From: Evgeny Sinelnikov <sin@altlinux.org>
To: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
Cc: Saratov BaseALT department <saratov@lists.altlinux.org>
Subject: Re: [Sysadmins] как организовать автоматически подключаемую папку пользователя домена
Date: Mon, 26 Jul 2021 01:03:54 +0400
Message-ID: <CAK42-GpMUWNnPcNA-i89EiEg=dDSxnfJWrvcAK3FK8XrR1myAA@mail.gmail.com> (raw)
In-Reply-To: <2459541627228127@mail.yandex.ru>
Доброй ночи,
мы работаем над этой задачей. Давайте разберемся с целями содержательно.
1) Не уверен, что задачи состоит именно в монтировании. Если
пользователям достаточно просмотра и работы с файлами через
графический файловый менеджер, то достаточно создать ярлык ссылающийся
на общий сетевой каталог в формате smb://ИМЯ_СЕРВЕРА/ИМЯ_ШАРЫ
Для автомонтирования целесообразно использовать такой инструмент, как
automount. Но об этом позже, в другой раз, когда будем рассматривать
такую задачу.
2) Для доступа к сетевой каталогу, "в который имеет доступ только
пользователя домена, и больше никто" целесообразней всего использовать
так называемый домашний каталог на файловом сервере. Для этого в
/etc/samba/smb.conf существует специальная секция - [homes]:
$ grep -A5 homes /etc/samba/smb.conf
[homes]
comment = Home Directories
browseable = no
writable = yes
; valid users = %S
; valid users = MYDOMAIN\%S
___________________
Пояснение (можно пропустить, для начала).
---------------------------------
Стоит учесть, что на текущий момент существует некоторая разница между
тем является ли файловый сервер контроллером домена или нет. В целом
ряде случае очень важно, чтобы uid'ы и gid'ы, на которые отображаются
sid'ы из Active Directory совпадали на клиенте и на сервере. Прежде
всего это важно для того, чтобы при монтировании с unix-расширениями
протокола CIFS это отображение соответствующим образом отображалось на
идентификаторы пользователей и групп получаемые на клиенте. Хотя тут
стоит учесть, что в реализации протокола cifs в ядре постепенно
оказался выпилен старый протколол SMB1 и не завершёна реализация unix
расширений в протоколе:
- https://wiki.samba.org/index.php/UNIX_Extensions
- https://wiki.samba.org/index.php/LinuxCIFSKernel
В общем, в идеале, для файлового сервера не стоит сейчас использовать
тот же сервер, что и контроллер домена. Если же его использовать, то
для аутентификации на сервере нужно вместо sssd включать winbind. При
этом сам сервер, через kerberos, как служба и так отображает uid'ы и
gid'ы на sid'ы через winbind.
Эта задача возникает при локальной работе пользователей на этом
сервере. Ну, странно, наверное, логиниться на контроллер домена из-под
локального пользователя. Тем не менее, это достаточно частый вариант
работы на контроллере домена.
___________________
3) Задача создания ярлыков в AD решается с помощью соответствующей политики:
https://www.altlinux.org/Групповые_политики/Управление_ярлыками
Пример настройки, для которой требуется доработка:
https://drive.google.com/uc?export=view&id=1eeBu49ju9Le1XeIrrtWFrZxBgSjvj6fk
О доработке.
На текущий момент не весь перечень подстановок реализован, в частности
%LogonUser% (см. снимок экрана выше). Поэтому "подсунуть" в каждый
ярлык имя пользователя просто так не получится. Думаю, что мы выпустим
в ближайшее время необходимое исправление.
Без этой доработки придётся сделать так, как это предложено на wiki
проекта samba для Windows пользователей - создать отдельную шару users
на тот же каталог с домашними каталогами:
https://wiki.samba.org/index.php/Windows_User_Home_Folders
В этом случае, возможно, придётся "повозиться" с правами на файлы.
Подключение домашнего каталога на шаре для Linux-пользователей из
свойств профиля, как это показано для Windows-пользователей у нас пока
не предусмотрено.
4) Ещё пара моментов:
- для данного решения также необходимо существование каталога
пользователя на сервере. Если на файловый сервер пользователь не может
залогинится, то у него не будет и домашнего каталога.
С одной стороны это неудобно, с другой - позволяет контролировать у
кого есть домашний каталог, а у кого - нет и быть не должно. Для того
чтобы создавать каталоги всем подряд в рассылке samba рассматривался
вариант использования опции preexec:
https://lists.samba.org/archive/samba/2005-June/106958.html
_____________________________________________
Если строго следовать логике поставленной задачи, то предложенный мной
вариант мне кажется наиболее оптимальным. Особенно, если предусмотреть
необходимую доработку.
Если задача мной понята не в полной мере или имеются дополнительные
уточнения в рамках требований, то давайте рассмотрим их подробнее.
вс, 25 июл. 2021 г. в 20:14, Александр Клепалов <a.klepalov@school100nt.ru>:
>
> Добрый день!
>
> Коллеги, прошу помощи в решении задачи организации автоматически подключаемой папки пользователя домена.
> Подробно: на файловом сервере, для каждого пользователя домена создается папка, в которую имеет доступ только он, и больше никто. (это понятно решается правами)
> Когда юзер логинится под собой на любой машине в домене,ему автоматически должна подключаться эта папка, и создаваться ярлык на неё. Без каких либо действий с его стороны.
> Есть конечно fstab, есть gio (кстати очень похоже на то что требуется, но это нужно делать пользователю руками - а у меня пользователи учителя возрастом 50+ со всеми вытекающими...) но они подразумевают ручные действия по добавлению папки на каждой машине под каждым пользователем (машин где нужно автомонтирование больше 60, пользователей больше 100....)
> Вобщем хочется что-то типа виндовых удаленных папок документов...
> Как можно автоматизировать процесс монтирования папки пользователя в Альт?
> --
> С уважением,
> Клепалов Александр Владимирович,
> Инженер-электроник МАОУ СОШ №100
> г. Нижний Тагил.
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
--
Sin (Sinelnikov Evgeny)
next parent reply other threads:[~2021-07-25 21:03 UTC|newest]
Thread overview: 5+ messages / expand[flat|nested] mbox.gz Atom feed top
2021-07-25 21:03 ` Evgeny Sinelnikov [this message]
2021-07-26 6:09 ` Vladimir Karpinsky
2021-07-26 17:25 ` Vladimir Karpinsky
2021-08-15 15:46 ` [Sysadmins] Политика управления ярлычками в Samba AD Evgeny Sinelnikov
2021-07-26 5:33 ` [Sysadmins] как организовать автоматически подключаемую папку пользователя домена Andrey Cherepanov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to='CAK42-GpMUWNnPcNA-i89EiEg=dDSxnfJWrvcAK3FK8XrR1myAA@mail.gmail.com' \
--to=sin@altlinux.org \
--cc=saratov@lists.altlinux.org \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git