web-dev-qa-db-ja.com

不均一な環境の「移動」プロファイル

「移動プロファイル」とは、実際には「共有ホームディレクトリ」を意味します。

そこで、ADペアを設定し、\\ad-1\homesのフォルダーを共有しました。次に、ADユーザーオブジェクトをマウントH:\ = \\ad-1\homes\%username%に設定します。これはWindowsで正常に機能します(ご想像のとおり)。

また、ユーザーのOUのGPOで、ドキュメントを\\ad-1\homes\%username%\Documentsなどにポイントするようにフォルダーリダイレクトを構成しました。

すべてがWindowsで期待どおりに機能します。わーい。

しかしながら。

Linuxは別の話です。 WinbindとSambaを使用して、ドメインに参加しました。問題ない。

# wbinfo -u
PRODUCT\administrator
PRODUCT\guest
PRODUCT\krbtgt
PRODUCT\aa
PRODUCT\ab

AD uidNumberとgidNumberを編集して、次のようにしました。

# wbinfo -i PRODUCT\\aa
PRODUCT\aa:*:10001:10000:aa:/home/PRODUCT/aa:/bin/bash

\\ad-1\homes/home/$DOMAINにマウントでき、ユーザー名が同じなので、ホームディレクトリとして使用できると素朴に思いました。

Cifs共有が起動時にマウントされる場合を除いて、rootとして、アクセス許可はディレクトリツリーの最後までdwrxr-x-r-x root root .であるため、ユーザーはそれらに書き込むことができません。

有望な「multiuser」を含むmount.cifsオプションのほぼすべての組み合わせを試し、sec=krb5iを使用して最良の結果を見つけました。

私が欲しいのは、/ home/$ DOMAINの上に\ ad-1\homesディレクトリをマウントして、次のようにすることです。

name  owner
aa/ DOMAIN\aa
ab/ DOMAIN\ab
administrator DOMAIN\administrator

等々。

これがどのように達成できるか誰かが知っていますか?

Windows 2008 R2、SLES 11SP2にマウント。

5
Tom O'Connor

これは、Active Directoryドメインに参加している(winbind)Debianボックスを使用して行っています。 pam_mkhomedirを使用して、ログオン時にADユーザー用の/ home/EXAMPLE/$ USERの下にホームフォルダーを作成します。次に、pam_mountはADホームディレクトリのマウントを実行します。 Debianでは、libpam-mountをインストールする必要がありました。pam_mkhomedirはデフォルトでインストールされていました

インストールすると、次のファイルが変更されます。

/etc/security/pam_mount.conf.xml:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<pam_mount>
<debug enable="0" />
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,workgroup,nosetuids,noexec,nosuid" />
<mntoptions require="nosuid,nodev" />
<logout wait="0" hup="0" term="0" kill="0" />
<mkmountpoint enable="1" remove="true" />
<!--
  Replace "fs1.ad.example.com" with your Windows file server.
  We mount our AD user homes under /home/EXAMPLE, change this to suit your needs.
  Edit "workgroup=EXAMPLE" to use your domain/realm.
-->
<volume fstype="cifs" server="fs1.ad.example.com" path="home/%(USER)" mountpoint="/home/EXAMPLE/%(USER)" user="*" options="workgroup=EXAMPLE,uid=%(USER),dir_mode=0700,file_mode=0700,nosuid,nodev" />

/etc/pam.d/common-session:

# <snip>
# We use pam to create the AD user home drives
session required        pam_mkhomedir.so skel=/etc/skel/ umask=0077
session optional        pam_mount.so nullok try_first_pass

たとえば、Linuxボックスに(FCSD\jscott)ログオンすると、ADホームフォルダー\\ staff\home\jscottが/ home/FCSD/jscottとしてマウントされます。

enter image description here

5
jscott

私はあなたが探していることをしたことがありませんが、私はthink実験的 CONFIG_CIFS_ACL 単一のマウントポイント。それ以外の場合、各ユーザーのホームディレクトリは新しいマウントポイントであり、ホームディレクトリ内のACLは機能しませんが、@ jscottが実行していることは機能するはずです。

2
Evan Anderson