[gelöst] debian smb mount keine Berechtigung

[joe2017]

Kann ich vielleicht einen Service erstellen, welcher einen pam-mount für einen user erstellt?
Somit würde der service beim Systemstart gestartet werden und unter einem user einen mountpoint öffnen?

[oln]

Ich habe das jetzt auch noch einmal händisch als root ausprobiert.
Wenn du die UserId und die GruppenId kennst, dann kannst du das in der fstab mitgeben.
Auf dem Server wo du mounten möchtest kannst du das so rausbekommen:

Code: Alles auswählen

id username

Die ausgabe sieht dann bei mir so aus:

Code: Alles auswählen

# id oln
uid=1809401109(oln) gid=1809400513(domain users)....

Beim Mount gebe ich das dann mit an:

Code: Alles auswählen

mount.cifs -o username=Administrator,uid=1809401109,gid=1809400513 //fileserver.example.com/sharename/ /mnt/test/

Dann hat das Verzeichnis die Rechte die es bekommen soll:

Code: Alles auswählen

]# ls -la
insgesamt 12
drwxr-xr-x  4 root root         4096 20. Jan 10:25 .
drwxr-xr-x 19 root root         4096 19. Dez 07:23 ..
drwxr-xr-x  2 oln  domain users    0 20. Jan 09:59 test

Das sollte es dann gewesen sein.

[joe2017]

Die uid und gid steht bereits in meiner fstab. Diese verweist auf den entsprechenden User und Gruppe.

Code: Alles auswählen

//Server-IP/path	/path/mount/Debian-Server-Mount-Pfad	cifs	rw,credentials=/home/local-admin/.file,cifsacl,uid=xxx,gid=xxx,auto	0	0

Jedoch wird das nicht gesetzt?

[oln]

Sind die Ids auch die auf dem Server? Was im AD steht, ist nicht immer das was auf dem Server gilt.

[joe2017]

Ich habe die uid/gid auf dem Server Debian ausgelesen mit id username
Ich habe auch die Gegenprobe mit getent passwd | grep UID && getent group | grep GID gemacht.

Wenn ich mit mount meine mountpoints anschaue wird mir folgendes gelistet.

Code: Alles auswählen

//SERVER-IP/MOUNTPINT on /path/to/local/mountpoint type cifs (rw,realtime,vers=3.1.1,cache=strict,username=USER,domain=DOMAIN,uid=xxx,forceuid,gid=xxx,forcegid,addr=SERVER-IP,file_mode=0755,dir_mode=0755,soft,nounix,serverino,mapposix,cifsacl,resize=xxx,wsize=xxx,bsize=xxx,echo_interval=60,actimeo=1)

[joe2017]

Was wäre mit dem Service für pam-mount? Ist das vielleicht möglich?
Oder eben den pam-mount mit einem bestehenden Service welcher unter diesem User gestarte wird anzugeben

[oln]

Ich glaube wir müssen hier mal Begrifflichkeiten klären.
Was meinst du mit Service? Ist das ein Cronjob des Users oder wer oder was führt dort aus?

Ich habe die uid/gid auf dem Server Debian ausgelesen mit id username

Ist das der Server auf dem gemountet werden soll?

Wenn ich mit mount meine mountpoints anschaue wird mir folgendes gelistet.

Code: Alles auswählen

//SERVER-IP/MOUNTPINT on /path/to/local/mountpoint type cifs (rw,realtime,vers=3.1.1,cache=strict,username=USER,domain=DOMAIN,uid=xxx,forceuid,gid=xxx,forcegid,addr=SERVER-IP,file_mode=0755,dir_mode=0755,soft,nounix,serverino,mapposix,cifsacl,resize=xxx,wsize=xxx,bsize=xxx,echo_interval=60,actimeo=1)

Sind die Ids die richtigen?
Wie sieht der Mountpoint aus? Dort die richtigen Rechte nach dem Mount (ls -la /path/to/local/)?

[joe2017]

Ich habe den Fehler gefunden und die Lösung!

ich habe jetzt mal mit "mount" die beiden mounts (pam_mount und fstab) verglichen.

Code: Alles auswählen

//SERVER-IP/MOUNT on /home/USER/shares	type cifs (rw,nosuid,nodev,relatime,vers=3.1.1,cache=strict,username=USER,domain=DOMAIN,uid=222222,forceuid,gid=111111,forcegid,addr=SERVER-IP,file_mode=0755,dir_mode=0755,soft,nounix,serverino,mapposix,rsize=4194304,wsize=4194304,bsize=1048576,echo_interval=60,actimeo=1)

//SERVER-IP/MOUNT on /path/to/share	type cifs (rw,relatime,vers=3.1.1,cache=strict,username=USER,domain=DOMAIN,uid=222222,forceuid,gid=111111,forcegid,addr=SERVER-IP,file_mode=0755,dir_mode=0755,soft,nounix,serverino,mapposix,cifsacl,rsize=4194304,wsize=4194304,bsize=1048576,echo_interval=60,actimeo=1)

Nachdem ich die beiden Optionen "nosuid,nodev" in die fstab ergänzt habe gab es immer noch einen Unterschied. Und zwar in der fstab "cifsacl". Nachdem ich diesen Parameter raus genommen habe funktioniert jetzt alles wie gewünscht!

Der fstab Eintrag welcher funktioniert ist folgender.

Code: Alles auswählen

//Server-IP/path	/path/mount/Debian-Server-Mount-Pfad	cifs	nosuid,nodev,rw,credentials=/home/local-admin/.file,uid=xxx,gid=xxx,auto	0	0

Da hätte ich jetzt aber mal gerne eine Erklärung von den Fachmännern! Meines Wissens ist der "cifsacl" Parameter doch genau hierfür da. Oder ist das nicht richtig?

[oln]

Super. Jetzt noch deine config für pam_mount und der nächste freut sich auch.

[joe2017]

Natürlich poste ich diese hier auch noch gerne. Aber diese ist in meinem Fall jetzt nicht mehr notwendig da alles mit der fstab funktioniert.

sudo apt install libpam-mount

sudo nano /etc/security/pam_mount.conf.xml

Code: Alles auswählen

<!-- Volume definitions -->
<volume options="nodev,nosuid"  user="*"        fstype="cifs"   server="SERVER-IP"     path="FOLDER"     mountpoint="~/shares" />


<mkmountpoint enable="1" remove="true" />