pam_mount停止工作

Question

这就是它的工作方式:我的Ubuntu工作站通过Active Directory进行身份验证，pam_mount在用户登录上安装了一些CIFS目录。现在，由于某种原因，pam_mount停止工作，没有挂载目录。因此，我启用了pam_mount调试，并看到了以下内容：

(rdconf1.c:744): path to luserconf set to
/home/DOMAIN/username/Documents/.pam_mount.conf.xml
(pam_mount.c:365): pam_mount 2.14: entering auth stage
(rdconf1.c:744): path to luserconf set to
/home/DOMAIN/username/Documents/.pam_mount.conf.xml
(pam_mount.c:568): pam_mount 2.14: entering session stage
(pam_mount.c:629): no volumes to mount
command: 'pmvarrun' '-u' 'username' '-o' '1'
(pmvarrun.c:258): parsed count value 0
(pam_mount.c:441): pmvarrun says login count is 1
(pam_mount.c:660): done opening session (ret=0)

所以，没有卷可装？我的pam_mount.conf.xml看起来是这样的：

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<pam_mount>

<debug enable="1" />
<luserconf name="Documents/.pam_mount.conf.xml" />
<volume user="*" sgrp="residents" fstype="cifs" server="dfs.namespace.com" path="data/users/%(USER)/documents" mountpoint="~/Documents" options="uid=%(USER),gid=100,dir_mode=0700" />
<volume user="*" sgrp="residents" fstype="cifs" server="dfs.namespace.com" path="data/public" mountpoint="~/mount/Public" options="uid=%(USER),gid=100,dir_mode=0700" />

<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,uid,gid,dir_mode" />
<mntoptions require="nosuid,nodev,uid,gid,dir_mode" />
<logout wait="0" hup="0" term="0" kill="0" />
<mkmountpoint enable="1" remove="true" />

</pam_mount>

到目前为止，这种配置已经运行了几个月。我不记得最近做过任何配置更改。我怀疑一次升级毁了它，因为有一天我注意到我所有的工作站都发生了这种情况。我不知道下一步该去哪里:(谷歌对此并没有多大帮助。)

在/var/log/syslog中，它说：

Apr 23 11:25:54 hostname nslcd[1261]: [86d4c7] <authz="username"> ldap_result() failed: Operations error: 000004DC: LdapErr: DSID-0C0906E8, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1

但老实说，从那时起，我就一直在syslog中看到这些错误，而且由于LDAP身份验证工作良好(而且现在仍然如此)，我对它没有给予太多的关注。在/var/log/auth.log中，登录似乎很好：

Apr 23 11:43:48 hostname su[10409]: pam_winbind(su:auth): getting password (0x00000388)
Apr 23 11:43:48 hostname su[10409]: pam_winbind(su:auth): pam_get_item returned a password
Apr 23 11:43:49 hostname su[10409]: pam_winbind(su:auth): user 'username' granted access

除此之外，我在/var/log/syslog或/var/log/auth.log中没有看到任何相关的东西。我有Ubuntu 14.04。我对Linux非常陌生，如果有人有一些我接下来会尝试的想法，我会很感激的:)

Answer 1

经过今天的一些更新，我也有了同样的问题。我做了一些测试，发现删除sgrp=“.”参数到卷的参数允许它们挂载。它似乎认为没有卷可挂载，因为用户不在列表组中。

这使我相信这个问题是这个错误的结果，这个错误是针对winbind的最新更新而提交的，它影响到组：https://bugs.launchpad.net/ubuntu/+source/samba/+bug/1573526。

我暂时从我的卷中删除了sgrp，它们现在似乎在增加。希望这个错误能够得到解决，并能正确地解决这个问题。希望这能有所帮助。

更新:上面链接的bug已经修复并发布了一个更新，但是我仍然有同样的问题。Winbind没有返回给定组的组成员(即。“地理小组”没有返回任何成员)。将"winbind展开组= 1“添加到smb.conf解决了这个问题。我不知道这是否与新的winbind更新有关，但我的小组在pam_mount.conf.xml中再次工作。

Answer 2

由于@chtaylor，我最初能够通过从sgrp中的所有条目中删除pam_mount.conf.xml属性来解决这个问题。后来我意识到，只有当组是用户的主组时，sgrp属性才能工作。因此，将sgrp="residents"更改为sgrp="domain users"再次使卷对我可用，因为默认情况下，domain users是所有AD用户的主要组。另一种解决方案是更改中所需的主要用户组，以匹配pam_mount配置：

Active Directory用户和计算机>转到用户属性>成员>设置主组