- Astra Linux Special Edition 1.5 ⬝ Настройка Samba ресурсов
- Настройка Samba
- Подключение ресурса в сессии не отличной от нуля
- Монтирование разделяемых файловых ресурсов
- Автоматическое монтирование ресурсов при входе пользователя с помощью pam_mount
- mount Windows Share(smb, cifs) в Astra linux
- Astra Linux Special Edition 1.5 ⬝ Настройка Samba ресурсов
- Настройка Samba
- Подключение ресурса в сессии не отличной от нуля
- Монтирование разделяемых файловых ресурсов
- Автоматическое монтирование ресурсов при входе пользователя с помощью pam_mount
Astra Linux Special Edition 1.5 ⬝ Настройка Samba ресурсов
Создать каталоги на сервере, которые будут содержать разделяемые файловые ресурсы и установить желаемые права мандатного и дискреционного доступа, например:
sudo mkdir /srv/share1
sudo mkdir /srv/share1/zero
sudo mkdir /srv/share1/dsp
sudo mkdir /srv/share1/secret
sudo mkdir /srv/share1/topsecret
sudo pdpl-file 3:0:-1:ccnr /srv
sudo pdpl-file 3:0:-1:ccnr /srv/share1/
sudo pdpl-file 1:0:0 /srv/share1/dsp
sudo pdpl-file 2:0:0 /srv/share1/secret
sudo pdpl-file 3:0:0 /srv/share1/topsecret
Настройка Samba
[global] #Изменить имя группы workgroup = da.net map to guest = Bad User #Сделать видимым для netbios disable netbios = no [share1] available = yes comment = For all doc's browseable = yes case sensitive = yes ea support = yes fstype = Samba path = /share1 writable = yes smb encrypt = auto read only = no #Доступно всем guest ok = yes
Для отображения ресурса в разделе сеть файлового менеджера fly-fm под меткой не отличной от нуля через протокол NetBIOS , установить опцию «disable netbios = no»
После сохранения настроек перезапустить сервис Samba:
Подключение ресурса в сессии не отличной от нуля
Запустить менеджер файлов (fly-fm) и открыть раздел «Сеть«, в котором отобразятся ресурсы Samba при условии включенного NetBIOS и его видимости:
Если ресурс не виден для других и NetBIOS отключен, то его можно добавить самостоятельно, выбрав закладку «Сеть» или правым щелчком по разделу «Сеть»:
Для использования ресурсов Samba пользователь должен входить в группу fuse
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- Astra Linux Common Edition 2.12
Монтирование разделяемых файловых ресурсов
Монтирование разделяемого файлового ресурса выполняется командой mount с указанием соответствующего типа сетевой ФС, например:
mount.cifs //сервер/ресурс /точка_монтирования [-o опции]
mount -t cifs //сервер/ресурс /точка_монтирования [-o опции]
В качестве опций команде могут передаваться параметры монтирования, такие как имя пользователя, используемый тип аутентификации, кодировка, использование прав доступа и т.п. Полный список опций приведен в руководстве man для команд mount и mount.cifs . Без соответствующей записи в /etc/fstab пользователь может использовать команды монтирования только с помощью sudo (точка монтирования ~/share1 должна быть создана заранее):
Для возможности монтирования разделяемого файлового ресурса пользователем в конфигурационный файл /etc/fstab:
- Должен быть установлен пакет cifs-utils:
При использовании с аутентификацией Kerberos в ЕПП в строке опций должен быть указан параметр аутентификации sec=krb5i . В этом случае при монтировании будет использоваться текущий кэш Kerberos пользователя.
Автоматическое монтирование ресурсов при входе пользователя с помощью pam_mount
Для автоматического монтирования разделяемых файловых ресурсов при входе пользователя используется pam модуль pam_mount, предоставляемый пакетом libpam-mount, который может быть установлен следующим образом:
Настройка pam модуля осуществляется с помощью конфигурационного файла /etc/security/pam_mount.conf.xml.
Использование pam модуля указывается в соответствующих pam сценариях (common-auth, common-session) в каталоге /etc/pam.d.
Описание возможностей pam модуля pam_mount и формат его конфигурационного файла приведены в руководстве man для pam_mount и pam_mount.conf.
Для монтирования с помощью pam-mount разделяемых файловых ресурсов СЗФС CIFS , представляющих собой домашние каталоги пользователей, конфигурационный файл должен быть модифицирован следующим образом (в пределах тега pam_mount ):
mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)
При использовании с аутентификацией Kerberos в ЕПП в строке опций монтирования должен быть указан параметр аутентификации sec=krb5i . В этом случае при монтировании будет использоваться текущий кэш Kerberos пользователя.
Так же в строке опций монтирования должен присутствовать параметр cruid=%(USERUID) , поскольку монтирование во время создания сессии выполняется от имени привилегированного пользователя.
Для точки монтирования mountpoint должен быть указан отдельный каталог, например: /media/ald_share
path="share" mountpoint="/media/ald_share" options="user=%(USER),rw,setuids,perm,soft,sec=krb5i
,cruid=%(USERUID)
,iocharset=utf8" />
Тег logout определяет поведение в процессе размонтирования ФС. К этому времени все процессы должны освободить точку монтирования, в противном случае им посылаются соответствующие сигналы прерывания работы.
Тег mkmountpoint отвечает за автоматическое создание и удаление точки монтирования.
Тег cifsmount определяет команду, с помощью которой монтируется указанный тип ФС.
Тег volume объявляет непосредственно параметры монтирования разделяемого файлового ресурса. Пользователь должен существовать в БД учетных записей Samba и иметь соответствующий пароль.
mount Windows Share(smb, cifs) в Astra linux
Пример монтирования:
mount.cifs //10.10.0.1/share /mnt/fileshare -o username=tom,password=123
где:
//10.10.0.1/share — путь и имя сетевой шары
/mnt/fileshare — путь куда монтируем шару
-o username=tom,password=123 — опции монтирования, в данном случае указывается имя пользователя и пароль.
Полный набор опций можно посмотреть выполнив:
man mount.cifs
Наиболее часто используемые:
domain=factory.local — указание домена
vers=2.0 — указание версии протокола SMB
rw\ro — указание режим монтирования либо на чтение , либо на чтение и запись
Включение автомонтирования при загрузке
Для автомонтирования создадим systemd unit.
в каталоге /etc/systemd/system/ создадим файл mnt-fileshare.mount:
nano /etc/systemd/system/mnt-fileshare.mount
при этом имя данного юнита должно отражать путь до точки монтирования. Если мы хотим монтировать в /mnt/some/file имя модулю должно быть mnt-some-file.mount
Вставим в данный файл следующий текст:
[Unit]
Description=Cifs mount
Requires=network-online.target
After=network-online.service
[Mount]
What=//10.10.0.1/share
Where=/mnt/fileshare
Options=username=tom,password=123
Type=cifs
[Install]
WantedBy=multi-user.target
обновляем конфигурацию systemd
systemctl daemon-reload
выполняем монтирование:
systemctl start mnt-fileshare.mount
Проверяем:
ls /mnt/fileshare
должны увидеть содержимое диска.
Включаем монтирование при загрузке:
systemctl enable mnt-fileshare.mount
В данной инструкции имя пользователя и пароль передается в качестве опции в открытом виде, что не безопасно. Для cifs предусмотрена возможность вынести данные реквизиты в отдельный файл с ограниченным доступом.
пример:
создаем файл:
nano /root/.smbcred
заполняем файл реквизитами доступа:
username=tom
password=123
вносим изменения в systemd unit mnt-fileshare.mount :
[Unit]
Description=Cifs mount
Requires=network-online.target
After=network-online.service
[Mount]
What=//10.10.0.1/share
Where=/mnt/fileshare
Options=credentials=/root/.smbcred
Type=cifs
[Install]
WantedBy=multi-user.target
обновляем конфигцрацию systemd
systemctl daemon-reload
монтируем директорию:
systemctll start mnt-fileshare.mount
Astra Linux Special Edition 1.5 ⬝ Настройка Samba ресурсов
Создать каталоги на сервере, которые будут содержать разделяемые файловые ресурсы и установить желаемые права мандатного и дискреционного доступа, например:
sudo mkdir /srv/share1
sudo mkdir /srv/share1/zero
sudo mkdir /srv/share1/dsp
sudo mkdir /srv/share1/secret
sudo mkdir /srv/share1/topsecret
sudo pdpl-file 3:0:-1:ccnr /srv
sudo pdpl-file 3:0:-1:ccnr /srv/share1/
sudo pdpl-file 1:0:0 /srv/share1/dsp
sudo pdpl-file 2:0:0 /srv/share1/secret
sudo pdpl-file 3:0:0 /srv/share1/topsecret
Настройка Samba
[global] #Изменить имя группы workgroup = da.net map to guest = Bad User #Сделать видимым для netbios disable netbios = no [share1] available = yes comment = For all doc's browseable = yes case sensitive = yes ea support = yes fstype = Samba path = /share1 writable = yes smb encrypt = auto read only = no #Доступно всем guest ok = yes
Для отображения ресурса в разделе сеть файлового менеджера fly-fm под меткой не отличной от нуля через протокол NetBIOS , установить опцию «disable netbios = no»
После сохранения настроек перезапустить сервис Samba:
Подключение ресурса в сессии не отличной от нуля
Запустить менеджер файлов (fly-fm) и открыть раздел «Сеть«, в котором отобразятся ресурсы Samba при условии включенного NetBIOS и его видимости:
Если ресурс не виден для других и NetBIOS отключен, то его можно добавить самостоятельно, выбрав закладку «Сеть» или правым щелчком по разделу «Сеть»:
Для использования ресурсов Samba пользователь должен входить в группу fuse
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- Astra Linux Common Edition 2.12
Монтирование разделяемых файловых ресурсов
Монтирование разделяемого файлового ресурса выполняется командой mount с указанием соответствующего типа сетевой ФС, например:
mount.cifs //сервер/ресурс /точка_монтирования [-o опции]
mount -t cifs //сервер/ресурс /точка_монтирования [-o опции]
В качестве опций команде могут передаваться параметры монтирования, такие как имя пользователя, используемый тип аутентификации, кодировка, использование прав доступа и т.п. Полный список опций приведен в руководстве man для команд mount и mount.cifs . Без соответствующей записи в /etc/fstab пользователь может использовать команды монтирования только с помощью sudo (точка монтирования ~/share1 должна быть создана заранее):
Для возможности монтирования разделяемого файлового ресурса пользователем в конфигурационный файл /etc/fstab:
- Должен быть установлен пакет cifs-utils:
При использовании с аутентификацией Kerberos в ЕПП в строке опций должен быть указан параметр аутентификации sec=krb5i . В этом случае при монтировании будет использоваться текущий кэш Kerberos пользователя.
Автоматическое монтирование ресурсов при входе пользователя с помощью pam_mount
Для автоматического монтирования разделяемых файловых ресурсов при входе пользователя используется pam модуль pam_mount, предоставляемый пакетом libpam-mount, который может быть установлен следующим образом:
Настройка pam модуля осуществляется с помощью конфигурационного файла /etc/security/pam_mount.conf.xml.
Использование pam модуля указывается в соответствующих pam сценариях (common-auth, common-session) в каталоге /etc/pam.d.
Описание возможностей pam модуля pam_mount и формат его конфигурационного файла приведены в руководстве man для pam_mount и pam_mount.conf.
Для монтирования с помощью pam-mount разделяемых файловых ресурсов СЗФС CIFS , представляющих собой домашние каталоги пользователей, конфигурационный файл должен быть модифицирован следующим образом (в пределах тега pam_mount ):
mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)
При использовании с аутентификацией Kerberos в ЕПП в строке опций монтирования должен быть указан параметр аутентификации sec=krb5i . В этом случае при монтировании будет использоваться текущий кэш Kerberos пользователя.
Так же в строке опций монтирования должен присутствовать параметр cruid=%(USERUID) , поскольку монтирование во время создания сессии выполняется от имени привилегированного пользователя.
Для точки монтирования mountpoint должен быть указан отдельный каталог, например: /media/ald_share
path="share" mountpoint="/media/ald_share" options="user=%(USER),rw,setuids,perm,soft,sec=krb5i
,cruid=%(USERUID)
,iocharset=utf8" />
Тег logout определяет поведение в процессе размонтирования ФС. К этому времени все процессы должны освободить точку монтирования, в противном случае им посылаются соответствующие сигналы прерывания работы.
Тег mkmountpoint отвечает за автоматическое создание и удаление точки монтирования.
Тег cifsmount определяет команду, с помощью которой монтируется указанный тип ФС.
Тег volume объявляет непосредственно параметры монтирования разделяемого файлового ресурса. Пользователь должен существовать в БД учетных записей Samba и иметь соответствующий пароль.