Nächste: , Vorige: , Nach oben: Dienste   [Inhalt][Index]


11.9.33 PAM-Einbindedienst

Das Modul (gnu services pam-mount) stellt einen Dienst zur Verfügung, mit dem Benutzer Datenträger beim Anmelden einbinden können. Damit sollte es möglich sein, jedes vom System unterstützte Datenträgerformat einzubinden.

Variable: pam-mount-service-type

Diensttyp für PAM-Einbindeunterstützung.

Datentyp: pam-mount-configuration

Datentyp, der die Konfiguration für PAM-Einbindungen („PAM Mount“) repräsentiert.

Sie hat folgende Parameter:

rules

Die Konfigurationsregeln, um /etc/security/pam_mount.conf.xml zu erzeugen.

Die Konfigurationsregeln sind SXML-Elemente (siehe SXML in Referenzhandbuch zu GNU Guile) und nach Vorgabe wird für niemanden etwas beim Anmelden eingebunden:

`((debug (@ (enable "0")))
  (mntoptions (@ (allow ,(string-join
                          '("nosuid" "nodev" "loop"
                            "encryption" "fsck" "nonempty"
                            "allow_root" "allow_other")
                          ","))))
  (mntoptions (@ (require "nosuid,nodev")))
  (logout (@ (wait "0")
             (hup "0")
             (term "no")
             (kill "no")))
  (mkmountpoint (@ (enable "1")
                   (remove "true"))))

Es müssen volume-Elemente eingefügt werden, um Datenträger automatisch bei der Anmeldung einzubinden. Hier ist ein Beispiel, mit dem die Benutzerin alice ihr verschlüsseltes HOME-Verzeichnis einbinden kann, und der Benutzer bob die Partition einbinden kann, wo er seine Daten abspeichert.

(define pam-mount-rules
`((debug (@ (enable "0")))
            (volume (@ (user "alice")
                       (fstype "crypt")
                       (path "/dev/sda2")
                       (mountpoint "/home/alice")))
            (volume (@ (user "bob")
                       (fstype "auto")
                       (path "/dev/sdb3")
                       (mountpoint "/home/bob/data")
                       (options "defaults,autodefrag,compress")))
            (mntoptions (@ (allow ,(string-join
                                    '("nosuid" "nodev" "loop"
                                      "encryption" "fsck" "nonempty"
                                      "allow_root" "allow_other")
                                    ","))))
            (mntoptions (@ (require "nosuid,nodev")))
            (logout (@ (wait "0")
                       (hup "0")
                       (term "no")
                       (kill "no")))
            (mkmountpoint (@ (enable "1")
                             (remove "true")))))

(service pam-mount-service-type
         (pam-mount-configuration
           (rules pam-mount-rules)))

Die vollständige Liste möglicher Optionen finden Sie in der Handbuchseite („man page“) für pam_mount.conf.

PAM-Laufwerkseinbindungsdienst

Mit einer PAM-Laufwerkseinbindung („PAM Mount Volumes“) werden Laufwerke zum Zeitpunkt der Anmeldung automatisch eingebunden, durch den PAM-Anmeldedienst und entsprechend der eingestellten laufwerksspezifischen Regeln. Weil PAM die Anmeldung übernimmt, kann das zum Anmelden benutzte Passwort auch gleich zum Einbinden authentifizierender Laufwerkstypen wie cifs mit denselben Anmeldeinformationen benutzt werden.

Diese Laufwerke werden zusätzlich zu den in pam-mount-rules angegebenen Datenträgern eingebunden.

Hier ist ein Beispiel für eine Regel, um ein im Netzwerk geteiltes CIFS-Dateisystem vom entfernten Server namens remote-server von //remote-server/share in ein Unterverzeichnis von /shares einzubinden, das dort den Namen des Benutzers trägt, der sich angemeldet hat:

(simple-service 'pam-mount-remote-share pam-mount-volume-service-type
                (list (pam-mount-volume
                       (secondary-group "users")
                       (file-system-type "cifs")
                       (server "remote-server")
                       (file-name "share")
                       (mount-point "/shares/%(USER)")
                       (options "nosuid,nodev,seal,cifsacl"))))
Datentyp: pam-mount-volume-service-type

Die Konfiguration für ein einzelnes einzubindendes Laufwerk. Felder, die Sie nicht angeben, werden nicht in der zur Laufzeit gültigen PAM-Konfiguration auftauchen. Siehe den Handbucheintrag, wo die Vorgabewerte stehen, wenn Sie nichts angeben.

user-name (Typ: Vielleicht-Zeichenkette)

Das Laufwerk für diesen Benutzer einbinden.

user-id (Typ: Vielleicht-Ganze-Zahl-oder-Zahlenbereich)

Das Laufwerk für den Benutzer mit dieser ID als Kennung einbinden. Sie können auch ein Paar aus (Anfang . Ende) angeben für einen Bereich von Benutzer-IDs, bei denen die Einbindung des Laufwerks vollzogen werden soll.

primary-group (Typ: Vielleicht-Zeichenkette)

Das Laufwerk für Benutzer einbinden, deren primäre Gruppe diesen Namen trägt.

group-id (Typ: Vielleicht-Ganze-Zahl-oder-Zahlenbereich)

Das Laufwerk für die Benutzer einbinden, deren primäre Gruppe diese ID als Kennung hat. Sie können auch eine Cons-Zelle aus (Anfang . Ende) angeben für einen Bereich von Benutzergruppen-IDs, bei denen die Einbindung des Laufwerks vollzogen werden soll.

secondary-group (Typ: Vielleicht-Zeichenkette)

Für Mitglieder welcher Benutzergruppe das Laufwerk eingebunden werden soll, egal ob es deren primäre Gruppe oder eine sekundäre Gruppe ist.

file-system-type (Typ: Vielleicht-Zeichenkette)

Der Dateisystemtyp des Laufwerks, das eingebunden werden soll (z.B. cifs)

no-mount-as-root? (Typ: Vielleicht-Boolescher-Ausdruck)

Ob die Einbindung des Laufwerks mit Administratorberechtigung durchgeführt werden soll. Normalerweise ergibt diese Option keinen Sinn, aber bei Einbindungen vom Typ fuse oder anderen Einbindungen auf Benutzerebene können Sie sie benutzen.

server (Typ: Vielleicht-Zeichenkette)

Der Name des entfernten Servers, von dem das Laufwerk eingebunden wird, falls vorhanden.

file-name (Typ: Vielleicht-Zeichenkette)

Wo sich das Laufwerk befindet. Angegeben wird entweder eine lokale oder entfernte Stelle, je nachdem, was in file-system-type steht.

mount-point (Typ: Vielleicht-Zeichenkette)

An welche Stelle im lokalen Dateisystem das Laufwerk eingebunden werden soll. Hier können Sie ~ angeben als Abkürzung für das Persönliche Verzeichnis des Benutzers, der angemeldet wird. Wenn Sie das Feld weglassen, wird die Stelle, wohin eingebunden werden soll, in /etc/fstab gesucht.

options (Typ: Vielleicht-Zeichenkette)

Welche Optionen wörtlich genau so an das zugrundeliegende mount-Programm übergeben werden sollen.

ssh? (Typ: Vielleicht-Boolescher-Ausdruck)

Aktivieren Sie diese Option, um das Anmeldepasswort an SSH weiterzugeben, wenn die Einbindung über SSH erfolgt (etwa sshfs).

cipher (Typ: Vielleicht-Zeichenkette)

Cryptsetup-Cipher-Name für das Laufwerk. Sie können ihn zusammen mit dem Dateisystemtyp crypt in file-system-type benutzen.

file-system-key-cipher (Typ: Vielleicht-Zeichenkette)

Cipher-Name für das Ziellaufwerk.

file-system-key-hash (Typ: Vielleicht-Zeichenkette)

Welcher SSL-Hashname vom Ziellaufwerk benutzt werden soll.

file-system-key-file-name (Typ: Vielleicht-Zeichenkette)

Der Dateiname des Dateisystem-Schlüssels des Ziellaufwerks.


Nächste: Guix-Dienste, Vorige: Spieldienste, Nach oben: Dienste   [Inhalt][Index]