Dynamisches Einbinden von tubFS mittels pam_mount

Hinweis:

Die ZECM hat prototypische Implementierungen für Debian und Ubuntu-Systeme umgesetzt. Erfahrung mit anderen Unix-Distributionen oder anderen Betriebssystemen liegen bisher nicht vor. In dieser Anleitung wird auf die Ubuntu-Distribution (in Version 20) eingegangen.

Beantragen Sie per E-Mail bei noc@zecm.tu-berlin.de eine Netzfreischaltung für den Zugriff auf tubFS und die AD Domäne SVC.

Bitte benennen Sie Ihre Subnetze, in denen Sie Ihre Arbeitsplätze mit Zugriff auf tubFS betreiben wollen.

Übernehmen Sie die aktuell gültige Kerberos-Konfiguration von

https://www.tubit.tu-berlin.de/fileadmin/a40000000/tubIT/afs/ubuntu_krb5.conf und speichern Sie sie als /etc/krb5.conf ab.

Das Verfahren erfordert eine Anpassung des PAM-Stacks.  Das Einbinden des Heimatverzeichnisses erfolgt mit Kerberos-Tickets im SSO-Verfahren.

Installieren Sie bitte zusätzlich die folgenden Pakete

  # apt install keyutils cifs-utils pam_mount

Die Installation passt automatisch die Konfiguration des PAM-Stacks in /etc/pam.d an und erstellt eine Konfigurationsdatei /etc/security/pam_mount.conf.xml

Da der PAM-Stack für die Sicherheit des Systems nicht unerheblich ist, muss mit besonderer Vorsicht und Umsicht bei der Anpassung vorgegangen werden. Leider unterscheiden sich die Implementierung des pam-stacks in den vielfältigen Unix-Distributionen stark, sodass ZECM keine Standardlösung oder eine unüberwachte Installation anbieten kann.

Prüfen Sie die Änderungen am PAM-Stack, beachten Sie, dass der pam_mount-Eintrag textuell nach "pam_krb5.so" aufgeführt ist, da "pam_mount.so" die Existenz eines Kerberos-Tickets voraussetzt.

Für die Einbindung des tubFS-Heimatverzeichnisses ist die "session"-Konfiguration ausschlaggebend und sollte mit "optional" spezifiziert sein.

Übernehmen Sie in /etc/security/pam_mount.conf.xml die tubFS-spezifische Erweiterung aus folgender pam_mount_conf.xml.

Legen Sie das lokale Mount-Verzeichnis an: 

   # mkdir -p /home/tu-berlin.de ; chmod 755 /home/tu-berlin.de

Testen Sie die Änderungen, indem Sie eine Anmeldung mit Ihrem TUB-Account  durchführen.  Sollte Ihr Heimatverzeichnis nicht automatisch eingebunden werden, prüfen Sie bitte, ob:

• bei der Anmeldung ein Kerberos-Ticket erzeugt wurde
• die tubFS-Server erreichbar sind
• die Freischaltung für die AD-Domöne SVC von NOC durchgeführt wurde
• Fehlermeldung im systemd-journal vorliegen (journalctl(1))

Um eine Datenkonsistenz für die Nutzer*innen zu schaffen, sollten an allen Systemen die gleichen Pfade verwendet werden. Es folgt die Liste der von der ZECM empfohlenen Pfade:

• das AD-Attribut unixHomeDirectory ($HOME) ist mit /home/users/a-z/[TUB-Account] vorbelegt
• das zukünftige AD-Attribut unixHomeDirectory ($HOME) wird mit /home/tu-berlin.de/[TUB-Account] vorbelegt sein
• das AFS-Heimatverzeichnis ist verfügbar als /afs/tu-berlin.de/home/a-z/[TUB-Account} und wird vom installieren AFS-Dienst bereitgestellt
• das tubFS-Heimatverzeichnis ist verfügbar als /home/tu-berlin.de/[TUB-Account] und wird entweder mittels pam_mount- oder automount-Methode bereitgestellt
• /home/users ist ein symbolischer Link nach /afs/tu-berlin.de/home

Wenn die Synchronisierung eines Heimatverzeichnisses abgeschlossen ist, wird das AFS-Heimatverzeichnis durch einen symbolischen Link nach /home/tu-berlin.de/[TUB-Account] ersetzt.

D.h. /home/users/a-z/[TUB-Account] zeigt während der Migrationsphase immer auf ein Heimatverzeichnis entweder das im AFS oder nach Abschluss der Synchronisierung auf das aktualisierte Verzeichnis im tubFS.

Nach Abschluss der Migrationsphase wird das AD-Attribut unixHomeDirectory auf /home/tu-berlin/[TUB-Account] umgesetzt.

Nach Rückbau des AFS-Dateisystems entfällt der symbolische Link /home/users.