CIFS и Kerberos - разрешения на доступ или наилучшую практику

Я пробовал skypeforlinux --callto: + 91XXXXXXXXXX, но он не работает (он просто открывает скайп).

Из https://www.safaribooksonline.com/library/view/skype-hacks/0596101899/ch04s05.html похоже, что после --callto: не должно быть места.

3
задан 19 April 2018 в 12:41

3 ответа

Используйте параметр automount + multiuser для mount.cifs

Вы можете добиться этого, используя параметр automount и multiuser для mount.cifs. Установите необходимые пакеты:

sudo apt install autofs keyutils cifs-utils

В следующем примере предполагается, что сервер cifs экспортирует общий ресурс, названный в честь пользователя, который обращается к нему. Обычно это подходит для домашних каталогов.

Добавьте это к своему /etc/auto.master:

/cifs /etc/auto.cifs

В /etc/auto.cifs поставьте это:

*   -fstype=cifs,multiuser,cruid=${UID},sec=krb5    ://server.domain/&
[d5 ] Обязательно замените server.domain файловым сервером. Вы также можете использовать фиксированный ресурс таким образом. Просто замените * на фиксированное имя, а также на &.

Важной деталью в приведенной выше конфигурации является cruid=${UID}. Это заставит ядро ​​искать билет kerberos в контексте доступа пользователя к доле. В противном случае он будет пытаться корневой кэш кеша.

Наконец, перезагрузите automount:

sudo service autofs reload

Если у вас есть билет kerberos, он будет монтировать файловую систему /cifs/$USER при первом доступе. Это означает, что вам нужно явно ввести e. г. cd /cifs/myuser или аналогичное действие в браузере графического интерфейса. Чтобы избежать этого, вы можете разместить символические ссылки, указывающие на это из другого места, и сообщить пользователям о доступе к ним.

Если вы используете фиксированный общий ресурс (не используя * и &), конечно, вы бы необходимо ввести cd /cifs/sharename.

Последующий доступ других пользователей к одному и тому же общему ресурсу будет использовать разрешения server.domain , сделанные с помощью опции multiuser.

Из mount.cifs (8):

   multiuser
       Map user accesses to individual credentials when accessing
       the server. By default, CIFS mounts only use a single set of
       user credentials (the mount credentials) when accessing a
       share. With this option, the client instead creates a new
       session with the server using the user's credentials whenever
       a new user accesses the mount. Further accesses by that user
       will also use those credentials. Because the kernel cannot
       prompt for passwords, multiuser mounts are limited to mounts
       using sec= options that don't require passwords.

Также можно добавить требуемые карты automount для LDAP-сервера для централизованного управления, но это, вероятно, выходит за рамки этого ответа.

В вашем вопросе вы попросили монтировать монтируемый root при загрузке. Технически это делается здесь в виде крепления держателя места для autofs. Практически реальное крепление выполняется только при первом доступе пользователя.

Мы используем эту настройку для ~ 100 клиентов на моем рабочем месте для доступа к довольно большой файловой системе блеска, и она работает надежно.

1
ответ дан 22 May 2018 в 11:21
  • 1
    Что-то не так с моим ответом? Интересно, почему вообще нет реакции. – Sebastian Stark 20 April 2018 в 15:14
  • 2
    Нет, определенно нет. Это именно то, что я ищу. Я просто хотел запустить некоторые тесты, прежде чем я принял ответ, чего я не мог, потому что я был занят иначе. Я скоро обновлю эту тему и отправлю окончательное решение здесь. – user2149308 20 April 2018 в 17:42
  • 3
    Хорошо, так что решение отлично работает для глобальных точек монтирования. Чтобы использовать абсолютные пути в /etc/auto.cifs, я редактировал ваш enty в /etc/auto.master до /- /etc/auto.cifs --timeout=1, как описано в здесь . Это приводит меня к двум параметрам, с которыми я экспериментировал: - timeout = & lt; x seconds & gt; (общий ресурс отключен после & lt; x секунд & gt; без доступа) и negative_timeout = 1 [!d2 ] (после неудачного запроса на монтирование wait & lt; x seconds & gt; до разрешения повторной попытки). Последнее, которое я установил в /etc/autofs.conf – user2149308 23 April 2018 в 12:41
  • 4
    То, что не сработало, состояло в том, чтобы автоматически подключаться к домашнему каталогу пользователей, потому что в первом столбце /etc/auto.cifs не было указано никаких переменных. Возможно, это может быть достигнуто с помощью скрипта вместо текстового файла, но у меня уже есть рабочий механизм для этого сценария: systemd usershare + sudo mount (с возможностью многопользовательского режима, еще раз спасибо за этот подсказку!). Основной недостаток этого подхода касается глобальных акций, поэтому он здесь не применяется. – user2149308 23 April 2018 в 12:50
  • 5
    Я не совсем понимаю. Почему вы не могли использовать " / home /etc/auto.cifs" в auto.master? Он должен монтировать пользовательские дома из // сервера / пользователя – Sebastian Stark 23 April 2018 в 15:34

Используйте параметр automount + multiuser для mount.cifs

Вы можете добиться этого, используя параметр automount и multiuser для mount.cifs. Установите необходимые пакеты:

sudo apt install autofs keyutils cifs-utils

В следующем примере предполагается, что сервер cifs экспортирует общий ресурс, названный в честь пользователя, который обращается к нему. Обычно это подходит для домашних каталогов.

Добавьте это к своему /etc/auto.master:

/cifs /etc/auto.cifs

В /etc/auto.cifs поставьте это:

* -fstype=cifs,multiuser,cruid=${UID},sec=krb5 ://server.domain/&

Обязательно замените server.domain файловым сервером. Вы также можете использовать фиксированный ресурс таким образом. Просто замените * на фиксированное имя, а также на &.

Важной деталью в приведенной выше конфигурации является cruid=${UID}. Это заставит ядро ​​искать билет kerberos в контексте доступа пользователя к доле. В противном случае он будет пытаться корневой кэш кеша.

Наконец, перезагрузите automount:

sudo service autofs reload

Если у вас есть билет kerberos, он будет монтировать файловую систему /cifs/$USER при первом доступе. Это означает, что вам нужно явно ввести e. г. cd /cifs/myuser или аналогичное действие в браузере графического интерфейса. Чтобы избежать этого, вы можете разместить символические ссылки, указывающие на это из другого места, и сообщить пользователям о доступе к ним.

Если вы используете фиксированный общий ресурс (не используя * и &), конечно, вы бы необходимо ввести cd /cifs/sharename.

Последующий доступ других пользователей к одному и тому же общему ресурсу будет использовать разрешения server.domain , сделанные с помощью опции multiuser.

Из mount.cifs (8):

multiuser Map user accesses to individual credentials when accessing the server. By default, CIFS mounts only use a single set of user credentials (the mount credentials) when accessing a share. With this option, the client instead creates a new session with the server using the user's credentials whenever a new user accesses the mount. Further accesses by that user will also use those credentials. Because the kernel cannot prompt for passwords, multiuser mounts are limited to mounts using sec= options that don't require passwords.

Также можно добавить требуемые карты automount для LDAP-сервера для централизованного управления, но это, вероятно, выходит за рамки этого ответа.

В вашем вопросе вы попросили монтировать монтируемый root при загрузке. Технически это делается здесь в виде крепления держателя места для autofs. Практически реальное крепление выполняется только при первом доступе пользователя.

Мы используем эту настройку для ~ 100 клиентов на моем рабочем месте для доступа к довольно большой файловой системе блеска, и она работает надежно.

1
ответ дан 17 July 2018 в 16:33

Используйте параметр automount + multiuser для mount.cifs

Вы можете добиться этого, используя параметр automount и multiuser для mount.cifs. Установите необходимые пакеты:

sudo apt install autofs keyutils cifs-utils

В следующем примере предполагается, что сервер cifs экспортирует общий ресурс, названный в честь пользователя, который обращается к нему. Обычно это подходит для домашних каталогов.

Добавьте это к своему /etc/auto.master:

/cifs /etc/auto.cifs

В /etc/auto.cifs поставьте это:

* -fstype=cifs,multiuser,cruid=${UID},sec=krb5 ://server.domain/&

Обязательно замените server.domain файловым сервером. Вы также можете использовать фиксированный ресурс таким образом. Просто замените * на фиксированное имя, а также на &.

Важной деталью в приведенной выше конфигурации является cruid=${UID}. Это заставит ядро ​​искать билет kerberos в контексте доступа пользователя к доле. В противном случае он будет пытаться корневой кэш кеша.

Наконец, перезагрузите automount:

sudo service autofs reload

Если у вас есть билет kerberos, он будет монтировать файловую систему /cifs/$USER при первом доступе. Это означает, что вам нужно явно ввести e. г. cd /cifs/myuser или аналогичное действие в браузере графического интерфейса. Чтобы избежать этого, вы можете разместить символические ссылки, указывающие на это из другого места, и сообщить пользователям о доступе к ним.

Если вы используете фиксированный общий ресурс (не используя * и &), конечно, вы бы необходимо ввести cd /cifs/sharename.

Последующий доступ других пользователей к одному и тому же общему ресурсу будет использовать разрешения server.domain , сделанные с помощью опции multiuser.

Из mount.cifs (8):

multiuser Map user accesses to individual credentials when accessing the server. By default, CIFS mounts only use a single set of user credentials (the mount credentials) when accessing a share. With this option, the client instead creates a new session with the server using the user's credentials whenever a new user accesses the mount. Further accesses by that user will also use those credentials. Because the kernel cannot prompt for passwords, multiuser mounts are limited to mounts using sec= options that don't require passwords.

Также можно добавить требуемые карты automount для LDAP-сервера для централизованного управления, но это, вероятно, выходит за рамки этого ответа.

В вашем вопросе вы попросили монтировать монтируемый root при загрузке. Технически это делается здесь в виде крепления держателя места для autofs. Практически реальное крепление выполняется только при первом доступе пользователя.

Мы используем эту настройку для ~ 100 клиентов на моем рабочем месте для доступа к довольно большой файловой системе блеска, и она работает надежно.

1
ответ дан 23 July 2018 в 17:25

Другие вопросы по тегам:

Похожие вопросы: