pam_mount und remote login

12 Jul 2004

      ... 2 Welten treffen aufeinander?

Zur Aufgabenstellung:
Als Alternative zu den Win-PCs sollen in unserer Firma Linux-PCs angeboten
werden. Sie sollen ähnlichen Komfort bieten wie die Win-PCs, insbesondere
sollen beim Anmelden einige SMB-Shares gemounted werden.

Wir haben das mit dem Modul pam_mount.so gelöst - zumindest für den lokalen
Zugang. Versucht sich ein User aber über ssh oder Remote-X anzumelden,
passiert gar nix. Es sei denn, es ist root, der erhält immerhin die
Fehlermeldung
pam_mount: error trying to retrieve authtok from auth code
so dass ich davon ausgehe, dass pam_mount hier zumindest startet. Aber
gerade root braucht gar nichts zu mounten ;-)

Die Authentifizierung läuft gegen einen LDAP-Server, pam_mkhomedir.so
erfüllt auch beim remote-login brav seine Pflicht.

hier mal die Konfiguration aus /etc/pam.d/sshd:
---schnipp---
#%PAM-1.0
auth     required       pam_unix2.so    # set_secrpc
auth     required       pam_nologin.so
auth     required       pam_env.so
#auth   optional        pam_mkhomedir.so        use_first_pass
auth    required        pam_mount.so    try_first_pass use_authtok

account  required       pam_unix2.so
account  required       pam_nologin.so
password required       pam_pwcheck.so
password required       pam_unix2.so    use_first_pass use_authtok
session  required       pam_unix2.so    none # trace or debug
session  required       pam_limits.so
# Enable the following line to get resmgr support for
# ssh sessions (see /usr/share/doc/packages/resmgr/README.SuSE)
#session  optional       pam_resmgr.so fake_ttyname

session optional        pam_mkhomedir.so        use_first_pass
session optional        pam_mount.so    try_first_pass use_authtok
---schnipp---
und hier die /etc/pam.d/login, mit der pam_mount stets funktioniert:
---schnipp---
#%PAM-1.0
auth     requisite      pam_unix2.so            nullok #set_secrpc
auth     required       pam_securetty.so
auth     required       pam_nologin.so
#auth    required       pam_homecheck.so
auth     required       pam_env.so
auth     required       pam_mail.so
#auth   optional        pam_mkhomedir.so        use_first_pass
auth    optional        pam_mount.so    use_first_pass use_authtok
account  required       pam_unix2.so
password required       pam_pwcheck.so          nullok
password required       pam_unix2.so            nullok use_first_pass
use_authtok
session  required       pam_unix2.so            none # debug or trace
session  required       pam_limits.so
session optional        pam_mkhomedir.so        use_first_pass
session optional        pam_mount.so    use_first_pass use_authtok
---schnipp---

Wie gesagt, bei lokaler Anmeldung wird korrekt gemounted - was fehlt bei
ssh? pam_mount bietet den Vorteil, dass mit dem Passwort aus dem LDAP
gearbeitet wird - und das wird auch für die Authentifizierung an den
Fileservern benötigt.

Ernstgemeinte Hinweise sind willkommen ;-)

Freundlicher Gruß
\/\/erner Flamme

-- 
Werner Flamme, Abt. WKDV
UFZ Umweltforschungszentrum Leipzig-Halle GmbH,
Permoserstr. 15, 04318 Leipzig
eMail: werner.flamme@ufz.de, Tel.: (0341) 235-2500