使用 LDAP：如何使用 SSH 登录，并使用 autofs 挂载 Samba 主目录？

Question 1

好吧，只要你使用 Linux 并且使用密码初始登录时进行身份验证，那么您可以使用 PAM 模块将密码存储在内核密钥环中，mount.cifs 可以从中获取密码。我不能 100% 确定 cifs-utils 目前是否附带该模块，但它确实有一个cifscredsCLI 工具可以执行相同的操作。

不过，我个人还是会设置 Kerberos 身份验证而不是 LDAP。（也就是说，让 LDAP 只做目录服务的工作。）总的来说，Kerberos 就像 LDAP：从外面看起来很复杂，但仔细观察就会发现它非常简单，除了 1980 年代的无数怪癖、边缘情况和奇怪的决定让它再次变得复杂。

它将比 SMB 特定的 PAM 黑客更加通用 - 相同的票证可用于访问 SMB、NFS、LDAP、HTTP、SSH……您甚至可以重用现有的 LDAP 服务器作为 KDC 数据库后端，免费获得复制，而无需处理 kprop。

请注意，使用 mount.cifs，两个都Kerberos 和 cifscreds 旨在用于使用该multiuser选项挂载共享时，这会为您提供类似 NFS 的行为 - 多个用户可以访问相同的 SMB 挂载，并且内核将自动为每个 uid 使用正确的 SMB 凭据。

至于 SSH 公钥认证，您可以自动执行的操作并不多 - 要么检索凭证文件并将其与一起使用cifscreds，要么检索凭证文件并将其与kinit...一起使用，我再次认为后者更加通用。

Answer

好吧，只要你使用 Linux 并且使用密码初始登录时进行身份验证，那么您可以使用 PAM 模块将密码存储在内核密钥环中，mount.cifs 可以从中获取密码。我不能 100% 确定 cifs-utils 目前是否附带该模块，但它确实有一个cifscredsCLI 工具可以执行相同的操作。

不过，我个人还是会设置 Kerberos 身份验证而不是 LDAP。（也就是说，让 LDAP 只做目录服务的工作。）总的来说，Kerberos 就像 LDAP：从外面看起来很复杂，但仔细观察就会发现它非常简单，除了 1980 年代的无数怪癖、边缘情况和奇怪的决定让它再次变得复杂。

它将比 SMB 特定的 PAM 黑客更加通用 - 相同的票证可用于访问 SMB、NFS、LDAP、HTTP、SSH……您甚至可以重用现有的 LDAP 服务器作为 KDC 数据库后端，免费获得复制，而无需处理 kprop。

请注意，使用 mount.cifs，两个都Kerberos 和 cifscreds 旨在用于使用该multiuser选项挂载共享时，这会为您提供类似 NFS 的行为 - 多个用户可以访问相同的 SMB 挂载，并且内核将自动为每个 uid 使用正确的 SMB 凭据。

至于 SSH 公钥认证，您可以自动执行的操作并不多 - 要么检索凭证文件并将其与一起使用cifscreds，要么检索凭证文件并将其与kinit...一起使用，我再次认为后者更加通用。

Question 2

虽然我认为@user1686 的答案是正确的，但我仍然想分享我找到的解决方法，并将使用它，直到我有时间转向 Kerberos 解决方案。

我在 NAS 上创建了一个用户，smbowner并为其分配了密码。我授予了smbownerNAS 管理员权限，这意味着它可以挂载 SMB 共享。
我在需要挂载 SMB 共享的机器上创建了一个 Samba 凭证文件。我将其放入其中/etc/samba/credentials/s-sy-00，它看起来像这样：

username=smbowner
password=whatever

请注意，凭证文件不包含域定义。

我将 LDAP 条目更改为以下内容：

cn=*,ou=auto.home,cn=automount,cn=etc,dc=home,dc=arpa
cn: *
objectClass: automount
objectClass: top
automountInformation: -fstype=cifs,vers=3.0,domain=HOME,rw,credentials=/etc/samba/credentials/s-sy-00,uid=&,gid=& ://s-sy-00.local/&

为了辩护，可以说这个解决方案是有效的，尽管我不确定它在比我的更恶劣的环境中有多安全。

它是如何工作的？smbowner具有足够的权限来安装 NAS 上的任何共享。uid=&和gid=&参数确保本地用户可以访问共享。稍后我将尝试设置 NAS 上共享的权限。

也许这会对其他人有所帮助。

史蒂夫

Answer