Смоленск 1.6 Монтирование cifs с помощью autofs и kerberos

speed_vm

New member
Сообщения
16
#1
Доброго времени суток всем!

Имеется на борту: домен на Win 2008 R2, много-много Astra Linux SE 1.6, чуть-чуть Windows 7 и файловое хранилище cifs (smb).
Астру ввожу в домен с помощью astra-winbind, которая автоматически предоставляет настройки kerberos.
Хочу настроить на астрах автомонтирование хранилища с помощью autofs, но дело в том, что по-умолчанию кэш билетов kerberos настроен на KEYRING:
Код:
Ticket cache: KEYRING:persistent:3000:3000
Default principal: user@DOMAIN.RU

Valid starting       Expires              Service principal
20.03.2020 09:31:29  20.03.2020 19:31:28  TEST-01$@DOMAIN.RU
    renew until 27.03.2020 09:31:28
20.03.2020 09:31:28  20.03.2020 19:31:28  krbtgt/DOMAIN.RU@DOMAIN.RU
    renew until 27.03.2020 09:31:28
Если я правильно понял, то для autofs нужно перенастроить кэш билетов kerberos на FILE.
Изменение файла конфигурации krb5.conf успехом не увенчалось:
Код:
#astra-winbind
[libdefaults]
    default_realm = DOMAIN.RU
    default_ccache_name = FILE:/tmp/krb5cc_%{uid}
    kdc_timesync = 1
#    ccache_type = 4
    forwardable = true
    proxiable = true
    fcc-mit-ticketflags = true
    dns_lookup_realm = false
    dns_lookup_kdc = true
    v4_instance_resolve = false
    v4_name_convert = {
        host = {
            rcmd = host
            ftp = ftp
        }
        plain = {
            something = something-else
        }
    }

[realms]
    DOMAIN.RU = {
    admin_server = DC-01.DOMAIN.RU
    default_domain = DOMAIN.RU
    }

[domain_realm]
    .domain.ru = DOMAIN.RU
    domain.ru = DOMAIN.RU
[login]
    krb4_convert = false
    krb4_get_tickets = false
Файл в указанном месте появляется только в том случае, если получить билет командой /tmp/krb5cc_%{uid}, при этом необходимо вводить пароль пользователя.

Посоветуйте, как решить данную проблему.
 

speed_vm

New member
Сообщения
16
#2
Всё оказалось проще. В файле /etc/krb5.conf ничего менять не нужно. В файле "/etc/pam.d/common-auth" в строке "auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=KEYRING cached_login try_first_pass" нужно заменить "KEYRING" на "FILE".
 

sedfom

New member
Сообщения
8
#3
Я решал аналогичную задачу по подключению сетевых шар разным пользователям под Линуксом, сами учетные данные пользователей из домена AD microsoft. В итоге сделал вот так через Pam_mount https://forum.astralinux.ru/threads/2284/
 
Сообщения
4
#4
Всё оказалось проще. В файле /etc/krb5.conf ничего менять не нужно. В файле "/etc/pam.d/common-auth" в строке "auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=KEYRING cached_login try_first_pass" нужно заменить "KEYRING" на "FILE".
Маленький нюанс, портящий жизнь... Когда производишь данные действия, у тебя начинает храниться кэш keyring в /tmp/krb5cc_* . Но время от времени - tmp очищается по своему алгоритму. И этот файл кэша - исчезает. Отчего твой керберос перестает работать. Лечится - блокировкой/разблокировкой (с вводом пароля) или kinit . Тогда файл создается заново.
У меня - может за весь день не исчезнуть, а может несколько раз за рабочих день пропасть. Странное расписание какое то... Такое поведение есть как на 2.12 Орел, так и на 1.7.2.
Пробовал прописывать в /etc/tmpfiles.d/**file** :
x /tmp/krb5cc*

- не помогает.
И такая проблема уже несколько лет. разработчиков видимо все устраивает.