В тему давнего обсуждения:
https://forum.altlinux.org/index.php?topic=36935.0Сегодня не конференции (
https://www.basealt.ru/about/news/archive/view/shestnadcataja-konferencija-razrabotchikov-svobodnykh-pro/) подняли вопрос о проблеме монтирования через fstab. На текущем Сизифе (очень близок к недавнему бранчу p9) проверен следующий сценарий монтирования через Kerberos с опцией
multiuser (для прощения проблем с локальными правами доступа можно также использовать опцию
noperm):
1) Добавляем точку монтирования в fstab (предполагается, что машина введена а домен под именем CLW0 и в /etc/krb5.keytab получены ключи - проверка командой
klist -k от рута)
# grep domain /etc/fstab
//dc0.domain.alt/sysvol /mnt/sysvol cifs _netdev,multiuser,sec=krb5,user=CLW0$,users 0 0
2) Включаем цель монтирования удалённых файловых систем в systemd
# systemctl enable remote-fs.target
3) Перезагружаемся
# reboot
4) После перегагрузки видим смонтированный каталог с учётными данными машины (файлы доступны только от рута):
# mount | grep domain
//dc0.domain.alt/sysvol on /mnt/sysvol type cifs
(rw,nosuid,nodev,noexec,relatime,vers=default,sec=krb5,cache=strict,multiuser,uid=0,noforceuid,gid=0,noforcegid,addr=10.64.171.10,file_mode=0755,dir_mode=0755,soft,nounix,serverino,mapposix,noperm,rsize=1048576,wsize=1048576,echo_interval=60,actimeo=1,_netdev,user=CLW0$)
5) Проверяем доступ от пользователя без учётных данных в кеше Kerberos
# su - administrator
$ kdestroy
$ ls /mnt/sysvol
ls: cannot access '/mnt/sysvol': Permission denied
$ klist
klist: No credentials cache found (filename: /tmp/krb5cc_1510800500)
6) Получаем учётные данные (при входе доменным пользователем получаются автоматически):
$ kinit
Password for administrator@DOMAIN.ALT:
$ klist
Ticket cache: FILE:/tmp/krb5cc_1510800500
Default principal: administrator@DOMAIN.ALT
Valid starting Expires Service principal
09/28/19 19:33:51 09/29/19 05:33:51 krbtgt/DOMAIN.ALT@DOMAIN.ALT
renew until 10/05/19 19:33:47
7) При попытке доступа получаем автоматическое подключение под учётными данными пользователя:
$ ls /mnt/sysvol/
domain domain.alt dsfsdfds stdin-13066 users.reg
$ klist
Ticket cache: FILE:/tmp/krb5cc_1510800500
Default principal: administrator@DOMAIN.ALT
Valid starting Expires Service principal
09/28/19 19:33:51 09/29/19 05:33:51 krbtgt/DOMAIN.ALT@DOMAIN.ALT
renew until 10/05/19 19:33:47
09/28/19 19:34:15 09/29/19 05:33:51 cifs/dc0.domain.alt@
renew until 10/05/19 19:33:47
09/28/19 19:34:15 09/29/19 05:33:51 cifs/dc0.domain.alt@DOMAIN.ALT
renew until 10/05/19 19:33:47
Но это для варианта использования шары в домене. Для других сценарием нужно рассмотреть отдельно. Также нужно проверить на стандартной настройке кеша в ядра (опция
default_ccache_name = KEYRING:persistent:%{uid} в /etc/krb5.conf), а также на бранче p8. В целом, результат такой, что можно использовать одну точку монтирования для разных пользователей. Важно учесть, что на стадии загрузки сеть должна быть доступна. Для вариант отложенного монтирования нужно использовать пакет autofs, вместо прямого прописывания шары в fstab.