pam_mount прекратил работать
Это - то, как это работало: мои рабочие станции Ubuntu проходят проверку подлинности против Active Directory, и pam_mount монтирует некоторые каталоги CIFS на пользовательском входе в систему. Теперь, по некоторым причинам, pam_mount прекратил работать, и никакие каталоги не смонтированы. Так, я включил отладку pam_mount, и посмотрите следующее:
(rdconf1.c:744): path to luserconf set to
/home/DOMAIN/username/Documents/.pam_mount.conf.xml
(pam_mount.c:365): pam_mount 2.14: entering auth stage
(rdconf1.c:744): path to luserconf set to
/home/DOMAIN/username/Documents/.pam_mount.conf.xml
(pam_mount.c:568): pam_mount 2.14: entering session stage
(pam_mount.c:629): no volumes to mount
command: 'pmvarrun' '-u' 'username' '-o' '1'
(pmvarrun.c:258): parsed count value 0
(pam_mount.c:441): pmvarrun says login count is 1
(pam_mount.c:660): done opening session (ret=0)
Так, никакие объемы для монтирования? Мой pam_mount.conf.xml похож на это:
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<pam_mount>
<debug enable="1" />
<luserconf name="Documents/.pam_mount.conf.xml" />
<volume user="*" sgrp="residents" fstype="cifs" server="dfs.namespace.com" path="data/users/%(USER)/documents" mountpoint="~/Documents" options="uid=%(USER),gid=100,dir_mode=0700" />
<volume user="*" sgrp="residents" fstype="cifs" server="dfs.namespace.com" path="data/public" mountpoint="~/mount/Public" options="uid=%(USER),gid=100,dir_mode=0700" />
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,uid,gid,dir_mode" />
<mntoptions require="nosuid,nodev,uid,gid,dir_mode" />
<logout wait="0" hup="0" term="0" kill="0" />
<mkmountpoint enable="1" remove="true" />
</pam_mount>
и эта конфигурация работала в течение многих месяцев, до сих пор. Я не вспоминаю создание никаких изменений конфигурации в последнее время. Я подозреваю, что обновление разрушило его, потому что однажды я заметил, что это произошло на всех моих рабочих станциях. И я понятия не имею, где посмотреть затем :( Google не был действительно полезен.
В /var/log/syslog это говорит:
Apr 23 11:25:54 hostname nslcd[1261]: [86d4c7] <authz="username"> ldap_result() failed: Operations error: 000004DC: LdapErr: DSID-0C0906E8, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1
но честно я видел эти ошибки в системном журнале с тех пор всегда, и поскольку аутентификация LDAP хорошо работала (и все еще делает), я не обратил много внимания на него. Вхождение в систему, кажется, хорошо работает в /var/log/auth.log:
Apr 23 11:43:48 hostname su[10409]: pam_winbind(su:auth): getting password (0x00000388)
Apr 23 11:43:48 hostname su[10409]: pam_winbind(su:auth): pam_get_item returned a password
Apr 23 11:43:49 hostname su[10409]: pam_winbind(su:auth): user 'username' granted access
Кроме этого, я не вижу ничего соответствующего в /var/log/syslog или /var/log/auth.log. У меня есть Ubuntu 14.04. Я довольно плохо знаком с Linux, и я ценил бы, если бы у кого-то были некоторые идеи, что я попробовал бы затем :)
2 ответа
У меня была эта та же проблема после некоторых обновлений сегодня. Я сделал некоторое тестирование и нашел, что, удаляя sgrp = "..." параметр к объему позволяет им монтироваться. Похоже, что это думает, что нет никаких объемов для монтирования, потому что пользователь не был в перечисленной группе.
Это приводит меня полагать, что проблемой является результат этой ошибки, зарегистрированной для последнего обновления winbind, который влияет на группы: https://bugs.launchpad.net/ubuntu / + источник/самба / + ошибка/1573526
я временно удалил sgrp из своих объемов, и они, кажется, монтируются теперь. Надо надеяться, та ошибка будет разрешена, и она правильно зафиксирует это. Надежда это помогает.
ОБНОВЛЕНИЕ : ошибка, связанная выше, была исправлена, и обновление выпущено, однако у меня все еще была та же проблема. Winbind не возвращал элементы группы для данной группы (т.е. "getent группа" не возвратил участников). Добавление "winbind расширяется, группы = 1" к smb.conf разрешили это. Я не знаю, касается ли это нового обновления winbind или нет, но мои группы работают снова в pam_mount.conf.xml.
-
1Если я понимаю, таким образом, этот сценарий работает как: Если один IP отправит выше, чем 10 пакетов/секунда с общей длиной 128, то его IP будет заблокирован и отбросит все пакеты, прибывающие из того IP? – gamer-cs 15 September 2017 в 06:04
Благодаря @chtaylor я первоначально смог разрешить это путем удаления эти sgrp атрибут от всех записей в pam_mount.conf.xml. Позже я понял, что sgrp атрибут работает, только если группа является основной группой пользователя . Так изменение sgrp="residents" к sgrp="domain users" сделало объемы доступными для меня снова, потому что domain users по умолчанию основная группа всех AD пользователей. Другое решение состояло бы в том, чтобы изменить основную группу требуемых пользователей в Active Directory для соответствия конфигурации pam_mount:
Пользователи Active Directory и Компьютеры> переходят к свойствам пользователя> член> Основная группа Набора
-
11: Ну, как комментарий говорит, те установлены для моего тестового компьютера, необходимо изменить их (хорошо, не ВСЕЛЕННАЯ) для компьютера. Необходимо использовать
sudo(упомянутый в комментариях заголовка) такsudo ./test.sh2: Да, в течение часа. Любой пакет в тот час сбрасывает таймер. – Doug Smythies 15 September 2017 в 06:44