Взаимодействие с Windows

[Дмитрий Кривокрысенко]

Здравствуйте господа форумчане!
Снова обращаюсь с вопросом монтирования сетевых ресурсов размещеных на серверах WIndows.
В предыдущих постах, с вашей помощью, смог настроить монтирование сетевых ресурсов через через PAM_MOUNT. Это все благополучно работало и для шары и для консультанта. Но после нескольких последних обновлений начались проблемы с монтированием.
по прежнему клиентом использую AltLinux 7.0.5 KDE и CENTAURUS 7.0.5
порядок авторизации прописан тут /etc/pam.d/system-auth
#%PAM-1.0
auth      [success=2 default=ignore]   pam_tcb.so shadow fork prefix=$2y$ count=8 nullok
auth      requisite   pam_succeed_if.so uid >= 500 quiet
auth      required   pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth      required   pam_permit.so
auth            optional        pam_mount.so

account      [success=2 default=ignore]   pam_tcb.so shadow fork
account      requisite   pam_succeed_if.so uid >= 500 quiet
account      required   pam_winbind.so
account      required   pam_permit.so

password   required   pam_passwdqc.so config=/etc/passwdqc.conf
password   [success=2 default=ignore]   pam_tcb.so use_authtok shadow fork prefix=$2y$ count=8 nullok write_to=tcb
password   requisite   pam_succeed_if.so uid >= 500 quiet
password   required   pam_winbind.so use_authtok

session      [success=2 default=ignore]   pam_tcb.so
session      requisite   pam_succeed_if.so uid >= 500 quiet
session      required   pam_winbind.so
session      required   pam_mktemp.so
session      required   pam_mkhomedir.so silent
session      required   pam_limits.so
session         optional        pam_mount.so


файл конфигурации /etc/security/pam_mount.conf #содержит следующие строки для подключения ресурсов
<volume uid="10001-20000" fstype="cifs" server="sanr" path="OBMEN2" mountpoint="/home/ADMNOVRAY/%(USER)/OBMEN" options="sec=krb5,cruid=%(USERUID),file_mode=0777,dir_mode=0777" />
<volume uid="10001-20000" fstype="cifs" server="cons-v" path="Consultantplus" mountpoint="/home/ADMNOVRAY/%(USER)/CONS" options="sec=krb5,cruid=%(USERUID),file_mode=0777,dir_mode=0777" />

[tema]

Видимо, не популярная тема. Я тоже пытался это настроить, но инструкции не работают.
https://forum.altlinux.org/index.php?topic=36935.0
Удалось заставить работать по инструкции только так:
https://forum.altlinux.org/index.php?topic=36935.msg288337#msg288337

Код: [Выделить]

chmod +s /sbin/mount.cifsИ это слетает после каждого обновления соответствующих пакетов. Я даже не знаю что надо в багзиллу прописать, чтобы поправить не помогающую инструкцию, т.к. на форуме я пришёл к решению методом тыка. Видимо, никто не настраивал это у себя и никто в теме помочь не смог.

[Skull]

А зачем? pam_mount запускается от root, зачем права пользователю? gvfs-mount из gvfs-shares монтирует через fuse, там тоже права не нужны.

[Дмитрий Кривокрысенко]

Приветствую вас!
Как человеку начинающему путь в Linux, можно ли данный постулат

А зачем? pam_mount запускается от root, зачем права пользователю? gvfs-mount из gvfs-shares монтирует через fuse, там тоже права не нужны

описать более подробно или дать ссылку на источник информации )))
Буду благодарен за детальное описание!

[Skull]

http://altlinux.org/ActiveDirectory/Login
http://altlinux.org/gvfs-shares

[Дмитрий Кривокрысенко]

не нашел расхождений в настройках выполненных на рабочей станции Centaurus 7.0.5 x64 с инструкцией лежащей тут http://altlinux.org/ActiveDirectory/Login
за исключением отсутствующего  в наборе пакета task-auth-ad-sssd и соответственно отсутствует /etc/pam.d/system-auth-sss поэтому подключение pam_mount произведено в  /etc/pam.d/system-auth
диапазон пользователей для которых разрешено монтирование в файле  pam_mount.conf отличался, но это не существенно я думаю при тестировании для доменного пользователя попадающего в указанный диапазон uid="10001-20000"

[Skull]

не нашел расхождений в настройках выполненных на рабочей станции Centaurus 7.0.5 x64 с инструкцией лежащей тут http://altlinux.org/ActiveDirectory/Login
за исключением отсутствующего  в наборе пакета task-auth-ad-sssd и соответственно отсутствует /etc/pam.d/system-auth-sss поэтому подключение pam_mount произведено в  /etc/pam.d/system-auth
диапазон пользователей для которых разрешено монтирование в файле  pam_mount.conf отличался, но это не существенно я думаю при тестировании для доменного пользователя попадающего в указанный диапазон uid="10001-20000"

Это mount.cifs и /etc/fstab и не используют.

[Дмитрий Кривокрысенко]

Не идет монтирование через pam_mount!!!(((
сделал все по статье
http://altlinux.org/ActiveDirectory/Login
основной пакет интеграции с AD
apt-get install task-auth-ad
доустановил пакеты
apt-get install sssd-ad
версии пакетов соответствуют, в AD вошел без проблем, доменным пользователем входит.
Права пользователям AD раздал через отображение.
А ресурсы не монтируются!!!((
в чем может быть еще загвоздка?

[Дмитрий Кривокрысенко]

Все то же самое проделал в p8
проблема не исчезла, монтирование через pam_mount не идет!

[Skull]

Смотрите логи. Проверяйте конфигурацию и выдачу билетов Kerberos.

[Дмитрий Кривокрысенко]

Вот это я вижу средствами графического просмотра, если бы не выдавал билеты, то и не было бы аутентификации!?
не понимаю логики процесса, на каком этапе идет сбой, почему даже от root не идет монтирование. если бы смонтировалось но не было доступа то понятно что дальше делать ( по крайней мере так было в начале пути)
Сейчас с авторизацией доменных пользователей нет проблем. все права есть
[d.krivokrysenko@alt-pc-11 ~]$ id
uid=1108201104(d.krivokrysenko) gid=1108200513(пользователи домена) группы=1108200513(пользователи домена),1108200512(администраторы домена),1108200518(администраторы схемы),1108200519(администраторы предприятия),1108200520(владельцы-создатели групповой политики),1108200572(группа с запрещением репликации паролей rodc)
[d.krivokrysenko@alt-pc-11 ~]$ rolelst id d.krivokrysenko
users: cdwriter cdrom audio video proc radio camera floppy xgrp scanner uucp vboxusers fuse
localadmins: wheel
[d.krivokrysenko@alt-pc-11 ~]$

[Дмитрий Кривокрысенко]

помогите расшифровать вот это:
May  4 10:35:32 alt-pc-11 lightdm: pam_unix(lightdm-greeter:session): Session opened for _ldm by (uid=0)
May  4 10:35:32 alt-pc-11 systemd: pam_tcb(systemd-user:session): Session opened for _ldm by _ldm(uid=0)
May  4 10:36:06 alt-pc-11 lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "d.krivokrysenko"
May  4 10:36:13 alt-pc-11 lightdm: pam_tcb(lightdm:auth): Credentials for user d.krivokrysenko unknown
May  4 10:36:13 alt-pc-11 lightdm: pam_tcb(lightdm:auth): Authentication failed for UNKNOWN USER from (uid=0)
May  4 10:36:13 alt-pc-11 lightdm: pam_sss(lightdm:auth): authentication success; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=d.krivokrysenko
May  4 10:36:13 alt-pc-11 lightdm: pam_unix(lightdm-greeter:session): Session closed for _ldm
May  4 10:36:13 alt-pc-11 lightdm: pam_tcb(lightdm:session): Session opened for d.krivokrysenko by (uid=0)
May  4 10:36:14 alt-pc-11 systemd: pam_tcb(systemd-user:session): Session opened for d.krivokrysenko by d.krivokrysenko(uid=0)
May  4 10:36:19 alt-pc-11 polkitd[861]: Registered Authentication Agent for unix-session:2 (system bus name :1.37 [/usr/libexec/polkit-mate-authentication-agent-1], object path /org/mate/PolicyKit1/AuthenticationAgent, locale ru_RU.utf8)
May  4 11:14:57 alt-pc-11 UNSPECIFIED (__progname="mate-screensaver-chkpwd-helper" uid=1108201104 gid=1108200513 egid=24): pam_tcb(mate-screensaver:auth): Authentication failed for d.krivokrysenko from d.krivokrysenko(uid=1108201104)
May  4 11:14:57 alt-pc-11 UNSPECIFIED (__progname="mate-screensaver-chkpwd-helper" uid=1108201104 gid=1108200513 egid=24): pam_sss(mate-screensaver:auth): authentication success; logname= uid=1108201104 euid=1108201104 tty= ruser= rhost= user=d.krivokrysenko
May  4 11:15:20 alt-pc-11 consolehelper[1867]: pam_tcb(mate-system-log:auth): Authentication passed for root from d.krivokrysenko(uid=1108201104)
May  4 11:15:20 alt-pc-11 consolehelper[1867]: pam_timestamp(mate-system-log:session): updated timestamp file `/var/run//pam_timestamp/d.krivokrysenko/unknown:root'

и пожалуйста более детально прокомментироуйте

А зачем? pam_mount запускается от root, зачем права пользователю? gvfs-mount из gvfs-shares монтирует через fuse, там тоже права не нужны.

[Дмитрий Кривокрысенко]

Продвинулся в решении данной проблемы!
Не очевидная ошибка, при установке не подцепляется автоматом соответсвующий пакет winbind
добавил руками sssd-winbind-idmap по крайней мере монтирует ресурс при запуске