主页 / server / 问题 / 1097538
Accepted
ZDV
Asked: 2022-04-01 22:02:56 +0800 CST

使用 pam_mount 安装 Windows 共享 (cifs) 时出错

  • 772

我有一台 Ubuntu 21.10 电脑加入了 Samba AD 域控制器。一切工作正常 - Kerberos 工作(可以使用 kinit 获取票证),winbind 工作(可以获取有关用户和组的信息),我能够使用域凭据登录系统。

并且手动安装共享也可以使用 Kerberos 和 ntlmssp 授权:

sudo mount -t cifs //server/path /mount/point -o username=USER,domain=DOMAIN,sec=ntlmssp

sudo mount -t cifs //server/path /mount/point -o username=USER,domain=DOMAIN,sec=krb5

像 username=USER@DOMAIN 这样设置用户名也可以。

问题是当用户通过 gnome 登录时,我无法让 pam_mount 工作!

像这样在 pam_mount.conf.xml 中使用 krb5

<volume
      fstype="cifs"
      server="server"
      path="path"
      mountpoint="mount/point"
      options="sec=krb5"
  />

在 auth.conf 中给出错误

(mount.c:72): mount error(126): Required key not available

像这样在 pam_mount.conf.xml 中使用 ntlmssp

<volume
      fstype="cifs"
      server="server"
      path="path"
      mountpoint="mount/point"
      options="sec=ntlmssp"
  />

在 auth.conf 中给出不同的错误

(pam_mount.c:173): conv->conv(...): Conversation error

在 pam_mount 中启用调试后,我还可以在 auth.log 中看到它正在执行的确切安装命令,并且当我手动运行它们时,它与上面的工作相同。

我尝试了以下方法:

  • 以不同的组合使用挂载选项:vers=3.0, _netdev,user,sec
  • 强制 Kerberos 使用 pam_winbind 配置将票证存储在 /tmp/krb5cc_%u 中的文件中
  • 阅读大量论坛

有任何想法吗?

ubuntu mount pam

1 个回答

  1. Best Answer

    我终于弄明白了。这是一个有效的 pam_mount 卷配置:

    <volume sgrp="DOMAIN\domain users" fstype="cifs" server="my.server.com" path="path/to/share" mountpoint="/mount/point" options="sec=krb5,cruid=%(USERUID),noexec,rw,nofail" />

    关键要求似乎是:

    • 服务器域名。Kerberos 不能为 ips 出票,所以你必须指定一个域名。
    • cruid=%(USERUID)选项。Mount 以 root 身份执行,默认情况下它正在寻找属于 root 的票证文件,因此我们必须设置实际票证所有者的用户 ID。
    • sgrp="域\域用户"属性。pam_mount 在每个新的身份验证会话上运行,包括 gdm 等系统用户。一旦登录尝试安装共享失败,它似乎正在缓存它并且即使对于授权用户也是如此。因此,我们需要明确定义要为其挂载共享的用户。它可以通过 pam_mount 中提供的许多用户控制属性来完成。
    • 0

相关问题