Ich habe einen Ubuntu Studio 22.04.1-Desktop-Client, der mit einem AD-Domänencontroller verbunden ist, der auch als Dateiserver dient. Ich möchte Serverfreigaben beim Anmelden eines Domänenbenutzers automatisch bereitstellen.
DerManpage zu pam_mount.conferwähnt die Möglichkeit von Konfigurationsdateien pro Benutzer, aber was ich brauche, ist eine Konfiguration pro Gruppe. Wenn ich einen Eintrag in /etc/security/pam_mount.conf.xml mit der Angabe „sgrp“ hinzufüge, wird dieser dann für Anmeldungen ignoriert, die nicht zu „sgrp“ gehören? Wenn nicht, wie kann ich die Zuordnung auf Domänenbenutzer beschränken?
DerManpage für pam_mountbesagt, dass „Sie zwei Einträge in die entsprechenden /etc/pam.d/service-Konfigurationsdateien des Systems aufnehmen müssen“. Welche Dateien sind das? Ich habe 31 Service-Konfigurationsdateien in /etc/pam.d“. In verschiedenen Beiträgen wird vorgeschlagen, solche Zeilen zu „gdm“, „system-auth“, „system-auth-ac“ oder „system-login“ hinzuzufügen, aber ich habe keine davon. Hier ist, was ich habe:
chfn Common-Auth Cron anderer Runuser SDDM-Autologin Sudo chpasswd Common-Password Cups Passwd Runuser-l SDDM-Greeter Sudo-i chsh Common-Session-Login Polkit-1 Samba SSDSSD-Shadowutils Su-l Common-Account Common-Session-Noninteractive Neue Benutzer PPP SDDM Su
Wie kann ich debuggen, was PAM beim Login macht? Ich habe Debug in /etc/security/pam-mount.conf.xml aktiviert, aber das hilft mir nicht, wenn es nicht ausgeführt wird, weil es nicht zum richtigen Dienst hinzugefügt wurde, und es hilft mir auch nicht bei der Fehlerbehebung bei GUI-Logins. Gibt es ein PAM-Protokoll und wenn ja, wie kann ich es anzeigen?
PS AskUbuntu weist freundlich darauf hin, dass dies duplizieren kannmeine vorherige Frage. Allerdings habe ich darauf keine hilfreiche Antwort erhalten und versuche hier, konkreter zu werden.
PPS: Meine Hauptverdächtigen, Common-Auth und Common-Session, enthalten bereits Verweise auf Pam-Mount, aber die gewünschten Freigaben werden nicht gemountet.
Antwort1
Um meine eigenen Fragen zu beantworten:
- Mount-Befehle in /etc/security/pam_mount.conf.xml mit der Angabe „sgrp“ werden tatsächlich ignoriert, wenn sie von einem Benutzer aufgerufen werden, der nicht zu „sgrp“ gehört.
- Ich musste keine pam_mount.so Zeilen hinzufügen zubeliebigder Dienstkonfigurationsdateien in /etc/pam.d. Sie waren bereits in common-auth, common-password und common-session vorhanden und diese Dateien sind in vielen anderen Dienstdateien enthalten, was ausreichend erscheint.
- Das Aktivieren des Debugs in /etc/security/pam_mount.conf.xml führte zu einer pam-mount-Ausgabe in den entsprechenden Protokollen in /var/log, in meinem Fall auth.log und syslog
Der Grund, warum pam-mount bei mir zunächst nicht funktionierte, war das Format des Arguments sgrp="MYDOMAIN\domain users". Als ich die Gruppenmitgliedschaft mit dem Befehl „groups“ überprüfte, stellte ich fest, dass es sgrp="domain users@mydomain" sein muss.