ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* Re: [Sysadmins] как организовать автоматически подключаемую папку пользователя домена
  @ 2021-07-25 21:03 ` Evgeny Sinelnikov
  2021-07-26  6:09   ` Vladimir Karpinsky
  2021-08-15 15:46   ` [Sysadmins] Политика управления ярлычками в Samba AD Evgeny Sinelnikov
  2021-07-26  5:33 ` [Sysadmins] как организовать автоматически подключаемую папку пользователя домена Andrey Cherepanov
  1 sibling, 2 replies; 5+ messages in thread
From: Evgeny Sinelnikov @ 2021-07-25 21:03 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion; +Cc: Saratov BaseALT department

Доброй ночи,

мы работаем над этой задачей. Давайте разберемся с целями содержательно.

1) Не уверен, что задачи состоит именно в монтировании. Если
пользователям достаточно просмотра и работы с файлами через
графический файловый менеджер, то достаточно создать ярлык ссылающийся
на общий сетевой каталог в формате smb://ИМЯ_СЕРВЕРА/ИМЯ_ШАРЫ

Для автомонтирования целесообразно использовать такой инструмент, как
automount. Но об этом позже, в другой раз, когда будем рассматривать
такую задачу.

2) Для доступа к сетевой каталогу, "в который имеет доступ только
пользователя домена, и больше никто" целесообразней всего использовать
так называемый домашний каталог на файловом сервере. Для этого в
/etc/samba/smb.conf существует специальная секция - [homes]:

$ grep -A5 homes /etc/samba/smb.conf
[homes]
comment = Home Directories
browseable = no
writable = yes
; valid users = %S
; valid users = MYDOMAIN\%S

___________________
Пояснение (можно пропустить, для начала).
---------------------------------

Стоит учесть, что на текущий момент существует некоторая разница между
тем является ли файловый сервер контроллером домена или нет. В целом
ряде случае очень важно, чтобы uid'ы и gid'ы, на которые отображаются
sid'ы из Active Directory совпадали на клиенте и на сервере. Прежде
всего это важно для того, чтобы при монтировании с unix-расширениями
протокола CIFS это отображение соответствующим образом отображалось на
идентификаторы пользователей и групп получаемые на клиенте. Хотя тут
стоит учесть, что в реализации протокола cifs в ядре постепенно
оказался выпилен старый протколол SMB1 и не завершёна реализация unix
расширений в протоколе:
- https://wiki.samba.org/index.php/UNIX_Extensions
- https://wiki.samba.org/index.php/LinuxCIFSKernel

В общем, в идеале, для файлового сервера не стоит сейчас использовать
тот же сервер, что и контроллер домена. Если же его использовать, то
для аутентификации на сервере нужно вместо sssd включать winbind. При
этом сам сервер, через kerberos, как служба и так отображает uid'ы и
gid'ы на sid'ы через winbind.

Эта задача возникает при локальной работе пользователей на этом
сервере. Ну, странно, наверное, логиниться на контроллер домена из-под
локального пользователя. Тем не менее, это достаточно частый вариант
работы на контроллере домена.
___________________

3) Задача создания ярлыков в AD решается с помощью соответствующей политики:
https://www.altlinux.org/Групповые_политики/Управление_ярлыками

Пример настройки, для которой требуется доработка:
https://drive.google.com/uc?export=view&id=1eeBu49ju9Le1XeIrrtWFrZxBgSjvj6fk

О доработке.

На текущий момент не весь перечень подстановок реализован, в частности
%LogonUser% (см. снимок экрана выше). Поэтому "подсунуть" в каждый
ярлык имя пользователя просто так не получится. Думаю, что мы выпустим
в ближайшее время необходимое исправление.

Без этой доработки придётся сделать так, как это предложено на wiki
проекта samba для Windows пользователей - создать отдельную шару users
на тот же каталог с домашними каталогами:
https://wiki.samba.org/index.php/Windows_User_Home_Folders

В этом случае, возможно, придётся "повозиться" с правами на файлы.

Подключение домашнего каталога на шаре для Linux-пользователей из
свойств профиля, как это показано для Windows-пользователей у нас пока
не предусмотрено.

4) Ещё пара моментов:
- для данного решения также необходимо существование каталога
пользователя на сервере. Если на файловый сервер пользователь не может
залогинится, то у него не будет и домашнего каталога.

С одной стороны это неудобно, с другой - позволяет контролировать у
кого есть домашний каталог, а у кого - нет и быть не должно. Для того
чтобы создавать каталоги всем подряд в рассылке samba рассматривался
вариант использования опции preexec:
https://lists.samba.org/archive/samba/2005-June/106958.html

_____________________________________________


Если строго следовать логике поставленной задачи, то предложенный мной
вариант мне кажется наиболее оптимальным. Особенно, если предусмотреть
необходимую доработку.

Если задача мной понята не в полной мере или имеются дополнительные
уточнения в рамках требований, то давайте рассмотрим их подробнее.



вс, 25 июл. 2021 г. в 20:14, Александр Клепалов <a.klepalov@school100nt.ru>:
>
> Добрый день!
>
> Коллеги, прошу помощи в решении задачи организации автоматически подключаемой папки пользователя домена.
> Подробно: на файловом сервере, для каждого пользователя домена создается папка, в которую имеет доступ только он, и больше никто. (это понятно решается правами)
> Когда юзер логинится под собой на любой машине в домене,ему автоматически должна подключаться эта папка, и создаваться ярлык на неё. Без каких либо действий с его  стороны.
> Есть конечно fstab, есть gio (кстати очень похоже на то что требуется, но это нужно делать пользователю руками - а у меня пользователи учителя возрастом 50+ со всеми вытекающими...) но они подразумевают ручные действия по добавлению папки на каждой машине под каждым пользователем (машин где нужно  автомонтирование больше 60, пользователей больше 100....)
> Вобщем хочется что-то типа виндовых удаленных папок документов...
> Как можно автоматизировать процесс монтирования папки пользователя в Альт?
> --
> С уважением,
> Клепалов Александр Владимирович,
> Инженер-электроник МАОУ СОШ №100
> г. Нижний Тагил.
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins



-- 
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Sysadmins] как организовать автоматически подключаемую папку пользователя домена
    2021-07-25 21:03 ` [Sysadmins] как организовать автоматически подключаемую папку пользователя домена Evgeny Sinelnikov
@ 2021-07-26  5:33 ` Andrey Cherepanov
  1 sibling, 0 replies; 5+ messages in thread
From: Andrey Cherepanov @ 2021-07-26  5:33 UTC (permalink / raw)
  To: sysadmins

25.07.2021 19:14, Александр Клепалов пишет:
> Добрый день!
> Коллеги, прошу помощи в решении задачи организации автоматически 
> подключаемой папки пользователя домена.
> Подробно: на файловом сервере, для каждого пользователя домена 
> создается папка, в которую имеет доступ только он, и больше никто. 
> (это понятно решается правами)
> Когда юзер логинится под собой на любой машине в домене,ему 
> автоматически должна подключаться эта папка, и создаваться ярлык на 
> неё. Без каких либо действий с его  стороны.
> Есть конечно fstab, есть gio (кстати очень похоже на то что требуется, 
> но это нужно делать пользователю руками - а у меня пользователи 
> учителя возрастом 50+ со всеми вытекающими...) но они подразумевают 
> ручные действия по добавлению папки на каждой машине под каждым 
> пользователем (машин где нужно  автомонтирование больше 60, 
> пользователей больше 100....)
> Вобщем хочется что-то типа виндовых удаленных папок документов...
> Как можно автоматизировать процесс монтирования папки пользователя в Альт?
https://www.altlinux.org/ActiveDirectory/Login#Подключение_файловых_ресурсов

https://www.altlinux.org/Gvfs-shares

-- 
Andrey Cherepanov
cas@altlinux.org



^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Sysadmins] как организовать автоматически подключаемую папку пользователя домена
  2021-07-25 21:03 ` [Sysadmins] как организовать автоматически подключаемую папку пользователя домена Evgeny Sinelnikov
@ 2021-07-26  6:09   ` Vladimir Karpinsky
    2021-08-15 15:46   ` [Sysadmins] Политика управления ярлычками в Samba AD Evgeny Sinelnikov
  1 sibling, 1 reply; 5+ messages in thread
From: Vladimir Karpinsky @ 2021-07-26  6:09 UTC (permalink / raw)
  To: sysadmins

Добрый день!

С какого момента (номера ядра, версии Самбы и пр.) протокол SMB1 выключен? По 
некоторым причинам мы не можем отказаться от WindowsXP, а там с SMB2 сложно. 
Буду очень признателен за разъяснения.

26.07.2021 0:03, Evgeny Sinelnikov пишет:
>   Хотя тут
> стоит учесть, что в реализации протокола cifs в ядре постепенно
> оказался выпилен старый протколол SMB1 и не завершёна реализация unix
> расширений в протоколе

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Sysadmins] как организовать автоматически подключаемую папку пользователя домена
  @ 2021-07-26 17:25       ` Vladimir Karpinsky
  0 siblings, 0 replies; 5+ messages in thread
From: Vladimir Karpinsky @ 2021-07-26 17:25 UTC (permalink / raw)
  To: sysadmins

Добрый день!

Здесь написано пока только о намерениях: "As Microsoft no longer installs SMB1 support in recent releases or uninstalls 
it after 30 days without usage, the Samba Team tries to get remove the SMB1 usage as much as possible." Т.е. в какой 
версии это будет сделано пока не известно. Хотелось бы понять с какого момента надо заморозить обновление Самбы..

26.07.2021 10:30, Andrey Cherepanov пишет:
> 26.07.2021 09:09, Vladimir Karpinsky пишет:
>> Добрый день!
>>
>> С какого момента (номера ядра, версии Самбы и пр.) протокол SMB1 выключен? По некоторым причинам мы не можем 
>> отказаться от WindowsXP, а там с SMB2 сложно. Буду очень признателен за разъяснения.
>>
>> 26.07.2021 0:03, Evgeny Sinelnikov пишет:
>>>   Хотя тут
>>> стоит учесть, что в реализации протокола cifs в ядре постепенно
>>> оказался выпилен старый протколол SMB1 и не завершёна реализация unix
>>> расширений в протоколе
>>
> https://wiki.samba.org/index.php/Samba_4.11_Features_added/changed#SMB1_is_disabled_by_default
> 
> 
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
> 

-- 
	С уважением,
		Владимир.


^ permalink raw reply	[flat|nested] 5+ messages in thread

* [Sysadmins] Политика управления ярлычками в Samba AD
  2021-07-25 21:03 ` [Sysadmins] как организовать автоматически подключаемую папку пользователя домена Evgeny Sinelnikov
  2021-07-26  6:09   ` Vladimir Karpinsky
@ 2021-08-15 15:46   ` Evgeny Sinelnikov
  1 sibling, 0 replies; 5+ messages in thread
From: Evgeny Sinelnikov @ 2021-08-15 15:46 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion
  Cc: Константин
	Палачев,
	Elena Mishina,
	Александр
	Клепалов,
	Saratov BaseALT department

Добрый день,

в продолжении обсуждения задачи "организация автоматически
подключаемой папки пользователя домена" хочу дать дополнительные
пояснения и сообщить новости по отношению к предыдущему обсуждению:
https://lists.altlinux.org/pipermail/sysadmins/2021-July/038358.html

Кратко. Если для решения задачи подключения сетевых каталогов не
требуется явное монтирование через cifs, а достаточно доступа по
UNC-путям (в linux по протоколу smb:// доступно в любом, практически,
файловом менеджере), то достаточно раскидать каждому пользователю свой
ярлычок со ссылкой на сетевой каталог в формате:
  smb://ИМЯ_СЕРВЕРА/ИМЯ_ШАРЫ/ПУТЬ_ШАРЕ.

Строго говоря, управление ярлычками называется не политикой, а
предпочтением (или Настройкой в русском переводе утилиты
редактирования шаблона групповой политики в RSAT), поскольку,
по-первых, такие изменения в конфигурации невозможно откатить (они как
татуировки - несмываемые), а во-вторых - потому что такие изменения
невозможно запретить изменять. Ну, можно как-то на уровне файлового
доступа что-то накрутить, конечно. Но не для всех задач это подходит.

Итого, в качестве решения для раскидывания каждому пользователю
"своего" ярлычка с именем пользователя в качестве имени шары
(домашнего каталога на файловом сервере samba), я предлагал
использовать групповые политики в ALT (пакет alterator-gpupdate для
поддержки на клиентах) со ссылкой для ярлычок в формате (см.
https://drive.google.com/uc?export=view&id=1eeBu49ju9Le1XeIrrtWFrZxBgSjvj6fk):
  smb://SAMBA_SERVER/%LogonUser%

Данное решение в тот момент требовало доработки нашего инструмента
применения групповых политик. Хочу сообщить, что необходимая доработка
была успешно внесена в релизе gpupdate-0.9.2, пересобрана и включена в
бранч p9:
- https://github.com/altlinux/gpupdate/releases/tag/0.9.2-alt1
- http://git.altlinux.org/gears/g/gpupdate.git

Детали по поводу управления ярлыками через групповые политики можно
уточнить у нас на wiki:
https://www.altlinux.org/Групповые_политики/Управление_ярлыками

В качестве примера нас на wiki приводится пример машинной политики для
создания ярлыка:
{GUID GPT}/Machine/Preferences/Shortcuts/Shortcuts.xml

Приведу другой похожий пример, которым можно воспользоваться даже не
разворачивая RSAT под Windows, чтобы попробовать:

<?xml version="1.0" encoding="utf-8"?>
                                            <Shortcuts
clsid="{872ECB34-B2EC-401b-A585-D32574AA90EE}">
  <Shortcut clsid="{4F2F7C55-2790-433e-8127-0739D1CFA327}"
                 userContext="1"
                 name="Точка SSH"
                 status="Точка SSH"
                 image="1"
                 changed="2021-08-03 16:35:50"
                 uid="{033064C7-140C-4371-9709-2089D718A196}">
    <Properties pidl=""
                      targetType="FILESYSTEM"
                      action="R"
                      comment=""
                      shortcutKey="0"
                      startIn=""
                      arguments=""
                      iconIndex="0"
                      targetPath="%HOME%/.ssh"
                      iconPath="ssh"
                      window=""
                      shortcutPath="%DesktopDir%\Точка SSH"/>
  </Shortcut>
</Shortcuts>

В новом релизе была внесена доработка, позволяющая раскрывать
подстановки не только для файла самого ярлыка (shortcutPath), но и для
пути, на который он ссылается (targetPath).

Таким образом, для рассматриваемой задачи следует создать
пользовательскую политику:
{GPT}/User/Preferences/Shortcuts/Shortcuts.xml
где следует указать
shortcutPath="%DesktopDir%\Документы на сервере"
и targetPath="smb://server.my.domain/%LogonUser%"
при этом на samba сервере должна быть включена шара [homes], а
пользователь должен, например, хотя бы раз залогинится, чтобы у него
существовал домашний каталог на samba-сервере. Можно этот каталог
создать вручную админом, задав ему владельца и группу.

Создаём объект групповой политики.

# kinit DOMAIN_ADMIN
# samba-tool gpo create "Home shares on server policy" -k yes
Using temporary directory /tmp/.private/root/tmpjreop66v (use --tmpdir
to change)
Password for [administrator@DOMAIN.ALT]:
GPO 'Home shares on server policy' created as
{06975BC5-8858-44B0-934C-10D550877476}

Проверяем, создался ли к нему каталог с шаблоном групповой политики (GPT):

# ls -t /var/lib/samba/sysvol/*/Policies | head -1
{06975BC5-8858-44B0-934C-10D550877476}

Важно помнить про то, что расширенные права на файлы в каталоге GPT
имеют существенное значение для целостности инфраструктуры. Как
минимум для того, чтобы компьютеры могли получить доступ к
соответствующим файлам в сетевом каталоге SysVol.

# getfacl /var/lib/samba/sysvol/*/Policies/{06975BC5-8858-44B0-934C-10D550877476}
getfacl: Removing leading '/' from absolute path names
# file: var/lib/samba/sysvol/domain.alt/Policies/{06975BC5-8858-44B0-934C-10D550877476}
# owner: DOMAIN\\domain\040admins
# group: DOMAIN\\domain\040admins
user::rwx
user:NT\040AUTHORITY\\system:rwx
user:NT\040AUTHORITY\\authenticated\040users:r-x
user:DOMAIN\\enterprise\040admins:rwx
user:NT\040AUTHORITY\\enterprise\040domain\040controllers:r-x
group::rwx
group:NT\040AUTHORITY\\system:rwx
group:NT\040AUTHORITY\\authenticated\040users:r-x
group:DOMAIN\\domain\040admins:rwx
group:DOMAIN\\enterprise\040admins:rwx
group:NT\040AUTHORITY\\enterprise\040domain\040controllers:r-x
mask::rwx
other::---
default:user::rwx
default:user:NT\040AUTHORITY\\system:rwx
default:user:NT\040AUTHORITY\\authenticated\040users:r-x
default:user:DOMAIN\\domain\040admins:rwx
default:user:DOMAIN\\enterprise\040admins:rwx
default:user:NT\040AUTHORITY\\enterprise\040domain\040controllers:r-x
default:group::---
default:group:NT\040AUTHORITY\\system:rwx
default:group:NT\040AUTHORITY\\authenticated\040users:r-x
default:group:DOMAIN\\domain\040admins:rwx
default:group:DOMAIN\\enterprise\040admins:rwx
default:group:NT\040AUTHORITY\\enterprise\040domain\040controllers:r-x
default:mask::rwx
default:other::---

# smbcacls //dc0/sysvol
domain.alt/Policies/{06975BC5-8858-44B0-934C-10D550877476} -k yes
REVISION:1
CONTROL:SR|PD|DP
OWNER:DOMAIN\Domain Admins
GROUP:DOMAIN\Domain Admins
ACL:DOMAIN\Domain Admins:ALLOWED/OI|CI/FULL
ACL:DOMAIN\Enterprise Admins:ALLOWED/OI|CI/FULL
ACL:CREATOR OWNER:ALLOWED/OI|CI|IO/FULL
ACL:DOMAIN\Domain Admins:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\SYSTEM:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\Authenticated Users:ALLOWED/OI|CI/READ
ACL:NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS:ALLOWED/OI|CI/READ

Создаём каталог с политикой для ярлычков:

# mkdir -p /var/lib/samba/sysvol/domain.alt/Policies/{06975BC5-8858-44B0-934C-10D550877476}/User/Preferences/Shortcuts

Создаём файл с предпочтением:

# cat >/var/lib/samba/sysvol/domain.alt/Policies/\{06975BC5-8858-44B0-934C-10D550877476\}/User/Preferences/Shortcuts/Shortcuts.xml
<?xml version="1.0" encoding="utf-8"?>
<Shortcuts clsid="{872ECB34-B2EC-401b-A585-D32574AA90EE}">
 <Shortcut clsid="{4F2F7C55-2790-433e-8127-0739D1CFA327}"
           userContext="1"
           name="Домашний на сервере"
           status="Домашний на сервере"
           image="1"
           changed="2021-08-15 18:00:00"
           uid="{033064C7-140C-4371-9709-2089D718A196}">
   <Properties pidl=""
               targetType="FILESYSTEM"
               action="R"
               comment=""
               shortcutKey="0"
               startIn=""
               arguments=""
               iconIndex="0"
               targetPath="smb://SERVER/%LogonUser%"
               iconPath="ssh"
               window=""
               shortcutPath="%DesktopDir%\Домашний на сервере"/>
 </Shortcut>
</Shortcuts>

Назначаем политику одному из подразделений

# samba-tool ou list
OU=desktop
OU=orgTest
OU=gsettings
OU=Deny Login
OU=Allow Login
OU=Win Department
OU=Allow/Deny Login
OU=Domain Controllers

# samba-tool gpo setlink OU=gsettings,DC=domain,DC=alt
{06975BC5-8858-44B0-934C-10D550877476} -k yes
Added/Updated GPO link
GPO(s) linked to DN OU=gsettings,DC=domain,DC=alt
   GPO     : {06975BC5-8858-44B0-934C-10D550877476}
   Name    : Home shares on server policy
   Options : NONE

В некоторых ситуациях может потребоваться проверить и сбросить права на файлы:

# getfacl /var/lib/samba/sysvol/*/Policies/{06975BC5-8858-44B0-934C-10D550877476}/User/Preferences/Shortcuts/Shortcuts.xml

# smbcacls //dc0/sysvol
domain.alt/Policies/{06975BC5-8858-44B0-934C-10D550877476}/User/Preferences/Shortcuts/Shortcuts.xml
-k yes

# samba-tool ntacl sysvolreset

Мне не потребовалось, но видно, что права урезаны:

# smbcacls //dc0/sysvol
domain.alt/Policies/{06975BC5-8858-44B0-934C-10D550877476}/User/Preferences/Shortcuts/Shortcuts.xml
-k yes
REVISION:1
CONTROL:SR|DP
OWNER:DOMAIN\Administrator
GROUP:S-1-22-2-0
ACL:DOMAIN\Administrator:ALLOWED/0x0/RWDPO
ACL:S-1-22-2-0:ALLOWED/0x0/
ACL:NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS:ALLOWED/0x0/R
ACL:DOMAIN\Enterprise Admins:ALLOWED/0x0/RWDPO
ACL:DOMAIN\Domain Admins:ALLOWED/0x0/RWDPO
ACL:NT AUTHORITY\Authenticated Users:ALLOWED/0x0/R
ACL:NT AUTHORITY\SYSTEM:ALLOWED/0x0/RWDPO
ACL:NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS:ALLOWED/0x0/R
ACL:DOMAIN\Enterprise Admins:ALLOWED/0x0/RWDPO
ACL:DOMAIN\Domain Admins:ALLOWED/0x0/RWDPO
ACL:NT AUTHORITY\Authenticated Users:ALLOWED/0x0/R
ACL:NT AUTHORITY\SYSTEM:ALLOWED/0x0/RWDPO
ACL:Everyone:ALLOWED/0x0/

# getfacl /var/lib/samba/sysvol/*/Policies/{06975BC5-8858-44B0-934C-10D550877476}/User/Preferences/Shortcuts/Shortcuts.xml
getfacl: Removing leading '/' from absolute path names
# file: var/lib/samba/sysvol/domain.alt/Policies/{06975BC5-8858-44B0-934C-10D550877476}/User/Preferences/Shortcuts/Shortcuts.xml
# owner: root
# group: root
user::rw-
user:NT\040AUTHORITY\\system:rwx        #effective:rw-
user:NT\040AUTHORITY\\authenticated\040users:r-x        #effective:r--
user:DOMAIN\\domain\040admins:rwx       #effective:rw-
user:DOMAIN\\enterprise\040admins:rwx   #effective:rw-
user:NT\040AUTHORITY\\enterprise\040domain\040controllers:r-x   #effective:r--
group::---
group:NT\040AUTHORITY\\system:rwx       #effective:rw-
group:NT\040AUTHORITY\\authenticated\040users:r-x       #effective:r--
group:DOMAIN\\domain\040admins:rwx      #effective:rw-
group:DOMAIN\\enterprise\040admins:rwx  #effective:rw-
group:NT\040AUTHORITY\\enterprise\040domain\040controllers:r-x  #effective:r--
mask::rw-
other::---

Все эти штуки с правами обычно никто не проверяет, потому что не очень
понимает, а какими они должны быть.
_______________________________

Всё готово, проверяем на клиенте.

Заходим в клиента с выключенными политиками:

clw0 ~ # ssh suser@localhost
suser@localhost's password:
Last login: Sun Aug 15 17:55:46 2021 from 127.0.0.1
suser@clw0 ~ $ выход
Connection to localhost closed.

Домашний каталог условно пуст:

clw0 ~ # ls /home/DOMAIN.ALT/suser/

Применение групповых политик было отключено:

clw0 ~ # gpupdate-setup
disabled

Включение применения групповых политик (для включения через alterator
доступен соответствующий графический модуль управления, а также
"галочка" во время введения машины в домен):

clw0 ~ # gpupdate-setup enable
workstation
clw0 ~ # control system-policy
gpupdate

Логинимся через ssh, видим уведомление о применении групповых политик.

clw0 ~ # ssh suser@localhost
suser@localhost's password:
Apply group policies for suser.
Last login: Sun Aug 15 17:56:55 2021 from 127.0.0.1

Проверяем наличие и содержание ярлычка.

suser@clw0 ~ $ ls Desktop/Домашний\ на\ сервере.desktop -l
-rwxr--r-- 1 suser domain users 137 авг 15 17:58 'Desktop/Домашний на
сервере.desktop'
suser@clw0 ~ $ cat Desktop/Домашний\ на\ сервере.desktop
[Desktop Entry]
Type=Application
Version=1.0
Name=Домашний на сервере
Terminal=false
Exec=smb://SERVER/suser
Icon=ssh

_________________________________

PS: следует учесть, что полная поддержка (в режиме создать, удалить,
обновить, и заменить) для ярлыков запланирована только на следующий
ближайший релиз. Пока ярлыки только пересоздаются.

PPS: Думаю, что это всё стоит дополнить и перенести на вики и в документацию.

PPPS: Локальная проверка на клиенте доступа на в сервер:

clw0 ~ # ssh suser@localhost
suser@localhost's password:
Apply group policies for suser.
Last login: Sun Aug 15 18:30:23 2021 from 127.0.0.1
suser@clw0 ~ $ kinit
Password for suser@DOMAIN.ALT:
Warning: Your password will expire in 365 days on Вт 16 авг 2022 17:50:24

suser@clw0 ~ $ smbclient -k -L //dc0.domain.alt

       Sharename       Type      Comment
       ---------       ----      -------
       netlogon        Disk
       sysvol          Disk
       IPC$            IPC       IPC Service (Samba 4.14.5)
       suser           Disk      Home directory of DOMAIN\suser
SMB1 disabled -- no workgroup available

suser@clw0 ~ $ gio list smb://dc0.domain.alt/suser
gio: smb://dc0.domain.alt/suser/: Указанный адрес не подключён
suser@clw0 ~ $ gio mount smb://dc0.domain.alt/suser
suser@clw0 ~ $ gio list smb://dc0.domain.alt/suser
suser@clw0 ~ $ gio mkdir smb://dc0.domain.alt/suser/data
suser@clw0 ~ $ gio list smb://dc0.domain.alt/suser
data

Почему этот mount - не настоящий cifs mount:

suser@clw0 ~ $ mount | grep gvfs
gvfsd-fuse on /run/user/549401134/gvfs type fuse.gvfsd-fuse
(rw,nosuid,nodev,relatime,user_id=549401134,group_id=549400513)
suser@clw0 ~ $ mountpoint /run/user/549401134/gvfs
/run/user/549401134/gvfs is a mountpoint
suser@clw0 ~ $ ls /run/user/549401134/gvfs
'smb-share:server=dc0.domain.alt,share=suser'
suser@clw0 ~ $ ls
/run/user/549401134/gvfs/smb-share:server=dc0.domain.alt,share=suser
data

suser@clw0 ~ $ rpm -qa|grep gvfs|grep smb
gvfs-backend-smb-1.48.1-alt1.x86_64
suser@clw0 ~ $ rpm -ql gvfs-backend-smb
/usr/libexec/gvfs/gvfsd-smb
/usr/libexec/gvfs/gvfsd-smb-browse
/usr/share/GConf/gsettings/gvfs-smb.convert
/usr/share/glib-2.0/schemas/org.gnome.system.smb.gschema.xml
/usr/share/gvfs/mounts/smb-browse.mount
/usr/share/gvfs/mounts/smb.mount
suser@clw0 ~ $ ldd /usr/libexec/gvfs/gvfsd-smb | grep libsmbclient
       libsmbclient.so.0 => /usr/lib64/libsmbclient.so.0 (0x00007f64fd3fb000)

-- 
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 5+ messages in thread

end of thread, other threads:[~2021-08-15 15:46 UTC | newest]

Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2021-07-25 21:03 ` [Sysadmins] как организовать автоматически подключаемую папку пользователя домена Evgeny Sinelnikov
2021-07-26  6:09   ` Vladimir Karpinsky
2021-07-26 17:25       ` Vladimir Karpinsky
2021-08-15 15:46   ` [Sysadmins] Политика управления ярлычками в Samba AD Evgeny Sinelnikov
2021-07-26  5:33 ` [Sysadmins] как организовать автоматически подключаемую папку пользователя домена Andrey Cherepanov

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git