Монтирование сетевых ресурсов pam_mount

Монтирование сетевых ресурсов pam_mount

На примере(Astra, Debian, Ubuntu)

Требуется выполнить несколько простых шагов:

1. Установить на рабочую станцию два пакета: libpam-mount и cifs-utils

2. Отредактировать конфигурационные файлы в каталогах /etc/pam.d и /etc/security, создать каталог, куда будем монтировать.

Итак, начальные условия:

Рабочая станция под управлением ОС на базе ядра linux (в данном конкретном случае введена в домен Active Directory(AD)).

В локальной сети существует, настроен и функционирует файловый сервер с именем ad, предоставляющий ресурсы, сетевой каталог с именем dfs (все имена выбраны как пример) по протоколу SMB/CIFS, также заведённый в домен и использующий ACL для назначения пользователям прав доступа к ресурсам.

Выполним первый шаг, установим необходимые пакеты командой:

$sudo apt install libpam-mount cifs-utils

Далее приступаем ко второму шагу, выполнив команду:

$nano /etc/pam.d/common-auth

В конфигурационном файле проверяем наличие строчки:

auth optional pam_mount.so

Если строчка отсутствует ее не обходимо добавить

#

# /etc/pam.d/common-auth - authentication settings common to all services

#

# This file is included from other service-specific PAM config files,

# and should contain a list of the authentication modules that define

# the central authentication scheme for use on the system

# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the

# traditional Unix authentication mechanisms.

#

# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.

# To take advantage of this, it is recommended that you configure any

# local modules either before or after the default block, and use

# pam-auth-update to manage selection of other modules. See

# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)

auth [success=5 default=ignore] pam_krb5.so minimum_uid=1000

auth [success=4 default=ignore] pam_unix.so nullok_secure try_first_pass

auth [success=3 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass

auth [success=2 default=ignore] pam_ccreds.so minimum_uid=1000 action=validate use_first_pass

auth [default=ignore] pam_ccreds.so minimum_uid=1000 action=update

# here's the fallback if no module succeeds

auth requisite pam_deny.so

# prime the stack with a positive return value if there isn't one already;

# this avoids us returning an error just because nothing sets a success code

# since the modules above will each just jump around

auth required pam_permit.so

# and here are more per-package modules (the "Additional" block)

auth optional pam_ccreds.so minimum_uid=1000 action=store

auth optional pam_cap.so

auth optional pam_mount.so

# end of pam-auth-update config

$nano /etc/pam.d/common-session

В конфигурационном файле проверяем наличие строчки:

session optional pam_mount.so

Если строчка отсутствует ее не обходимо добавить

#

# /etc/pam.d/common-session - session-related modules common to all services

#

# This file is included from other service-specific PAM config files,

# and should contain a list of modules that define tasks to be performed

# at the start and end of sessions of *any* kind (both interactive and

# non-interactive).

#

# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.

# To take advantage of this, it is recommended that you configure any

# local modules either before or after the default block, and use

# pam-auth-update to manage selection of other modules. See

# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)

session [default=1] pam_permit.so

# here's the fallback if no module succeeds

session requisite pam_deny.so

# prime the stack with a positive return value if there isn't one already;

# this avoids us returning an error just because nothing sets a success code

# since the modules above will each just jump around

session required pam_permit.so

# The pam_umask module will set the umask according to the system default in

# /etc/login.defs and user settings, solving the problem of different

# umask settings with different shells, display managers, remote sessions etc.

# See "man pam_umask".

session optional pam_umask.so

# and here are more per-package modules (the "Additional" block)

session optional pam_krb5.so minimum_uid=1000

session required pam_unix.so

session optional pam_winbind.so

session optional pam_mount.so

session optional pam_systemd.so

session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077

# end of pam-auth-update config

Создаём каталог, который будет точкой монтирования ресурсов:

mkdir /mnt/share

Осталось отредактировать файл в каталоге /etc/security (pam_mount.conf.xml). Редактируем (только секция volume definitions):

nano /etc/security/pam_mount.conf.xml

<!-- Volume definitions -->

<volume fstype="cifs" server="ad" path="dfs" mountpoint="/mnt/share" options="user,owner,noexec,iocharset=utf8,rw" />

<!-- pam_mount parameters: General tunables -->

Перезагружаемся, входим под пользователем, кому доступен данный ресурс и проверяем каталог /mnt/share.