Школьный сервер LDAP + Kerberos + NFS: различия между версиями
Dkirienko (обсуждение | вклад) |
Dkirienko (обсуждение | вклад) |
||
| Строка 1: | Строка 1: | ||
| Строка 44: | Строка 43: | ||
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root). | Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root). | ||
dnf install -y virtualbox-guest-additions | dnf install -y virtualbox-guest-additions | ||
Для отключения всех ждущих-спящих режимов на компьютере выполните команду.<syntaxhighlight lang="bash"> | |||
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target | |||
</syntaxhighlight> | |||
== Настройка доменных имён == | == Настройка доменных имён == | ||
Версия 17:06, 4 июля 2025
Это черновик статьи, он может содержать ошибки!
Функционал системы
Целью является создание школьного сервера со следующим функционалом:
- Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
- Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.
Предлагаемые технологии для этого:
- LDAP для хранения базы пользователей.
- Kerberos для хранения паролей и авторизации.
- SSSD для подключения к LDAP и Kerberos.
- NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.
Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:
- Роса "Фреш" 13, версия Server для сервера.
- Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.
Установка дистрибутивов и общие идеи конфигурации
Дистрибутивы Роса "Фреш" 13 можно скачать по ссылке. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).
Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.
На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя НЕ ДОЛЖЕН находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin
Также расположение домашнего каталога администратора системы можно задать при установке системы.
На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.
Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.
Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду.
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
Настройка доменных имён
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.
Мы предположим, что наша сеть имеет следующий вид.
Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.
Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local
Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local
Вы можете поднять DNS для разрешения имён [поможет ли в этом Avahi?]. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.
На сервере выполните команду
hostnamectl set-hostname server.sch179.local
На клиенте выполните аналогичную команду
hostnamectl set-hostname ws01.sch179.local
В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида
192.168.1.1 ws01.sch179.local ws01
Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя. На клиентском компьютере запишите в этот файл адрес и имя сервера.
192.168.0.1 server.sch179.local server
Установка и настройка OpenLDAP на сервере
Установка и запуск
Установите на сервере пакеты (команда от root).
dnf install -y openldap-servers openldap-clients
При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть ошибка, поэтому если вы видите такие ошибки при установке пакета, выполните команды.
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap
Включите и запустите службу LDAP (команда от root).
systemctl enable --now slapd
Проверьте, что LDAP запущен и отвечает на запросы (команда от root).
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn
Создание базы и записи администратора LDAP
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду
slappasswd
и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rXПри повторном запуске и вводе такого же пароля хеш будет другим, это нормально.
Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.
Теперь создадим базу LDAP и запись администратора LDAP.
Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rXДобавьте содержимое этого файла в базу LDAP.
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
Проверка созданной базы запросом.
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
Добавление схем
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
Для проверки введите команду:
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
Она должна вывести текст, в котором есть строки:
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=configСоздание базовой структуры организации
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.
Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179
dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people
dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups
dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP AdministratorДобавление в LDAP (не забудьте заменить sch179 на своё название):
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее. Для проверки введите команду (не забудьте заменить sch179 на своё название):
ldapsearch -x -b "dc=sch179,dc=local"
Создание групп пользователей
Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).
Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators
dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers
dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people
dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: StudentsДобавление:
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
Проверка:
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
Создание пользователей
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.
Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости.
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1
dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)
dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1
dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)Добавление:
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
Проверка:
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
Настройка Kerberos
Установка пакетов
dnf install -y krb5-server krb5-libs krb5-workstation
Настройка главного конфига Kerberos
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}
[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
Создание базы данных
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos, сохраните этот пароль.
kdb5_util create -s
Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.
Конфигурация базы данных Kerberos
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
*/admin@SCH179.LOCAL *Включение и запуск служб
Выполните команду.
systemctl enable --now krb5kdc
systemctl enable --now kadmin
Создание принципала kadmin/admin
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.
Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.
Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой
kadmin.local listprincs
Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать. Для создания этого принципала запустите kadmin.local и в его консоли введите команду.
addprinc kadmin/admin
Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.
Создание принципалов для пользователей
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.
Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,
addprinc teacher1
addprinc student1Для каждого принципала необходимо будет два раза ввести пароль.
Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1
Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789. Вывести список всех принципалов, хранящихся в Kerberos, можно командой.
kadmin.local -q list_principals
Интеграция LDAP и Kerberos через SSSD
Эти шаги нужно сделать и на сервере, и на клиенте.
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).
Установка пакетов
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
Конфигурация SSSD
Служба sssd получает информацию о пользователях и их паролях через ldap и kerberos.
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
[sssd]
domains = sch179.local
services = nss, pam
[domain/sch179.local]
id_provider = ldap
auth_provider = krb5
ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never
krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local
cache_credentials = true
enumerate = true
Установите на этот файл права.
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
Настройка NSS
Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
passwd: files sss
shadow: files sss
group: files sss
Настройка PAM
Измените файл /etc/pam.d/system-auth, добавив несколько строк.
Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.
Скорее всего у вас получится такой файл.
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so
account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077Сделайте такие же правки в файле /etc/pam.d/pasword-auth
Возможно, вы не хотите, чтобы пользователи входили в систему на сервере - вряд ли вы хотите давать пользователям такую возможность, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности использовать LDAP + Kerberos для авторизации. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. (проверить информацию).
Запуск служб
systemctl enable --now sssd
Проверка
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.
getent passwd teacher1
Получение билета Kerberos для пользователя. Выполните эту команду на клиенте. Нужно ввести пароль пользователя teacher1.
kinit dkПосле этого введите команду вывода информации о полученном тикете.
klist
Удалите полученный тикет командой
kdestroy
Попробуйте переключиться в пользователя.
su - teacher1
Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.
Настройка NFS на сервере
Установка пакетов
Установите нужные пакеты.
dnf install -y nfs-utils krb5-server krb5-workstation
Включение и запуск служб
Включите и запустите нужные службы.
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy
Настройка idmapd
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.
(нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd).
[General]
Domain = sch179.local
Создание ключей Kerberos
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.
От имени пользователя root нужно запустить на сервере команду
kadmin.local
В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit
Проверим, что ключи были созданы, для этого введите команду от root
klist -k /etc/krb5.keytab
Вывод будет таким.
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCALСозданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.
Экспорт /home на сервере
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)
krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).
Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p
Примените изменения командой
exportfs -ra
Проверьте, что система экспортируется, выполнив команду
exportfs -v
Настройка NFS на клиенте
Установка пакетов
Установите нужные пакеты.
dnf install nfs-utils krb5-workstation
Настройка idmapd
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. Отсутствие этой строки приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.
(нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd).
[General]
Domain = sch179.local
Копирование ключей Kerberos
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.
Проверьте наличие ключей в этом файле командой
klist -k /etc/krb5.keytab
Включение и запуск служб
Запустите нужные службы.
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy
Проверка монтирования файловой системы
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.
Выполняйте все последующие действия под пользователем root.
Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)
kinit teacher1
Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду
klist
Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home
Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.
Автомонтирование домашних каталогов при помощи autofs
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Настройка выполняется на клиенте.
Установим нужные пакеты.
sudo dnf install autofs
Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него
/home /etc/auto.home --timeout=60Создадим файл /etc/auto.home и запишем в него
* -sec=krb5p,rw server.sch179.local:/home/&Включим и запустим службу autofs
systemctl enable --now autofs
