Eu tenho um cliente de desktop Ubuntu Studio 22.04.1 associado a um controlador de domínio AD, que também serve como um servidor de arquivos. Gostaria de montar automaticamente os compartilhamentos do servidor no login de qualquer usuário do domínio.
Opágina de manual em pam_mount.confmenciona a possibilidade de arquivos de configuração por usuário, mas o que preciso é de uma configuração por grupo. Se eu adicionar um registro em /etc/security/pam_mount.conf.xml com "sgrp" especificado, ele será ignorado para logins que não pertencem a "sgrp"? Caso contrário, como posso restringir o mapeamento aos usuários do domínio?
Opágina de manual para pam_mountdiz que "você deve incluir duas entradas nos arquivos de configuração /etc/pam.d/service aplicáveis do sistema". Quais arquivos são esses? Tenho 31 arquivos de configuração de serviço em /etc/pam.d". Vários posts sugerem adicionar essas linhas a "gdm", "system-auth", "system-auth-ac" ou "system-login", mas não tenho nenhum destes. Aqui está o que eu tenho:
chfn common-auth cron outro usuário runuser sddm-autologin sudo chpasswd senha comum cups passwd runuser-l sddm-greeter sudo-i chsh login de sessão comum polkit-1 samba sssd-shadowutils su-l conta comum sessão comum-não interativo novos usuários ppp sddm su
Como posso depurar o que o pam está fazendo no login? Habilitei a depuração em /etc/security/pam-mount.conf.xml, mas isso não me ajudará se não for executado devido a uma falha ao adicioná-lo ao serviço correto, nem me ajudará a solucionar problemas de logins da GUI. Existe um log pam e, em caso afirmativo, como posso visualizá-lo?
PS AskUbuntu gentilmente sugere que isso pode duplicarminha pergunta anterior. No entanto, não recebi nenhuma resposta útil sobre isso e estou tentando ser mais específico aqui.
PPS Meus principais suspeitos, common-auth e common-session, já contêm referências ao pam-mount, mas os compartilhamentos desejados não estão sendo montados.
Responder1
Para responder às minhas próprias perguntas:
- Os comandos de montagem em /etc/security/pam_mount.conf.xml com "sgrp" especificado são, de fato, ignorados se forem invocados por um usuário que não pertence a "sgrp".
- Não precisei adicionar linhas pam_mount.so aoqualquerdos arquivos de configuração de serviço em /etc/pam.d. Eles já estavam presentes em common-auth, common-password e common-session e esses arquivos estão incluídos em muitos dos outros arquivos de serviço, o que parece ser suficiente.
- Habilitar a depuração em /etc/security/pam_mount.conf.xml resultou na saída pam-mount nos logs relevantes em /var/log, no meu caso, auth.log e syslog
A razão pela qual o pam-mount não funcionou para mim no início foi o formato do argumento sgrp="MYDOMAIN\domain users". Verificar a associação ao grupo com o comando "groups" me levou a perceber que precisa ser sgrp="domain users@mydomain".