我有一個連接到 AD 網域控制器的 Ubuntu Studio 22.04.1 桌面用戶端,它也充當檔案伺服器。我想在任何網域使用者登入時自動掛載伺服器共享。
這pam_mount.conf 上的線上說明頁提到了每個使用者設定檔的可能性,但我需要的是每組配置。如果我在 /etc/security/pam_mount.conf.xml 中新增一條指定了「sgrp」的記錄,那麼對於不屬於「sgrp」的登錄,該記錄是否會被忽略?如果沒有,如何限制網域使用者的對應?
這pam_mount 的線上說明頁說「您必須在系統適用的 /etc/pam.d/service 設定檔中包含兩個條目」。那些是哪些文件?我在/etc/pam.d 中有31 個服務設定檔。但我沒有這是我所擁有的:
chfn common-auth cron other runuser sddm-autologin sudo chpasswd 通用密碼 cups passwd runuser-l sddm-greeter sudo-i chsh 通用會話登入 polkit-1 samba sssd-shadowutils su-l 通用帳戶通用會話非互動式 newusers ppp SDDM
如何調試 pam 在登入時正在執行的操作?我已在/etc/security/pam-mount.conf.xml 中啟用了調試,但如果由於未能將其添加到正確的服務而未執行,這對我沒有幫助,也不會幫助我解決GUI 登入問題。是否有 pam 日誌,如果有,如何查看?
PS AskUbuntu 善意地建議這可能會重複我之前的問題。然而,我還沒有收到任何有用的回复,我試圖在這裡更具體一些。
PPS 我的主要嫌疑人 common-auth 和 common-session 已經包含對 pam-mount 的引用,但所需的共享尚未安裝。
答案1
回答我自己的問題:
- 實際上,如果 /etc/security/pam_mount.conf.xml 中指定了「sgrp」的掛載命令由不屬於「sgrp」的使用者調用,則會被忽略。
- 我不必添加 pam_mount.so 行任何/etc/pam.d 中的服務設定檔。它們已經存在於 common-auth、common-password 和 common-session 中,而這些文件包含在許多其他服務文件中,這似乎就足夠了。
- 在 /etc/security/pam_mount.conf.xml 中啟用偵錯會導致 /var/log 中的相關日誌中出現 pam-mount 輸出,在我的例子中是 auth.log 和 syslog
pam-mount 最初對我不起作用的原因是參數 sgrp="MYDOMAIN\domain users" 的格式。使用“groups”命令檢查群組成員身份使我意識到它需要是 sgrp="domain users@mydomain"。