Roaming в домашних условиях

[Акаролибр]

англ. roaming от англ. roam — бродить, странствовать

У меня сломался компьютер. Ну, недолго думая, я пересел за соседний. Однако на соседнем нет ни моих любимых программ, ни сохранённых паролей в браузере Firefox к разным сайтам, ни данных с которыми я обычно работаю (ну, незнаю, например фоточек).
Компьютер ломается обычно в самый неподходящий момент, обычно за день до передачи отчётов и каких-нибудь финансовых оплат.

Ну мне и говорят: А ты сконфигурируй PAM, NSS, sssd, Kerberos, LDAP, DHCP, DNS, samba, скомпилируй свои программы в PREFIX как portable executable и настрой монтирование при логине/размонтирование при логофе.
Я хочу, хочу! Но прям даже не знаю как. Поможете?

[Bizdelnick]

Samba тут явно не в тему, NFS надо.
Только какой в этом смысл в домашних условиях? Сломается не рабочая станция, а сервер (с той же вероятностью, вряд ли Вы для него лучшее оборудование покупать будете или, тем паче, фейловер делать), и опять всё пропало.

[Акаролибр]

Рабочая станция ломается не аппаратно, а потому что я на ней работаю. То есть, я сам всё порчу своими руками. А сервер можно и зарезервировать. Тем более если он NAS, кто его будет трогать.

Но я понял посыл, надо задавать более конкретные вопросы.

Для начала меня интересует, каким образом display manager реализовывает процедуру логина и в какой момент происходит монтирование.
Читал GNOME Display Manager, Дисплейный менеджер X Window System там про это ничего не написано.

[Bizdelnick]

каким образом display manager реализовывает процедуру логина и в какой момент происходит монтирование

Через PAM. И PAM может дёрнуть модуль, который выполнит монтирование. См. https://wiki.archlinux.org/title/Pam_mount_(%D0%A0%D1%83%D1%81%D1%81%D0%BA%D0%B8%D0%B9)
Другой вариант — монтирование не по событию логина, а по факту обращения к каталогу: https://wiki.archlinux.org/title/Autofs_(%D0%A0%D1%83%D1%81%D1%81%D0%BA%D0%B8%D0%B9)

[Акаролибр]

PAM может дёрнуть модуль, который выполнит монтирование.

Верю. Однако меня смущает следующие фразы:
«PAM, on its own, cannot implement Kerberos»
«To fetch a service ticket for a particular application, and not prompt the user to enter credentials again, that application must be specifically coded to support Kerberos.»
со страницы
https://en.wikipedia.org/wiki/Pluggable_authentication_module

Я бы взял OpenPAM вместо Linux PAM, но в Gentoo его нет, а в каких дистрибутивах Linux есть - я не знаю...

Мне непонятно, что значит "specifically coded", при чём тут "on its own", и в целом огромное чувство неясности.

Рад, например, за монтирование, но какие uid и gid будут выбраны для пользователя?
На странице https://wiki.archlinux.org/title/pam_mount %(USERUID) передаётся уже имеющийся?

Код: Выделить всё

<!-- Example using CIFS -->
  <volume
      fstype="cifs"
      server="server.example.com"
      path="share_name"
      mountpoint="~/mnt/share_name"
      uid="10000-19999"
      options="sec=krb5i,vers=3.0,cruid=%(USERUID)"
  />

Если USERUID уже имеющийся, то как он образуется в системе?

«USERNAME should be replaced with your user name.»
Как я это заранее впишу в конфиг, если имя пользователя я должен ввести в Display Manager в качестве логина?

Как между собой связываются модули pam_mount (который монтирует) и pam_krb5 (который должен получить uid и gid)?

как взаимодействуют между собой Display Manager (gdm), (утилита?) system-login, и сервис systemd-user из состава systemd ?

[foma123]

Неправильно вам говорят ))
Сейчас любой браузер подтягивает логин-пароли. А на счет данных в системе, да можно было хомяка расшарить, но это так себе идея.

[Bizdelnick]

Как между собой связываются модули pam_mount (который монтирует) и pam_krb5 (который должен получить uid и gid)?

Никак. Они отвечают за совершенно разные вещи. Сначала происходит аутентификация пользователя, потом инициализация его сессии. См. man PAM.

Вообще я ни разу не использовал ни то, ни другое. Когда-то на курсах показывали, как настроить LDAP+NSS+AutoFS+NFS, без Kerberos. Но это было очень давно, когда ещё RHEL6 был актуален, так что помню я только общие принципы, а не конкретные настройки. Да и поменялось с тех пор многое.

[foma123]

У меня вот например 3 компьютера и ноутбук с Вин7.
Основной у меня на ext3, не спрашивайте почему, давно так )) (ext4 просто в то время не было), но во всех системах я делаю только ссылки на вот этот ext3, на доки, загрузки и раб стол. Логин-пароли у меня браузер подтягивает.

[Bizdelnick]

можно было хомяка расшарить, но это так себе идея.

Нормальная идея при условии, что использоваться он будет в один момент времени только с одной машины, и что на всех машинах идентичные версии софта.

Добавлено (03:18):

Хм, а может быть, самбу не так уж и зря советовали. Она же, вроде бы, файловые блокировки умеет…

[Акаролибр]

Сайт mankier мне понравился (никогда не видел его раньше), спасибо.

Без керберос я не хочу. Это же домашние условия, обязательно должны быть домашние животные.

на всех машинах идентичные версии софта

В стартовом топике про это было написано. Версии софта по задумке идентичные, потому что код приложений грузятся из одной общей сетевой шары пользователя на каждый компьютер куда он залогинится (и у каждого пользователя свои, поэтому пользователям не нужны права администратора для их установки, хотя, наверное, это вирусоопасно). Ну ладно, чтобы убрать вирусоопасность, пусть у пользователя будет два логина. Один с правами пользователя, другой с правами установки софта.

Сначала происходит аутентификация пользователя, потом инициализация его сессии.

Если монтирование происходит уже после инициализации сессии, то зачем передавать пользователя в pam_mount, разве он не может извлечь пользователя из сессии сам? Мне кажется, что там мало будет идентификатора пользователя, и ещё нужен будет тикет. И вроде бы как раз для этого sssd. Но это всё гипотезы.

Сейчас любой браузер подтягивает логин-пароли.

Лет пять назад я пробовал установить в локальной сети серверную часть файрфокса, чтобы пароли хранились у меня, а не в интернете, и тогда у меня не получилось. Не помню, почему. Если профиль файрфокса будет храниться на шаре, то мне этого будет достаточно. Проблема возникнет позже (например при подключении сотового или планшета через внешний интернет), а в локальной сети всё будет работать и так. Меня пока только локальный вариант интересует.

[foma123]

Если профиль файрфокса будет храниться на шаре

Тоже кстати идея, я в свое время делал так, норм работало. Ну у меня правда thundebird был, но сути не меняет.

[Акаролибр]

Неудивительно, ведь firefox хранит всё в sqlite, а там атомарные коммиты.

[Bizdelnick]

Версии софта по задумке идентичные, потому что код приложений грузятся из одной общей сетевой шары пользователя на каждый компьютер куда он залогинится

А не проще тогда полноценный толстый клиент сделать, с сетевой загрузкой?

[Акаролибр]

толстый клиент сделать, с сетевой загрузкой?

Толстый клиент по сети будет медленнее загружаться, чем с локального SSD.

Я хочу понять, как работать с аккаунтами, как гонять их собаками керберосом.
Если я сделаю толстый клиент и шару, я конечно получу возможность работать на другом компьютере, но не так изящно, как мне бы хотелось.

[Bizdelnick]

Толстый клиент по сети будет медленнее загружаться, чем с локального SSD.

Да не сильно. Если сеть 2,5 Гбит/с сделать, то вообще разницы не должно быть видно, если 1 Гбит/с — ну просядет немножко, но не думаю, что критично (всяко быстрее, чем с локального HDD, будет). Да и главное не скорость загрузки, которую Вы раз в день ждёте, а скорость работы, которая в любом случае по сети.

Я хочу понять, как работать с аккаунтами, как гонять их собаками керберосом.

А, тогда другое дело. Но тут особо помочь не могу, не настраивал.