UCS, Ubuntu und libpam-mount

Hallo, könnten Sie bitte folgendes im Artikel einfüpgen?

Wie mir eben aufgefallen ist funktionierte es uid gar nicht, aber mit gid gehts

Hallo,

vielen Dank für die Ergänzung.
Den Artikel im Wiki möchten wir bewusst klein halten damit er auf möglichst viele Szenarien passt. Ich habe allerdings Links auf die UCC Foren im Wiki aufgenommen und verschiebe diesen Thread entsprechend damit Ihr Hinweis gefunden wird.

Mit freundlichen Grüßen
Janis Meybohm

Hallo,

ich versuche gerade, den beschriebenen Homedir-Mount auf einem UCC-Desktop-Client umzusetzen - leider bislang ohne Erfolg.

Das Join-Script ist auf dem Client erfolgreich durchgelaufen, die Anmeldung mit einem Domänennutzer funktioniert und das Homeverzeichnis kann - als Samba-Share und manuell (mit nochmaliger Authentifizierung) - gemountet werden.

Ferner habe ich auf dem Client ein

apt-get install libpam-cap apt-get install libpam-gnome-keyring

ausgeführt, da in der auth.log die Dateien dieser Pakete als “fehlend” gemeldet wurden. (Das pam-auth-update --force habe ich nicht ausgeführt.)

Wenn ich jetzt ein “su - testlehrer1” mache, erscheinen in der auth.log folgende Meldungen:

Feb 6 14:34:17 ucc-thomas-1 su[6958]: pam_krb5(su:auth): (user testlehrer1) credential verification failed: Decrypt integrity check failed Feb 6 14:34:17 ucc-thomas-1 su[6958]: pam_krb5(su:auth): authentication failure; logname=testlehrer1 uid=2021 euid=0 tty=/dev/pts/5 ruser=testlehrer rhost= Feb 6 14:34:17 ucc-thomas-1 PAM-runasroot[6958]: continuing as normal user Feb 6 14:34:17 ucc-thomas-1 su[6958]: Successful su for testlehrer1 by testlehrer Feb 6 14:34:17 ucc-thomas-1 su[6958]: + /dev/pts/5 testlehrer:testlehrer1 Feb 6 14:34:17 ucc-thomas-1 su[6958]: pam_unix(su:session): session opened for user testlehrer1 by testlehrer(uid=2021)

MfG
Thomas

Hallo,

ich habe die von SirTux beschriebene Konfiguration gerade getestet. Wichtig ist dabei natürlich dass “am-auth-update” nach der Installation von libpam-mount korrekt ausgeführt bzw. die Templates /etc/univention/templates/files/etc/pam.d/common-auth, /etc/univention/templates/files/etc/pam.d/common-session und /etc/univention/templates/files/etc/pam.d/common-session-noninteractive korrekt angepasst werden um das mount-Modul auch den PAM-Stack aufzunehmen:apt-get install libpam-mount #Für NFS und SMB/CIFS ggf. noch die Pakete nfs-common und/oder smbfs DEBIAN_FRONTEND=noninteractive pam-auth-update --force
Anschließend muss die Datei /etc/security/pam_mount.conf.xml erweitert werden.
Um für alle Benutzer mit UIDs zwischen 2000 und 4999 die Heimatverzeichnisse per NFS einzubinden ist hier zwischen “<pam_mount>” und “</pam_mount>” die folgende Zeile zu ergänzen:<volume fstype="nfs" server="<Fileserver-FQDN>" path="/home/%(USER)/" mountpoint="/home/%(USER)/" options="" uid="2000-4999" />Bei NFS ist darauf zu achten, dass die Heimatverzeichnisse auf dem Fileserver im vorhinein existieren müssen. pam_mount kann diese nicht remote anlegen.

Um die Heimatverzeichnisse per CIFS von einem UCS Samba Server mit Home-Share (UCR samba/share/home=yes) einzubinden, kann die folgende Zeile verwendet werden:<volume fstype="smbfs" server="<Fileserver-FQDN>" path="%(USER)" mountpoint="/home/%(USER)/" uid="2000-4999" />In diesem Fall wird das Heimatverzeichnis auf dem Fileserver automatisch erstellt sofern es noch nicht existiert.

Um ggf. auftretende Probleme zu analysieren kann das Debugging mit dem Schalter in der Datei /etc/security/pam_mount.conf.xml aktiviert werden (die Meldungen werden dann nach /var/log/auth.log ausgegeben). Eine Beschreibung der Parameter für die /etc/security/pam_mount.conf.xml ist z.B. unter man pam_mount.conf zu finden.

Mit freundlichen Grüßen
Janis Meybohm

Vielen Dank für die Informationen. Ich habe das Mounten der Homeverzeichnisse via NFS nunmehr zum Laufen gekriegt. Es gab da noch ein paar andere Probleme im “Umfeld”, die aber jetzt allesamt gelöst sind. Jetzt hätte ich dazu noch ein paar weitere Fragen:

  1. Wir mounten die Homeverzeichnisse derzeit per NFS. Hat das irgendwelche Vor- oder Nachteile gegenüber CIFS?

  2. Beim Mount per NFS muss ja serverseitig die /etc/exports angepasst werden. Welche Optionen sind hier sinnvoll? Derzeit habe ich einfach ein

/home  *(rw)

gemacht, was sicherlich nicht der Weisheit letzter Schluss ist.

  1. Zusätzlich zu den Homeverzeichnissen würden wir gerne noch Projektverzeichnisse unter /home/groups automatisch mounten. Welche Herangehensweise empfiehlt sich hier? In der pam_mount.conf.xml gibt es die Option “luserconf”, doch die gäbe dem Nutzer nach meinem Verständnis auch die Möglichkeit, (beliebige) andere Verzeichnisse zu mounten. Wäre das ein Sicherheitsrisiko und wie kann man dem ggf. entgegenwirken? Gibt es ggf. andere Möglichkeiten, Verzeichnisse in Abhängigkeit von der Gruppenzugehörigkeit zu mounten?

Danke im Voraus.

Ist für UCC ein ähnlich mächtiger Home-Mounter wie UCS ihn hat geplant?

Hallo,

aktuell ist hier meines Wissens nach nichts geplant. Ich nehme aber gerne einen entsprechenden Feature-Request auf.

Mit freundlichen Grüßen
Janis Meybohm

Hallo,

das wäre sehr nett, wenn Sie das machen würden-

Grüße

Es gibt ja nun inzwischen einen Home-Mounter für CIFS. Kann man den bedenkenlos einsetzen? Gerade bei KDE mit Akonadi könnte ich mir vorstellen, daß es mit CIFS Probleme geben könnte

Hallo,

ich vermute Sie beziehen sich auf Univention Corporate Client 1.0 erratum 17 / [bug]32057[/bug].
Generelle Probleme sind uns nicht bekannt. Abhängig von der Bandbreite und der eingesetzten Dienste/Tools auf dem Desktop kann es hier aber natürlich Einschränkungen geben. So ist vermutlich eine lokale indizierung der Dateien oder ein E-Mail Client mit Cached-IMAP nicht mit der von einer lokalen Platte erwarteten Performance zu betreiben.

Mit freundlichen Grüßen
Janis Meybohm

In UCC2 ist das ja standardmäßig drin und auch nicht deinstallierbar. Für Laptops ist das wiederunm auch nicht so praktisch :wink: Kann man das deaktivieren?

Wie meinen Sie das? Sofern die UCR-Variablen ucc/mount/cifshome/server und ucc/mount/cifshome/share nicht gesetzt sind, erfolgt kein CIFS-Mount des Heimatverzeichnisses, sondern es wird ganz normal das lokale /home eingebunden.

Mit freundlichen Grüßen,
Moritz Mühlenhoff

Stimmt drauf hätte ich auch kommen können :wink:

Geht leider doch nicht. Ich hab jetzt ucc/mount/cifshome/server auf localhost gesetzt, das sollte die Anmeldung wohl am wenigsten verzögern.

Leider der der mount auch nur bei der graphischen Anmeldung zu funktionieren und ist daher leider nur bedingt brauchbar.

Wir werden das Verhalten prüfen. Sie können alternativ aber auch das Paket univention-ucc-cifshome-pam-mount deinstallieren: Das Metapaket univention-corporate-client deklariert nur ein “Recommends” auf das Paket, keine Abhängigkeit.

Die aktuellen UCR-Variablen sind für den Mount des Heimatverzeichnisses ausgelegt und daher in die LightDM-PAM-Konfiguration integriert.

Hallo zusammen,

ich habe auf einem Ubuntu 20.04 das Home mittels pam_mount eingebunden. Der Client ist der Domäne beigetreten (SSSD/Kerberos, nicht mit dem Univention-Join).

Meine /etc/security/pam_mount.conf.xml:

<?xml version="1.0" encoding="utf-8" ?>
<pam_mount>
<debug enable="0" />
                <volume 
                        fstype="cifs"
                        path="//srv01.gehr.local/home/%(USER)/" 
                        mountpoint="/home/%(USER)/" 
                        options="sec=krb5i,vers=2.1,cruid=%(USERUID)"
                        gid="1049600513"
                />



<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<mntoptions deny="suid,dev" />
<mntoptions require="nosuid,nodev" />
<logout wait="0" hup="no" term="no" kill="no" />
<mkmountpoint enable="1" remove="true" />
</pam_mount>

Das klappt auch soweit, das Home wird eingebunden. Jedoch finde ich am Client im Syslog mehrfach die Meldung:

CIFS VFS: \\srv01.gehr.local\home SMB signature verification returned error = -13

Was ist da noch falsch?

Viele Grüße
Sven

Hallo Leute,

ich mounte hier mit der XML voll automatisch mittels Kerberos. Mit den richtigen Optionen und Paketen funktioniert das einwandfrei. Auch über SSH auf meine Server. Hier gehts zu meiner Anleitung inkl. Terminalserver. Ihr dürft auch das raus picken was ihr benötigt :wink:

https://deepdoc.at/dokuwiki/doku.php?id=server_und_serverdienste:automount_von_sambalaufwerken_beim_login_-_inkl._kerberos_und_nomachine_terminalserver

Danke, werde ich testen

Hier mal meine Erfahrung mit dem Teil.

Funktioniert laut meiner Beschreibung vom feinsten mit Kerberos. Blöd nur, wenn ein Kerberos Ticket ausläuft, sind auch die Mountpoints weg. Es genügt ein Zugriff auf alle Mountpoints mit z.b. “df” via CMD und schon ist alles wieder. Ok. jetzt ist das für den OttoNormalUser Suboptimal. Kann man nicht einstellen wenn man sein Kerberosticket renewed (Kleines Icon in der Taskleiste meldet sich) dass dann auch der Zugriff da drauf renewed wird?
Denn auffallen tut das ganz dann wenn man mit dem Webbrowser was downloaden möchte und der Browser meint dann es gibt kein Downloadverzeichnis, klar, weils der Mount rausgeflogen ist.

Ich hab dann mal eingestellt das alle Minuten ein Cron mit “df” läuft. Das kann ja aber auch nicht die saubere Lösung sein, oder?

Mastodon