Vlákno názorů k článku Linux a Samba v roli primárního řadiče domény Active Directory od Adam Kalisz - Děkuji za článek. V předchozím zaměstnání se mi...
-
Adam KaliszStříbrný podporovatelDěkuji za článek. V předchozím zaměstnání se mi podařilo na Linuxu rozchodit spolehlivě přihlašování pomocí SSSD do Active Directory. Problém byl jen, ještě rozchodit automatické mountování HOME z file serveru přes CIFS/ Sambu. Nechtělo mi to chodit v závislosti na tom, který uživatel se zrovna přihlásil. Já si to samozřejmě uměl připojit ručně, ale pro nějaké serióznější použití i mezi kolegy to byl docela blok.
Máte nějaký tip? -
Ten postup, kterým si to propojíte vy by nešel zabalit do logon scriptu, případně obalit nějakými timeouty a kontrolami, že k připojení skutečně došlo?
Kdysi jsem míval na připojení disku ikonu na ploše. Až když uživatel tuto oblast potřeboval, tak si ji kliknutím připojil a případně se při to i autentizoval. Další spuštění toho stejného zástupce oblast odpojilo.
-
Adam KaliszStříbrný podporovatel
Není to tak jednoduché. Myslete na lidi někde v produkci u linky při teplotách -20-50°C s blbou klávesnicí. Každé psaní je otrava. Když se na začátku směny připojí ke kompu pod svým účtem, mělo by se rovnou vše spojit.
-> Buď rovnou automaticky využít heslo na připojení disku někde v PAM nebo co já vím, nebo nějak využít Kerberos ticket. Asi tomu dostatečně nerozumím/ nenašel jsem fungující řešení, tak jsme to zavrhli. Jinak by dost možná běžel různě po těch halách už Linux. -
Adam KaliszStříbrný podporovatel
Rád se poučím. Jak?
Koukám, že možná tohle už někdo od té doby vyřešil, snad. Zkoušel jsem toho poměrně dost, ale na toto si nevzpomínám.
https://wiki.debian.org/wiki/Debian9ADSharedDisks_Sssd_PamMountTehdy jsem se orientoval pro připojení k AD hlavně podle: https://alandmoore.com/blog/2015/05/06/joining-debian-8-to-active-directory/ a https://forums.servethehome.com/index.php?resources/joining-linux-to-active-directory-for-windows-admins.15/
Ten pam-mount vypadá slibně. Něco s PAM jsem zkoušel, ale nechodilo to. Skoro určitě jsem ale nepsal žádné XML, tak třeba ten pam-mount https://wiki.archlinux.org/title/pam_mount fungovat bude. -
No keď sa používateľ prihlásil do domény, tak má TGT. Prečo sa neautorizuje kerberovým ticketom?
Mountovanie sa dá riešiť viacerými spôsobmi: keď ide o celý home, tak kľudne aj kanónon systemd-homed. Pokiaľ ide o nejaký podadresár, kľudne ako systemd mount unit v user scope (namountuje sa pri nalogovaní, odmountuje sa pri odlogovaní).
-
Jeden PAM modul už jsem psal, ale to byly dost specifické podmínky.
Vycházel jsem z:
http://www.linux-pam.org/Linux-PAM-html/Linux-PAM_MWG.htmlS tím si pak můžete autentizovat uživatele podle libovolných parametrů. Např Username a IP., (nebo i podle počasí).
Ve vašem případě by mělo jít použít něco standardnějšího, nějaké ty níže zmiňované TGT nebo KCD (Kerberos Constrained Delegation).
