7.9.2. Подключение с использованием pam

⁠7.9.2. Подключение с использованием pam_mount

При этом способе сетевой ресурс подключается с заданного сервера автоматически при каждом входе доменным пользователем.

Установить пакеты pam_mount и cifs-utils:
```
# apt-get install pam_mount cifs-utils
```
Важно
Для того чтобы файловые ресурсы, подключенные с помощью pam_mount, корректно отключались при завершении сеанса, следует установить пакет systemd-settings-enable-kill-user-processes и перезагрузить систему:
```
# apt-get install systemd-settings-enable-kill-user-processes
```
Прописать pam_mount в схему аутентификации по умолчанию. Для этого в конец файла /etc/pam.d/system-auth добавить строки:
```
session         [success=1 default=ignore] pam_succeed_if.so  service = systemd-user quiet
session         optional        pam_mount.so disable_interactive
```

Установить правило монтирования ресурса в файле /etc/security/pam_mount.conf.xml (перед тегом <cifsmount>):

<volume uid="10000-2000200000" fstype="cifs" server="dc1.test.alt" path="sysvol" mountpoint="~/share"
options="sec=krb5i,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />

где

uid="10000-2000200000" — диапазон присваиваемых для доменных пользователей UID (подходит для Winbind и для SSSD);
server="dc1.test.alt" — имя сервера с ресурсом;
path="sysvol" — имя файлового ресурса;
mountpoint="~/share" — путь монтирования в домашней папке пользователя.

Опционально можно добавить:

sgrp="group_name" — имя группы, при членстве пользователя в которой, папка будет примонтирована.

Параметр sec=krb5i более безопасный, но требует больше вычислительных ресурсов. Вместо него можно указать sec=krb5.

Предупреждение

В параметре server необходимо указывать настоящее имя сервера, а не имя домена.

Предупреждение

По умолчанию для монтирования используется smb версии 1.0, если он отключен, то необходимо указать в параметрах версию 2 или 3:

<volume uid="10000-2000200000" fstype="cifs" server="dc1.test.alt" path="sysvol" mountpoint="~/share"
options="sec=krb5i,vers=2.0,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />

Для проверки можно попробовать смонтировать ресурс в сессии:

mount.cifs //dc1.test.alt/sysvol /mnt/  -o vers=2.0,user=ivanov

Также можно проверить доступность ресурса с помощью smbclient, например:

smbclient -L dc1.test.alt -U ivanov -m SMB2