[linux] shares mounten

[Daniel C. von Asmuth]

Aldus schreef Fred op Sun, Apr 29, 2018 at 09:23:13AM +0200:
> Op 28-04-18 om 22:39 schreef Daniel C. von Asmuth:
> 
> >Conclusie: je kunt inderdaad je home directory uit Samba mounten als
> >gewone user die dan zijnofhaar wachtwoord moet intypen als je de share
> >voor elke user apart in /etc/fstab specificeert met de uid=x en gid=y
> >opties met de juiste nummers voor dat account. We nemen aan dat de
> >ID nummers op de client en de NAS gelijk zijn. Als je de mount points
> >subdirectories van de user's home directory op de laptop maakt, hoeft er
> >geen probleem te zijn met security.
> >
> Bedankt voor de heldere uitleg. Dan kijk ik deze richting op en laat nfs
> even voor wat het is. Ik heb gisteren een ssd gemonteerd en een nieuwe
> installatie gedaan waarbij ik de oude gebruikers opnieuw moet instellen,
> Als ik het goed begepen heb is het het makkelijkst als ik de uid en guid van
> deze gebruikers (nog op de nas aanwezig) copieer naar de gebruikers die op
> de laptop nog aangemaakt worden?

Samenvatting:

NFS gebruiken is het gemakkelijkst. Dat wordt ook door Windows ondersteund. Niets
weerhoudt je echter om op sommige clients CIFS te gebruiken. 

Sommige Window Managers als KDE (en vermoedelijk ook Gnome) hebben een
ingebouwde mogelijkheid om netwerk shares te benaderen buiten het OS om,
dus er wordt niets gemount. 

Het is mogelijk om automount te gebruiken, maar zonder wachtwoord; de
credentials zet je dan in een aparte file, net zoals wanneer je de mount
in /etc/fstab opneemt. 

Fred zag als nadeel van die laatste optie dat je wachtwoord dan in een
plat tekstbestand komt te staan. Je zet allicht de permissies zo dat
alleen 'root' het kan lezen. 

Ik zag een ander nadeel: op de server (NAS) worden steeds hetzelfde
account gebruikt om te bepalen of de gebruikers op de laptop wel of geen 
toegang krijgen. Dat account wordt ook eigenaar van nieuwe bestanden 
in plaats van de user op de laptop. Mijn eerdere advies voor een 'gast' 
account was dus een slecht idee. 

Beter dus om voor elke gebruiker de gewenste shares op aanvraag te
mounten. Zoals gezegd kan dat door alle mounts met 'user' optie in
/etc/fstab te zetten.

Wat als je 'lusers' het typen van commando's wenst te besparen?
In dat geval kun je pam.mount gebruiken om te zorgen dat een aantal
shares automatisch worden gemount bij het inloggen en geunmount na
het uitloggen. De gebruiker typt het wachtwoord dan maar 1 keer in
Het mounten gebeurt dan gewoon als root en het wachtwoord wordt gebruikt 
om je bij de server en lokaal aan te melden (dat kan natuurlijk ook anders....). 

In plaats van in /etc/fstab worden de shares opgesomd in
/etc/security/pam_mount.conf.xml met regels in de trant van:
	<volume user="daniel" fstype="cifs" server="lunchbox" path="daniel"
mountpoint="/home/daniel/mnt" />

Verder moet je dan je /etc/pam.d/system-auth file (afhankelijk van de
distro) aanpassen. Als je daarbij een fout maakt, kun je ook als root
niet meer inloggen. Overigens maakt SSH per default geen gebruik van 
PAM. 

Het mountpoint kan zo nodig ook automatisch worden aangemaakt. Het
voordeel is dat je je home directory zo kunt beschermen dat anderen er
niet bij kunnen (behalve 'root') en dus ook niet bij jouw share. Een
nadeel is dat je als je laptop buitenshuis gebruikt wordt, je niet 
bij je NAS kunt komen. Bijv. in de trein: je hebt Internet toegang 
nodig om in te loggen en die kun je via de WiFi krijgen nadat je bent
ingelogd). Oekraieners noemen zoiets een 'haan-ei-probleem".

Test resultaat: het mounten gaat goed, het unmounten bij mij niet (dat
kan root dan met de hand doen). Afhankelijk van je configuratie moet je 
het wachtwoord toch twee keer invoeren of de inlog dialoog vraagt na
je username niet meer om je 'password', maar om je 'pam-mount password' 
en logt je daarna gewoon in. 

Een korte beschrijving:

https://wiki.archlinux.org/index.php/pam_mount


Met vriendelijke groet,



Daniel von Asmuth

-- 
	
		Geeks of a feather cruft together