Введение

Автоматическое монтирование позволяет пользователям получить доступ к разделяемым ресурсам без явного выполнения операций монтирования, просто через доступ к точке монтирования. Монтирование может выполняться с помощью различных сетевых файловых систем (ФС).  По умолчанию используется ФС NFS, опция -fstype в параметрах монтирования , или файловая система NFS по умолчанию)позволяет изменить тип СФС. Параметры монтирования определяются картами монтирования, хранящимися централизовано в службе каталогов контроллера FreeIPA. В некотором смысле , карты монтирования являются сетевым эквивалентом файла /etc/fstab. При стандартной установке клиента FreeIPA клиентский доступ к картам монтирования осуществляется через службу кеширования данных службы каталогов - службу SSSD. В целом структура данных и правила использования карт монтирования FreeIPA соответствуют правилам использования карт монтирования autofs (см. man 5 autofs, где содержится подробная информация). В данной статье в основном рассматривается использование карт монтирования для монтирования сетевых ресурсов доменными клиентами FreeIPA, хотя возможности автомонтирования не ограничиваются работой только с сетевыми ресурсами.

Применимость автомонтирования

Сервер Контроллер FreeIPA имеет возможность хранить хранит карты монтирования в своём своем каталоге, а клиентское ПО FreeIPA имеет возможность получать и применять эти карты. Таким образом, любой (соответственно настроенный) клиент FreeIPA может воспользоваться этим сервисом.

Автоматическое монтирование выполняется при обращении к ресурсу, независимо от того, кто пытается осуществить этот доступ. Поэтому применять автоматическое монтирование следует с осторожностью. В частности, в частности автоматическое монтирование удалённого удаленного каталога /home непосредственно в локальный каталог /home приведёт к потере локальных домашних каталогов локальных пользователей (так как при попытке обратиться к локальному домашнему каталогу система автомонтитования автомонтирования будет пытаться примонтировать туда (вероятно несуществующий) удалённый удаленный каталог). С этой точки зрения более удобным для домашних каталогов является монтирование с помощью pam_automountmount. ( Альтернативой , однако, может быть назначения отдельного каталога для автоматического монтирования домашних каталогов доменных пользователей). При этом монтирование общих сетевых ресурсов удобнее администрируется при помощи централизованного хранилища карт автоматического монтирования.

При создании карты автомонтирования разделяемый ресурс автоматически не создаётсясоздается, то есть карты автомонтирования должны ссылаться на уже существующие разделяемые ресурсы (порядок . Порядок настройки разделяемых ресурсов см. :

• Монтирование домашних каталогов клиентов FreeIPA с ненулевой

• классификационной меткой;
• Сетевая файловая система NFS с аутентификацией

• Kerberos в домене FreeIPA

• .

При выборе сетевой файловой системы монтирования следует помнить, что файловая система CIFS обеспечивает авторизацию аутентификацию (применительно к доменному клиенту - аутентификацию Kerberos-авторизацию) на уровне пользователей, а файловая система NFS - только допускает аутентификацию на уровне компьютеров. Кроме того, файловая система CIFS при использовании в ОС СН Astra Linux Special Edition поддерживает работу с конфиденциальными данными (данными, имеющими ненулевую классификационную метку конфиденциальности), в том числе монтирование пользовательских домашних каталогов, имеющих ненулевую классификационную метку конфиденциальности. Таким образом, для автоматического монтирования приватных конфиденциальных пользовательских данных предпочтительной является файловая система CIFS.

В любом случае не При использовании файловой системы NFS следует использовать применяемую по умолчанию файловую систему NFS, вместо неё лучше использовать файловую систему не ниже версии NFSv4 (опция -type=nfs4).

Иерархия и типы карт монтирования

Карты монтирования могут быть трёх типовДалее используются термины:

• мастер Распложение (masterlocation);
• прямая Мастер (directmaster);
• косвенная (indirect);

Все типы карт монтирования содержат одинаковые структуры данных:

• ключ;
• информация монтирования:
  • необязательные опции монтирования
  • описание разделяемого ресурса

Интерпретация содержащихся в карте данных зависит от её типа.

Иерархия карт монтирования

Мастер-карта монтирования

• Прямая карта монтирования;
• Косвенная карта монтирования.

Описание терминов:

•  Расположение (location). Корневая точка иерархии карт монтирования. В базе данных FreeIPA может быть создано несколько иерархий карт монтирования. При инициализации сервера FreeIPA по умолчанию создается одна иерархия с именем корневой точки default. При настройке клиента можно выбрать, какой именно иерархией карт монтирования он должен пользоваться. Получить список иерархий (расположений автомонтирования можно командой):

  Command
  ipa automountlocation-find

  Получить список карт монтирования, входящих в расположение автомонтирования, можно командой:

  Command
  ipa automountmap-find default

  где default - название расположения автомонтирования;

• Мастер (master). В каждом расположении автомонтирования существует в единственном экземпляре. Представляет собой входную точку иерархии карт монтирования. Для мастер-карты зарезервировано название auto.master.

• Ключ в мастер-карте

• интерпретируется как указание на тип

• подчиненной прямой или косвенной карты монтирования

• . Информация монтирования содержит глобальные опции монтирования для

• подчиненной карты (опции суммируются), и имя

• подчиненной карты.

Несмотря на то, что мастер-карта существует в единственном экземпляре в базе данных FreeIPA может быть создано несколько иерархий карт монтирования (при установке по умолчанию создаётся одна иерархия с именем default). При настройке клиента можно выбирать, какой именнно иерархией карт монтирование он должен пользоваться.

Прямые карты мотирования

• Прямая карта монтирования. Задаются в мастер-карте специальным ключем “/ -”, например

  Блок кода
  /- auto.direct

  В самой прямой карте заданный в ней ключ

• интерпретируется как полный путь к точке монтирования, а информация монтирования – как опции монтирования и

• отделенное пробелом имя сетевого ресурса, например:

  Блок кода
  title Информация монтирования
  -fstype=cifs,sec=krb5i

• ://ipa0.ipadomain0.ru/

• srv

  
  

  Информация

• В примере выше используется файловая система CIFS, и для этой файловой системы имя ресурса монтирования начинается с символа двоеточия. Для файловой системы NFS имя ресурса состоит из имени сервера и пути,

• разделенных двоеточием, например: ipa0.ipadomain0.ru:/srv/

  
  

• Косвенные карты монтирования

• . Задаются в мастер-карте

• ключем, представляющим собой полный путь

• , и именем косвенной карты. Пример записи в мастер-карте:

  Блок кода
  /share auto.share

  Косвенные карты монтирования привязываются к абсолютному пути точки монтирования из мастер-карты, а ключ в карте дополняет путь после точки монтирования, куда должен монтироваться разделяемый сетевой ресурс. Например, карта auto.share может содержать:

  Блок кода
  pub filer.example.com:/export/pub mirror nfs.example.com:/mnt/mrror

  Тогда, с учетом

• приведенного выше примера мастер-карты (где задана точка монтирования /share), клиент может монтировать разделяемый ресурс NFS в каталоги /share/pub и /share/mirror.

Настройка карт автомонтирования на сервере FreeIPA

Web-интерфейс

Карты автомонтирования могут быть настроены с помощью графического WEBweb-интерфейса FreeIPA: "Сетевые службы" - "Автомонтирование":
Image Added
По умолчанию при запуске сервера FreeIPA создается иерархия карт ("Расположение автомонтирования") с именем "default", содержащая мастер-карту, и карты auto.durect direct и auto.home:

Image Added

Командная строка

Для управления параметрами карт автомонтирования из командной строки предусмотрен комплект соответствующих инструментов. Справка по инструментам и их список доступны из команды

Краткий список команд:

automountkey-add          Создать новый ключ автомонтирования
automountkey-del          Удалить ключ автомонтирования
automountkey-find         Поиск ключа автомонтирования
automountkey-mod          Изменить ключ автомонтирования
automountkey-show         Показать ключ автомонтирования
automountlocation-add     Создать новое расположение автомонтирования
automountlocation-del     Удалить расположение автомонтирования
automountlocation-find    Поиск расположения автомонтирования
automountlocation-import  Импортировать файлы автомонтирования для определённого расположения
automountlocation-show    Показать расположение автомонтирования
automountlocation-tofiles Создать файлы автомонтирования для определённого расположения
automountmap-add          Создать новый список соответствия автомонтирования
automountmap-add-indirect Создать новую непрямую точку монтирования
automountmap-del          Удалить список соответствия автомонтирования
automountmap-find         Поиск списка соответствия автомонтирования
automountmap-mod          Изменить список соответствия автомонтирования
automountmap-show         Показать список соответствия автомонтирования

Настройка сервера

Порядок настройки сервера NFS см. статью Сетевая файловая система NFS с аутентификацией Kerberos в домене FreeIPA.

Порядок настройки сервера Samba см. статью Samba + FreeIPA аутентификация пользователей Samba в Kerberos.

Настройка клиентов

Для настройки клиентов выполнить следующие дейтсвия:

1. Установить пакеты:

   Примечание

   Пакеты для монтирования CIFS и NFS могут быть установлены и использоваться совместно, однако при использовании авторизации аутентификации Kerberos для совместного использования потребуется решать решить проблему выбора билетов Kerberos: NFS использует билет Kerberos компьютера, создающийся при загрузке попытке монтирования и хранящийся в файле файле /tmp/krb5ccmachine_REALM; CIFS использует билеты Kerberos пользователей, создающиеся при авторизации польщователейпользователей, и хранящиеся в KEYRING, однако, обнаружив билет компьютера, безуспешно пытается авторизоваться с этим билетом.

   
   

   1. Для монтирования файловой системы CIFS установить пакеты:

      Command
      sudo apt install autofs cifs-utils

      
      

   2. Для монтирования файловой системы NFS:

      1. Установить пакеты:

         Command
         sudo apt install autofs nfs-common

         
         

      2. Для нормальной работы службы rpc-svcgssd.service:

         1. Получить для билет Kerberos администратора домена (на компьютере, на котором будут выполняться следующие команды):

            Command
            sudo kinit admin

            
            

         2. Зарегистрировать службу nfs/<имя_сервера> в домене (эта команда может быть выполнена как на клиенте при наличии установленного пакета freeipa-admintools, так и на контроллере домена):
            

            Command
            sudo ipa service-add nfs/`hostname`

            
            

         3. Получить таблицу ключей и сохранить ее в файле /etc/krb5.keytab (эта команда должна быть выполнена на клиенте):

            Command
            sudo ipa-getkeytab -p nfs/`hostname` -k /etc/krb5.keytab

            
            

2. Включить автоматическое монтирование на клиентской машине:
   1. Если машина ещё не введена в домен FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux), то использовать при вводе в домен опцию --automount-location=<имя_иерархии_карт>;

   2. Если машина уже была введена в домен FreeIPA, то выполнить команду включения автомонтирования (в примере ниже использовано имя иерархии карт default):

      Command
      sudo ipa-client-automount --location=default

      
      

3. По необходимости настроить клиентские пакеты, проверить их функционирование, проверить доступность разделяемых ресурсов (см.  статью Монтирование домашних каталогов клиентов FreeIPA с ненулевой меткой конфиденциальности NFS - авторизация классификационной меткой и статью Сетевая файловая система NFS с аутентификацией Kerberos в домене FreeIPA).

   Предупреждение
   Некорректно настроенное атомонтирование автомонтирование домашних каталогов приведёт приведет к невозможности входа любых пользователей.

   
   

4. Включить Убедиться, что в файл /etc/nsswitch.conf добавлена строчка (включено использование для автоматического монтирования карт монтирования, предоставляемых FreeIPA, для чего в файл /etc/nsswitch.conf добавить строчку):

   Блок кода
   autofsautomount: files sss files

   
   

   Предупреждение
   Если в результате некорректно настроенного автомонтирования каталогов доступ к машине утерян, то для восстановления доступа достаточно удалить эту строчку (из режима восстановления, или, в особо тяжёлых случаях, загрузившись загрузив систему в режиме восстановления или с Live-CD).