Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 15 Следующий »

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1


Введение

Автоматическое монтирование позволяет пользователям получить доступ к разделяемым ресурсам без явного выполнения операций монтирования, просто через доступ к точке монтирования. Монтирование может выполняться с помощью различных сетевых файловых систем (опция -fstype в параметрах монтирования, или файловая система NFS по умолчанию). Параметры монтирования определяются картами монтирования, которые хранятся централизовано в службе каталогов контроллера FreeIPA. В некотором смысле, карты монтирования являются сетевым эквивалентом файла /etc/fstab. При стандартной установке клиента FreeIPA клиентский доступ к картам монтирования осуществляется через службу кеширования данных службы каталогов - службу SSSD. В целом структура данных и правила использования карт монтирования FreeIPA соответствуют правилам использования карт монтирования autofs (см. man 5 autofs, где содержится подробная информация). В данной статье в основном рассматривается использование карт монтирования для монтирования сетевых ресурсов доменными клиентами FreeIPA, хотя возможности автомонтирования не ограничиваются работой только с сетевыми ресурсами.

Применимость автомонтирования

Сервер FreeIPA имеет возможность хранить карты монтирования в своём каталоге, а клиентское ПО FreeIPA имеет возможность получать и применять эти карты. Таким образом, любой (соответственно настроенный) клиент FreeIPA может воспользоваться этим сервисом.

Автоматическое монтирование выполняется при обращении к ресурсу, независимо от того, кто пытается осуществить этот доступ. Поэтому применять автоматическое монтирование следует с осторожностью, в частности автоматическое монтирование удалённого каталога /home непосредственно в локальный каталог /home приведёт к потере домашних каталогов локальных пользователей (так как при попытке обратиться к локальному домашнему каталогу система автомонтирования будет пытаться примонтировать туда (вероятно несуществующий) удалённый каталог). С этой точки зрения более удобным для домашних каталогов является монтирование с помощью pam_automount. (Альтернативой, однако, может быть назначения отдельного каталога для автоматического монтирования домашних каталогов доменных пользователей). При этом монтирование общих сетевых ресурсов удобнее администрируется при помощи централизованного хранилища карт автоматического монтирования.

При создании карты автомонтирования разделяемый ресурс автоматически не создаётся, карты автомонтирования должны ссылаться на уже существующие разделяемые ресурсы (порядок настройки разделяемых ресурсов см. Монтирование домашних каталогов клиентов FreeIPA с ненулевой меткой конфиденциальности Сетевая файловая система NFS с аутентификацией Kerberos в домене FreeIPA).

При выборе сетевой файловой системы монтирования следует помнить, что файловая система CIFS обеспечивает аутентификацию (применительно к доменному клиенту - Kerberos-аутентификацию) на уровне пользователей, а файловая система NFS - допускает аутентификацию на уровне компьютеров. Кроме того, файловая система CIFS при использовании в Astra Linux Special Edition поддерживает работу с конфиденциальными данными (данными, имеющими ненулевую метку конфиденциальности), в том числе монтирование пользовательских домашних каталогов, имеющих ненулевую метку конфиденциальности.Таким образом, для автоматического монтирования приватных пользовательских данных предпочтительной является файловая система CIFS.

При использовании файловой системы NFS следует использовать файловую систему не ниже версии NFSv4 (-type=nfs4).

Типы карт монтирования

Карты монтирования могут быть трёх типов:

  • мастер (master);
  • прямая (direct);
  • косвенная (indirect);

Все типы карт монтирования содержат одинаковые структуры данных:

  • ключ;
  • информация монтирования:
    • необязательные опции монтирования
    • описание разделяемого ресурса

Интерпретация содержащихся в карте данных зависит от её типа.

Иерархия карт монтирования

Мастер-карта монтирования

Мастер-карта существует в единственном экземпляре и представляет собой входную точку иерархии карт монтирования. Для мастер-карты зарезервировано название auto.master.

Ключ в мастер-карте интерпретируется как указание на тип подчинённой прямой или косвенной карты монтирования, информация монтирования содержит глобальные опции для подчинённой карты (опции суммируются), и имя подчинённой карты.

Несмотря на то, что мастер-карта существует в единственном экземпляре в базе данных FreeIPA может быть создано несколько иерархий карт монтирования (при установке по умолчанию создаётся одна иерархия с именем default). При настройке клиента можно выбирать, какой именно иерархией карт монтирования он должен пользоваться.

Прямые карты монтирования

Прямые карты монтирования всегда задаются в мастер-карте специальным ключем “/ -”, например

/-	 auto.direct


В самой прямой карте заданный в ней ключ интерпретируется как полный путь к точке монтирования, а информация монтирования – как опции монтирования и отделённое пробелом имя сетевого ресурса, например:

Информация монтирования
-fstype=cifs,sec=krb5i,vers=1.0 ://ipa0.ipadomain0.ru/svr
В примере выше используется файловая система CIFS, и для этой файловой системы имя ресурса монтирования начинается с символа двоеточия.
Для файловой системы NFS имя ресурса состоит из имени сервера и пути, разделённых двоеточием (см. примеры ниже).

Косвенные карты монтирования

В мастер-карте косвенные карты монтирования задаются ключем, представляющим собой полный путь. Например, запись в мастер-карте:

/share	auto.share

Косвенные карты монтирования привязываются к абсолютному пути точки монтирования из мастер-карты, а ключ в карте дополняет путь после точки монтирования, куда должен монтироваться разделяемый сетевой ресурс. Например, карта auto.share может содержать:

pub filer.example.com:/export/pub
mirror nfs.example.com:/mnt/mrror

Тогда, с учетом приведённого выше примера мастер-карты (где задана точка монтирования /share), клиент может монтировать разделяемый ресурс NFS в /share/pub и /share/mirror.

Настройка карт автомонтирования на сервере FreeIPA

Web-интерфейс

Карты автомонтирования могут быть настроены с помощью графического web-интерфейса FreeIPA: "Сетевые службы" - "Автомонтирование":

По умолчанию при запуске сервера FreeIPA создается иерархия карт ("Расположение автомонтирования") с именем "default", содержащая мастер-карту, и карты auto.durect и auto.home:

Командная строка

Для управления параметрами карт автомонтирования из командной строки предусмотрен комплект соответствующих инструментов. Справка по инструментам и их список доступны из команды

ipa help automoumt

Краткий список команд:

automountkey-add Создать новый ключ автомонтирования
automountkey-del Удалить ключ автомонтирования
automountkey-find Поиск ключа автомонтирования
automountkey-mod Изменить ключ автомонтирования
automountkey-show Показать ключ автомонтирования
automountlocation-add Создать новое расположение автомонтирования
automountlocation-del Удалить расположение автомонтирования
automountlocation-find Поиск расположения автомонтирования
automountlocation-import Импортировать файлы автомонтирования для определённого расположения
automountlocation-show Показать расположение автомонтирования
automountlocation-tofiles Создать файлы автомонтирования для определённого расположения
automountmap-add Создать новый список соответствия автомонтирования
automountmap-add-indirect Создать новую непрямую точку монтирования
automountmap-del Удалить список соответствия автомонтирования
automountmap-find Поиск списка соответствия автомонтирования
automountmap-mod Изменить список соответствия автомонтирования
automountmap-show Показать список соответствия автомонтирования

Настройка клиентов

  1. Установить пакеты:

    Пакеты для монтирования CIFS и NFS могут быть установлены и использоваться совместно, однако при использовании авторизации Kerberos для совместного использования потребуется решить проблему выбора билетов Kerberos:
    • NFS использует Kerberos-билет компьютера, создающийся при попытке монтирования и хранящийся в файле /tmp/krb5ccmachine_REALM;
    • CIFS использует Керберос-билеты пользователей, создающиеся при авторизации пользователей, и хранящиеся в KEYRING, однако, обнаружив билет компьютера, безуспешно пытается авторизоваться с этим билетом.

    1. Для монтирования файловой системы CIFS:

      sudo apt install autofs cifs-utils

    2. Для монтирования файловой системы NFS:

      sudo apt install autofs nfs-common

  2. Включить автоматическое монтирование на клиентской машине:
    1. Если машина ещё не введена в домен FreeIPA, то использовать при вводе в домен опцию --automount-location=<имя_иерархии_карт>;

    2. Если машина уже была введена в домен FreeIPA, то выполнить команду включения автомонтирования (в примере ниже использовано имя иерархии карт default):

      sudo ipa-client-automount --location=default

  3. По необходимости настроить клиентские пакеты, проверить их функционирование, проверить доступность разделяемых ресурсов (см. Монтирование домашних каталогов клиентов FreeIPA с ненулевой меткой конфиденциальности Сетевая файловая система NFS с аутентификацией Kerberos в домене FreeIPA).

    Некорректно настроенное автомонтирование домашних каталогов приведёт к невозможности входа любых пользователей.

  4. Включить использование для автоматического монтирования карт монтирования, предоставляемых FreeIPA, для чего в файл /etc/nsswitch.conf добавить строчку:

    autofs: sss files

    Если в результате некорректно настроенного автомонтирования каталогов доступ к машине утерян, то для восстановления доступа достаточно удалить эту строчку (из режима восстановления, или загрузившись с Live-CD).


  • Нет меток