Назад | Перейти на главную страницу

Запрос пароля при доступе к samba share через autofs

У нас есть файловый сервер на Ubuntu Server 16.04, использующий Samba, который использует внешний LDAP-сервер для аутентификации. Кроме того, сервер LDAP имеет определение автоматического монтирования для общих ресурсов Samba файлового сервера (с automountInformation: -fstype=cifs,rw,username=& ://fileserver/share/&) и протестировал рабочий.

На нашем веб-сервере мы автоматически монтируем вышеупомянутые общие ресурсы. Проблема в том, что когда пользователи cd в свой общий дом они получат Please enter password with the systemd-tty-ask-password-agent tool! над стеной.

Я просмотрел это сообщение об ошибке, и мне кажется, что «решение» состоит в том, что пользователям необходимо вводить свой пароль в другом сеансе терминала, что в нашей ситуации неприемлемо. После небольшого эксперимента с коллегой и некоторого чтения мы обнаружили, что двойной перезапуск службы autofs приведет к появлению запроса пароля на текущей консоли. Однако это также неприемлемо, потому что autofs необходимо перезапускать дважды (я уже упоминал, что для этого требуется доступ sudo?) Для каждого запроса пароля (для каждого пользователя).

Извиняюсь за долгое вступление. У меня вопрос, есть ли в нашей текущей настройке какой-либо способ systemd-tty-ask-password-agent инструмент запрашивает у пользователей их пароль в том же терминальном сеансе?

Я нашел решение / ошибку, оставив здесь на случай, если кто-то еще окажется в такой ситуации. Как оказалось, ошибка заключалась в команде монтирования. Правильная команда должна быть automountInformation: -fstype=cifs,rw,username=<some-user>,password=<some-password>,uid=&,gid=<some-groupname> ://fileserver/share/&.

Что происходит, так это то, что при использовании autofs из LDAP, если вы не предоставляете учетные данные для входа в общие ресурсы samba, он передаст этот запрос вашему клиенту, который сможет ответить только как root. Вот почему systemd-tty-ask-password-agent --query у обычных пользователей не получится.

Мое полное решение заключалось в том, чтобы создать специального пользователя для входа в систему samba с членством в some-groupname. Когда пользователь LDAP пытается cd в долю клиента, их uid доставляется, и запрошенный каталог автоматически монтируется с применением их разрешений unix.

Другими словами, username и password параметры используются для аутентификации самбы, тогда как uid и gid используются для разрешение.