UCS, Ubuntu und libpam-mount

german

#1

Hallo, könnten Sie bitte folgendes im Artikel einfüpgen?


SMB-Share in UCC mounten
Fragen zur UCS mit Linux Client (home sync & Freigaben)
#2

Wie mir eben aufgefallen ist funktionierte es uid gar nicht, aber mit gid gehts


#3

Hallo,

vielen Dank für die Ergänzung.
Den Artikel im Wiki möchten wir bewusst klein halten damit er auf möglichst viele Szenarien passt. Ich habe allerdings Links auf die UCC Foren im Wiki aufgenommen und verschiebe diesen Thread entsprechend damit Ihr Hinweis gefunden wird.

Mit freundlichen Grüßen
Janis Meybohm


#4

Hallo,

ich versuche gerade, den beschriebenen Homedir-Mount auf einem UCC-Desktop-Client umzusetzen - leider bislang ohne Erfolg.

Das Join-Script ist auf dem Client erfolgreich durchgelaufen, die Anmeldung mit einem Domänennutzer funktioniert und das Homeverzeichnis kann - als Samba-Share und manuell (mit nochmaliger Authentifizierung) - gemountet werden.

Ferner habe ich auf dem Client ein

apt-get install libpam-cap apt-get install libpam-gnome-keyring

ausgeführt, da in der auth.log die Dateien dieser Pakete als “fehlend” gemeldet wurden. (Das pam-auth-update --force habe ich nicht ausgeführt.)

Wenn ich jetzt ein “su - testlehrer1” mache, erscheinen in der auth.log folgende Meldungen:

Feb 6 14:34:17 ucc-thomas-1 su[6958]: pam_krb5(su:auth): (user testlehrer1) credential verification failed: Decrypt integrity check failed Feb 6 14:34:17 ucc-thomas-1 su[6958]: pam_krb5(su:auth): authentication failure; logname=testlehrer1 uid=2021 euid=0 tty=/dev/pts/5 ruser=testlehrer rhost= Feb 6 14:34:17 ucc-thomas-1 PAM-runasroot[6958]: continuing as normal user Feb 6 14:34:17 ucc-thomas-1 su[6958]: Successful su for testlehrer1 by testlehrer Feb 6 14:34:17 ucc-thomas-1 su[6958]: + /dev/pts/5 testlehrer:testlehrer1 Feb 6 14:34:17 ucc-thomas-1 su[6958]: pam_unix(su:session): session opened for user testlehrer1 by testlehrer(uid=2021)

MfG
Thomas


#5

Hallo,

ich habe die von SirTux beschriebene Konfiguration gerade getestet. Wichtig ist dabei natürlich dass “am-auth-update” nach der Installation von libpam-mount korrekt ausgeführt bzw. die Templates /etc/univention/templates/files/etc/pam.d/common-auth, /etc/univention/templates/files/etc/pam.d/common-session und /etc/univention/templates/files/etc/pam.d/common-session-noninteractive korrekt angepasst werden um das mount-Modul auch den PAM-Stack aufzunehmen:apt-get install libpam-mount #Für NFS und SMB/CIFS ggf. noch die Pakete nfs-common und/oder smbfs DEBIAN_FRONTEND=noninteractive pam-auth-update --force
Anschließend muss die Datei /etc/security/pam_mount.conf.xml erweitert werden.
Um für alle Benutzer mit UIDs zwischen 2000 und 4999 die Heimatverzeichnisse per NFS einzubinden ist hier zwischen “<pam_mount>” und “</pam_mount>” die folgende Zeile zu ergänzen:<volume fstype="nfs" server="<Fileserver-FQDN>" path="/home/%(USER)/" mountpoint="/home/%(USER)/" options="" uid="2000-4999" />Bei NFS ist darauf zu achten, dass die Heimatverzeichnisse auf dem Fileserver im vorhinein existieren müssen. pam_mount kann diese nicht remote anlegen.

Um die Heimatverzeichnisse per CIFS von einem UCS Samba Server mit Home-Share (UCR samba/share/home=yes) einzubinden, kann die folgende Zeile verwendet werden:<volume fstype="smbfs" server="<Fileserver-FQDN>" path="%(USER)" mountpoint="/home/%(USER)/" uid="2000-4999" />In diesem Fall wird das Heimatverzeichnis auf dem Fileserver automatisch erstellt sofern es noch nicht existiert.

Um ggf. auftretende Probleme zu analysieren kann das Debugging mit dem Schalter in der Datei /etc/security/pam_mount.conf.xml aktiviert werden (die Meldungen werden dann nach /var/log/auth.log ausgegeben). Eine Beschreibung der Parameter für die /etc/security/pam_mount.conf.xml ist z.B. unter man pam_mount.conf zu finden.

Mit freundlichen Grüßen
Janis Meybohm


#6

Vielen Dank für die Informationen. Ich habe das Mounten der Homeverzeichnisse via NFS nunmehr zum Laufen gekriegt. Es gab da noch ein paar andere Probleme im “Umfeld”, die aber jetzt allesamt gelöst sind. Jetzt hätte ich dazu noch ein paar weitere Fragen:

  1. Wir mounten die Homeverzeichnisse derzeit per NFS. Hat das irgendwelche Vor- oder Nachteile gegenüber CIFS?

  2. Beim Mount per NFS muss ja serverseitig die /etc/exports angepasst werden. Welche Optionen sind hier sinnvoll? Derzeit habe ich einfach ein

/home  *(rw)

gemacht, was sicherlich nicht der Weisheit letzter Schluss ist.

  1. Zusätzlich zu den Homeverzeichnissen würden wir gerne noch Projektverzeichnisse unter /home/groups automatisch mounten. Welche Herangehensweise empfiehlt sich hier? In der pam_mount.conf.xml gibt es die Option “luserconf”, doch die gäbe dem Nutzer nach meinem Verständnis auch die Möglichkeit, (beliebige) andere Verzeichnisse zu mounten. Wäre das ein Sicherheitsrisiko und wie kann man dem ggf. entgegenwirken? Gibt es ggf. andere Möglichkeiten, Verzeichnisse in Abhängigkeit von der Gruppenzugehörigkeit zu mounten?

Danke im Voraus.


#7

Ist für UCC ein ähnlich mächtiger Home-Mounter wie UCS ihn hat geplant?


#8

Hallo,

aktuell ist hier meines Wissens nach nichts geplant. Ich nehme aber gerne einen entsprechenden Feature-Request auf.

Mit freundlichen Grüßen
Janis Meybohm


#9

Hallo,

das wäre sehr nett, wenn Sie das machen würden-

Grüße


#10

Es gibt ja nun inzwischen einen Home-Mounter für CIFS. Kann man den bedenkenlos einsetzen? Gerade bei KDE mit Akonadi könnte ich mir vorstellen, daß es mit CIFS Probleme geben könnte


#11

Hallo,

ich vermute Sie beziehen sich auf Univention Corporate Client 1.0 erratum 17 / [bug]32057[/bug].
Generelle Probleme sind uns nicht bekannt. Abhängig von der Bandbreite und der eingesetzten Dienste/Tools auf dem Desktop kann es hier aber natürlich Einschränkungen geben. So ist vermutlich eine lokale indizierung der Dateien oder ein E-Mail Client mit Cached-IMAP nicht mit der von einer lokalen Platte erwarteten Performance zu betreiben.

Mit freundlichen Grüßen
Janis Meybohm


#12

In UCC2 ist das ja standardmäßig drin und auch nicht deinstallierbar. Für Laptops ist das wiederunm auch nicht so praktisch :wink: Kann man das deaktivieren?


#13

Wie meinen Sie das? Sofern die UCR-Variablen ucc/mount/cifshome/server und ucc/mount/cifshome/share nicht gesetzt sind, erfolgt kein CIFS-Mount des Heimatverzeichnisses, sondern es wird ganz normal das lokale /home eingebunden.

Mit freundlichen Grüßen,
Moritz Mühlenhoff


#14

Stimmt drauf hätte ich auch kommen können :wink:


#15

Geht leider doch nicht. Ich hab jetzt ucc/mount/cifshome/server auf localhost gesetzt, das sollte die Anmeldung wohl am wenigsten verzögern.

Leider der der mount auch nur bei der graphischen Anmeldung zu funktionieren und ist daher leider nur bedingt brauchbar.


#16

Wir werden das Verhalten prüfen. Sie können alternativ aber auch das Paket univention-ucc-cifshome-pam-mount deinstallieren: Das Metapaket univention-corporate-client deklariert nur ein “Recommends” auf das Paket, keine Abhängigkeit.

Die aktuellen UCR-Variablen sind für den Mount des Heimatverzeichnisses ausgelegt und daher in die LightDM-PAM-Konfiguration integriert.