração, o Gnome teve muitos problemas devido a uma falha no dconf. Isso foi baseado no arquivo de banco de dados mapeado na memória que causou problemas devido ao armazenamento no compartilhamento SMB. Existe uma solução simples para isso no back-end do arquivo de chave dconf adicionando a linha "service-db:keyfile/user" a /etc/dconf/profile/user conforme descrito aqui: https://people.gnome.org/~pmkovar/ system-admin-guide/dconf-nfs-home.html

    • -3

relate perguntas