Astra linux libpam mount

Astra Linux Special Edition 1.5 ⬝ Настройка Samba ресурсов

Создать каталоги на сервере, которые будут содержать разделяемые файловые ресурсы и установить желаемые права мандатного и дискреционного доступа, например:

sudo mkdir /srv/share1
sudo mkdir /srv/share1/zero
sudo mkdir /srv/share1/dsp
sudo mkdir /srv/share1/secret
sudo mkdir /srv/share1/topsecret

sudo pdpl-file 3:0:-1:ccnr /srv
sudo pdpl-file 3:0:-1:ccnr /srv/share1/
sudo pdpl-file 1:0:0 /srv/share1/dsp
sudo pdpl-file 2:0:0 /srv/share1/secret
sudo pdpl-file 3:0:0 /srv/share1/topsecret

Настройка Samba

[global] #Изменить имя группы workgroup = da.net map to guest = Bad User #Сделать видимым для netbios disable netbios = no [share1] available = yes comment = For all doc's browseable = yes case sensitive = yes ea support = yes fstype = Samba path = /share1 writable = yes smb encrypt = auto read only = no #Доступно всем guest ok = yes

Для отображения ресурса в разделе сеть файлового менеджера fly-fm под меткой не отличной от нуля через протокол NetBIOS , установить опцию «disable netbios = no»

После сохранения настроек перезапустить сервис Samba:

Подключение ресурса в сессии не отличной от нуля

Запустить менеджер файлов (fly-fm) и открыть раздел «Сеть«, в котором отобразятся ресурсы Samba при условии включенного NetBIOS и его видимости:

Если ресурс не виден для других и NetBIOS отключен, то его можно добавить самостоятельно, выбрав закладку «Сеть» или правым щелчком по разделу «Сеть»:

Для использования ресурсов Samba пользователь должен входить в группу fuse

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12

Монтирование разделяемых файловых ресурсов

Монтирование разделяемого файлового ресурса выполняется командой mount с указанием соответствующего типа сетевой ФС, например:

mount.cifs //сервер/ресурс /точка_монтирования [-o опции]
mount -t cifs //сервер/ресурс /точка_монтирования [-o опции]

В качестве опций команде могут передаваться параметры монтирования, такие как имя пользователя, используемый тип аутентификации, кодировка, использование прав доступа и т.п. Полный список опций приведен в руководстве man для команд mount и mount.cifs . Без соответствующей записи в /etc/fstab пользователь может использовать команды монтирования только с помощью sudo (точка монтирования ~/share1 должна быть создана заранее):

Для возможности монтирования разделяемого файлового ресурса пользователем в конфигурационный файл /etc/fstab:

    Должен быть установлен пакет cifs-utils:

При использовании с аутентификацией Kerberos в ЕПП в строке опций должен быть указан параметр аутентификации sec=krb5i . В этом случае при монтировании будет использоваться текущий кэш Kerberos пользователя.

Автоматическое монтирование ресурсов при входе пользователя с помощью pam_mount

Для автоматического монтирования разделяемых файловых ресурсов при входе пользователя используется pam модуль pam_mount, предоставляемый пакетом libpam-mount, который может быть установлен следующим образом:

Читайте также:  Лучший графический интерфейс linux

Настройка pam модуля осуществляется с помощью конфигурационного файла /etc/security/pam_mount.conf.xml.

Использование pam модуля указывается в соответствующих pam сценариях (common-auth, common-session) в каталоге /etc/pam.d.

Описание возможностей pam модуля pam_mount и формат его конфигурационного файла приведены в руководстве man для pam_mount и pam_mount.conf.

Для монтирования с помощью pam-mount разделяемых файловых ресурсов СЗФС CIFS , представляющих собой домашние каталоги пользователей, конфигурационный файл должен быть модифицирован следующим образом (в пределах тега pam_mount ):

     mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS) 

При использовании с аутентификацией Kerberos в ЕПП в строке опций монтирования должен быть указан параметр аутентификации sec=krb5i . В этом случае при монтировании будет использоваться текущий кэш Kerberos пользователя.

Так же в строке опций монтирования должен присутствовать параметр cruid=%(USERUID) , поскольку монтирование во время создания сессии выполняется от имени привилегированного пользователя.

Для точки монтирования mountpoint должен быть указан отдельный каталог, например: /media/ald_share

path="share" mountpoint="/media/ald_share" options="user=%(USER),rw,setuids,perm,soft,sec=krb5i,cruid=%(USERUID),iocharset=utf8" />

Тег logout определяет поведение в процессе размонтирования ФС. К этому времени все процессы должны освободить точку монтирования, в противном случае им посылаются соответствующие сигналы прерывания работы.

Тег mkmountpoint отвечает за автоматическое создание и удаление точки монтирования.

Тег cifsmount определяет команду, с помощью которой монтируется указанный тип ФС.

Тег volume объявляет непосредственно параметры монтирования разделяемого файлового ресурса. Пользователь должен существовать в БД учетных записей Samba и иметь соответствующий пароль.

Источник

Как подключить сетевой диск версия Орел 2.12

Доброго времени суток, подскажите пожалуйста как смонтировать сетевой диск ?
sudo mount -t cifs //xx.x.x.xx/XXX -o user=XXX,password=XXX
mount: can’t find //xx.x.x.xx/XXX in /etc/fstab
sudo mount /dev/sdb1 /mnt/mydrive
mount: mount point /mnt/mydrive does not exist
Что мне нужно сделать ?

usertuva

New member

Yngvi

New member

oko

New member

*в сторону*
Да когда ж народ начнет мануалы-то читать? Вид команды в вашем случае: mount -t (тип файловой системы) /(что монтировать) /(куда монтировать) -o (опции монтирования через запятую).
Все проблемы подобного характера легко гуглятся — не обязательно для них искать статью в wiki.astralinux.ru, потому что это — стандартные функции любой nix-системы (Fedora, CentOS, Debian, Ubuntu и проч.) А для Astra Linux Special Edition большинство подобных команд вообще в руководстве описано!

sudo mount -t cifs //xx.x.x.xx/XXX -o user=XXX,password=XXX
mount: can’t find //xx.x.x.xx/XXX in /etc/fstab

В первом случае у вас не задана точка монтирования («каталог», куда монтировать). Система думает, что вы это и так знаете, и ищет запись о точках монтирования в своих конфигурационных файлах — в частности, /etc/fstab (гугл в помощь, что это за файл). Не находит и, соответственно, ругается.

Во втором случае точка монтирования задана, но «каталог» не существует (его, очевидно, забыли создать). На что система явно и намекает.

clop1000

New member

*в сторону*
Да когда ж народ начнет мануалы-то читать? Вид команды в вашем случае: mount -t (тип файловой системы) /(что монтировать) /(куда монтировать) -o (опции монтирования через запятую).
Все проблемы подобного характера легко гуглятся — не обязательно для них искать статью в wiki.astralinux.ru, потому что это — стандартные функции любой nix-системы (Fedora, CentOS, Debian, Ubuntu и проч.) А для Astra Linux Special Edition большинство подобных команд вообще в руководстве описано!

Читайте также:  Mysql permission denied linux

В первом случае у вас не задана точка монтирования («каталог», куда монтировать). Система думает, что вы это и так знаете, и ищет запись о точках монтирования в своих конфигурационных файлах — в частности, /etc/fstab (гугл в помощь, что это за файл). Не находит и, соответственно, ругается.

Во втором случае точка монтирования задана, но «каталог» не существует (его, очевидно, забыли создать). На что система явно и намекает.

А есть решение автоматического монтирования Windows Shared Drives при подключении к расшаренному диску?

oko

New member

to clop1000
Модуль экстрасенсорики на грани перегрева.
Принцип простой (ну, для общего случая): нельзя получить доступ к файловой системе ресурса, если он предварительно не примонтирован к текущей файловой системе. Что, собственно, и выполняет команда mount с указанием источника (ресурса) и назначения (точки монтирования). В автоматическом режиме nix это выполняет (пытается выполнить при старте ОС или при указании mount с источником, но без точки монтирования), если оный ресурс и назначение прописаны в /etc/fstab.
В чем задача-то?

usertuva

New member

to clop1000
Модуль экстрасенсорики на грани перегрева.
Принцип простой (ну, для общего случая): нельзя получить доступ к файловой системе ресурса, если он предварительно не примонтирован к текущей файловой системе. Что, собственно, и выполняет команда mount с указанием источника (ресурса) и назначения (точки монтирования). В автоматическом режиме nix это выполняет (пытается выполнить при старте ОС или при указании mount с источником, но без точки монтирования), если оный ресурс и назначение прописаны в /etc/fstab.
В чем задача-то?

А как сделать так чтобы при входе определенного доменного пользователя монтировались ресурсы, определенные ТОЛЬКО для указанного пользователя? Для других пользователей соответственно было по другому.

oko

New member

to usertuva
Крайне размытый вопрос.
Если при консольном входе доменного юзера — imho, простейший вариант через bash-скрипт с повторным вводом пароля при первичном монтировании удаленной «шары».
Если при графическом входе, то два случая:
— без манипуляций на стороне ALCE/ALSE и от лица юзера — никак, если не использовать какие-то доп.системы управления конфигурациями (или опять-таки самопальные наборы сервисов и скриптов);
— первично зафиксировать удаленную «шару» под нужным доменным юзером (выполнив от него вход) через функцию «Создать сетевое место» (дал же бог фамилию, ага) в файловом менеджере Fly-fm. При следующих входах эта «шара» будет всегда отображаться в файловом менеджере (раздел «Сеть»).
При любом раскладе права доступа к удаленным «шарам» назначаются на стороне «владельца шары» (читай, Win-машины).

Читайте также:  Themes for kali linux

usertuva

New member

astraNik

New member

Да нормальный вопрос)) требуется сделать так же, как сейчас под win
Список сетевых дисков раздает контроллер домена, и для разных пользователей он разный
Интересно free ipa позволит это сделать?
По поводу «создать сетевое место» — про это место знает только fly-dm, а double commander например не знает

oko

New member

По поводу «создать сетевое место» — про это место знает только fly-dm, а double commander например не знает

Вот поэтому вопрос и размытый.
Итого, вам нужно, чтобы:
— ALCE/ALSE автоматически «понимала» конфигурации контроллера домена в части зарегистрированных сетевых шар;
— при входе в ALCE/ALSE в графическом режиме приведенные сетевые шары автоматически монтировались в какие-то точки, доступные пользователям, соблюдая права доступа пользователей к сетевым шарам;
— инфа о смонтированных сетевых шарах появлялась сразу в любом файловом менеджере.
Без диких костылей так не получится и freeIPA, насколько я знаю, такого не даст (во всяком случае, без тех же костылей).

pepix

New member

А как сделать так чтобы при входе определенного доменного пользователя монтировались ресурсы, определенные ТОЛЬКО для указанного пользователя? Для других пользователей соответственно было по другому.

Есть же модуль автомонтирования libpam-mount, при его установке появляется конф.файл pam_mount.conf.xml, в нем можно монтировать, например, ресурс только для определенной группы или пользователя (неважно доменные из AD или локальные линуксовые).

usertuva

New member

Есть же модуль автомонтирования libpam-mount, при его установке появляется конф.файл pam_mount.conf.xml, в нем можно монтировать, например, ресурс только для определенной группы или пользователя (неважно доменные из AD или локальные линуксовые).

Т.е. вы хотите сказать, что входя под любым пользователем, будут автоматом монтироваться только этому пользователю доступные ресурсы? Если так, то прошу вас более подробнее расписать этот момент. Я в линуксе новичок

pepix

New member

Т.е. вы хотите сказать, что входя под любым пользователем, будут автоматом монтироваться только этому пользователю доступные ресурсы? Если так, то прошу вас более подробнее расписать этот момент. Я в линуксе новичок

Установите пакеты samba, cifs-utils, libpam-mount: apt-get install samba cifs-utils libpam-mount
В директории /etc/security появится файл pam_mount.conf.xml

Значения в кавычках даны для примера, заменить на свои.
Здесь, user — имя пользователя для которого применяется монтирование, fstype — тип файловой системы монтируемого ресурса (в данном случае cifs используется при монтировании, например smb-ресурсов windows), server — имя или IP-адрес сервера, path — имя общего ресурса на данном сервере, moutpoint — путь к каталогу, куда монтируется ресурс в локальной системе, options — различные дополнительные опции (например, имя пользователя и пароль для авторизации на smb-сервере, если не указать будет попытка использовать «прозрачную» аутентификацию — использование логина/пароля текущего пользователя) и т.д. Синтаксис и примеры использования можно посмотреть по man pam_mount.conf

Источник

Оцените статью
Adblock
detector