TU Berlin

ZE CampusmanagementAnleitung zum pam mount

"das Wort tubIT in roter Schrift auf weißem Grund"

Inhalt des Dokuments

zur Navigation

Dynamisches Einbinden von tubFS mittels pam_mount

Hinweis:

Die ZECM hat prototypische Implementierungen für Debian und Ubuntu-Systeme umgesetzt. Erfahrung mit anderen Unix-Distributionen oder anderen Betriebssystemen liegen bisher nicht vor. In dieser Anleitung wird auf die Ubuntu-Distribution (in Version 20) eingegangen.

Netzwerkfreischaltungen für Zugriff auf die AD-Domäne SVC

Beantragen Sie per E-Mail bei noc@zecm.tu-berlin.de eine Netzfreischaltung für den Zugriff auf tubFS und die AD Domäne SVC.

Bitte benennen Sie Ihre Subnetze, in denen Sie Ihre Arbeitsplätze mit Zugriff auf tubFS betreiben wollen.

Kerberos-Konfiguration anpassen

Übernehmen Sie die aktuell gültige Kerberos-Konfiguration von

https://www.tubit.tu-berlin.de/fileadmin/a40000000/tubIT/afs/ubuntu_krb5.conf und speichern Sie sie als /etc/krb5.conf ab.

Einhängen der tubFS-Heimatverzeichnisse mittels pam_mount

Das Verfahren erfordert eine Anpassung des PAM-Stacks.  Das Einbinden des Heimatverzeichnisses erfolgt mit Kerberos-Tickets im SSO-Verfahren.

Installieren Sie bitte zusätzlich die folgenden Pakete

  # apt install keyutils cifs-utils pam_mount

Die Installation passt automatisch die Konfiguration des PAM-Stacks in /etc/pam.d an und erstellt eine Konfigurationsdatei /etc/security/pam_mount.conf.xml

Da der PAM-Stack für die Sicherheit des Systems nicht unerheblich ist, muss mit besonderer Vorsicht und Umsicht bei der Anpassung vorgegangen werden. Leider unterscheiden sich die Implementierung des pam-stacks in den vielfältigen Unix-Distributionen stark, sodass ZECM keine Standardlösung oder eine unüberwachte Installation anbieten kann.

Prüfen Sie die Änderungen am PAM-Stack, beachten Sie, dass der pam_mount-Eintrag textuell nach "pam_krb5.so" aufgeführt ist, da "pam_mount.so" die Existenz eines Kerberos-Tickets voraussetzt.

Für die Einbindung des tubFS-Heimatverzeichnisses ist die "session"-Konfiguration ausschlaggebend und sollte mit "optional" spezifiziert sein.

Übernehmen Sie in /etc/security/pam_mount.conf.xml die tubFS-spezifische Erweiterung aus folgender pam_mount_conf.xml.

Legen Sie das lokale Mount-Verzeichnis an: 

   # mkdir -p /home/tu-berlin.de ; chmod 755 /home/tu-berlin.de

Testen Sie die Änderungen, indem Sie eine Anmeldung mit Ihrem TUB-Account  durchführen.  Sollte Ihr Heimatverzeichnis nicht automatisch eingebunden werden, prüfen Sie bitte, ob:

  • bei der Anmeldung ein Kerberos-Ticket erzeugt wurde
  • die tubFS-Server erreichbar sind
  • die Freischaltung für die AD-Domöne SVC von NOC durchgeführt wurde
  • Fehlermeldung im systemd-journal vorliegen (journalctl(1))

Wichtige Systempfade

Um eine Datenkonsistenz für die Nutzer*innen zu schaffen, sollten an allen Systemen die gleichen Pfade verwendet werden. Es folgt die Liste der von der ZECM empfohlenen Pfade:

  • das AD-Attribut unixHomeDirectory ($HOME) ist mit /home/users/a-z/[TUB-Account] vorbelegt
  • das zukünftige AD-Attribut unixHomeDirectory ($HOME) wird mit /home/tu-berlin.de/[TUB-Account] vorbelegt sein
  • das AFS-Heimatverzeichnis ist verfügbar als /afs/tu-berlin.de/home/a-z/[TUB-Account} und wird vom installieren AFS-Dienst bereitgestellt
  • das tubFS-Heimatverzeichnis ist verfügbar als /home/tu-berlin.de/[TUB-Account] und wird entweder mittels pam_mount- oder automount-Methode bereitgestellt
  • /home/users ist ein symbolischer Link nach /afs/tu-berlin.de/home

Wenn die Synchronisierung eines Heimatverzeichnisses abgeschlossen ist, wird das AFS-Heimatverzeichnis durch einen symbolischen Link nach /home/tu-berlin.de/[TUB-Account] ersetzt.

D.h. /home/users/a-z/[TUB-Account] zeigt während der Migrationsphase immer auf ein Heimatverzeichnis entweder das im AFS oder nach Abschluss der Synchronisierung auf das aktualisierte Verzeichnis im tubFS.

Nach Abschluss der Migrationsphase wird das AD-Attribut unixHomeDirectory auf /home/tu-berlin/[TUB-Account] umgesetzt.

Nach Rückbau des AFS-Dateisystems entfällt der symbolische Link /home/users.

Navigation

Direktzugang

Schnellnavigation zur Seite über Nummerneingabe