Смоленск 1.6 Монтирование cifs с помощью autofs и kerberos

speed_vm

New member
Сообщения
16
#1
Доброго времени суток всем!

Имеется на борту: домен на Win 2008 R2, много-много Astra Linux SE 1.6, чуть-чуть Windows 7 и файловое хранилище cifs (smb).
Астру ввожу в домен с помощью astra-winbind, которая автоматически предоставляет настройки kerberos.
Хочу настроить на астрах автомонтирование хранилища с помощью autofs, но дело в том, что по-умолчанию кэш билетов kerberos настроен на KEYRING:
Код:
Ticket cache: KEYRING:persistent:3000:3000
Default principal: user@DOMAIN.RU

Valid starting       Expires              Service principal
20.03.2020 09:31:29  20.03.2020 19:31:28  TEST-01$@DOMAIN.RU
    renew until 27.03.2020 09:31:28
20.03.2020 09:31:28  20.03.2020 19:31:28  krbtgt/DOMAIN.RU@DOMAIN.RU
    renew until 27.03.2020 09:31:28
Если я правильно понял, то для autofs нужно перенастроить кэш билетов kerberos на FILE.
Изменение файла конфигурации krb5.conf успехом не увенчалось:
Код:
#astra-winbind
[libdefaults]
    default_realm = DOMAIN.RU
    default_ccache_name = FILE:/tmp/krb5cc_%{uid}
    kdc_timesync = 1
#    ccache_type = 4
    forwardable = true
    proxiable = true
    fcc-mit-ticketflags = true
    dns_lookup_realm = false
    dns_lookup_kdc = true
    v4_instance_resolve = false
    v4_name_convert = {
        host = {
            rcmd = host
            ftp = ftp
        }
        plain = {
            something = something-else
        }
    }

[realms]
    DOMAIN.RU = {
    admin_server = DC-01.DOMAIN.RU
    default_domain = DOMAIN.RU
    }

[domain_realm]
    .domain.ru = DOMAIN.RU
    domain.ru = DOMAIN.RU
[login]
    krb4_convert = false
    krb4_get_tickets = false
Файл в указанном месте появляется только в том случае, если получить билет командой /tmp/krb5cc_%{uid}, при этом необходимо вводить пароль пользователя.

Посоветуйте, как решить данную проблему.
 

speed_vm

New member
Сообщения
16
#2
Всё оказалось проще. В файле /etc/krb5.conf ничего менять не нужно. В файле "/etc/pam.d/common-auth" в строке "auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=KEYRING cached_login try_first_pass" нужно заменить "KEYRING" на "FILE".
 

sedfom

New member
Сообщения
7
#3
Я решал аналогичную задачу по подключению сетевых шар разным пользователям под Линуксом, сами учетные данные пользователей из домена AD microsoft. В итоге сделал вот так через Pam_mount https://forum.astralinux.ru/threads/2284/