файловое хранилище сервера ШС5.0.2 (решено)

[valobasoff]

Прочитал в мануале следующую строчку

   *
      Интеграция с файловым хранилищем на Сервере 5.0.

      При успешной аутентификации в домене в домашней папке пользователя на его рабочей станции автоматически подключается файловое хранилище сервера с правами этого пользователя.

информация традиционно скудна, поэтому прошу может кто-нибудь подскажет как это работает более детально?
и заодно может поможет решить следующую задачу(возможно удастся использовать именно этот механизм).
требуется зделать на сервере общую папку, которая будет монтироваться каждому пользователю глобальной группы teachers в идеале на рабочий стол и которая будет содержать внутри 2 другие папки, teachers и students. соответственно члены глобальной группы teachers имеют доступ на запись на обе папки, внутри папки  лежат каталоги, которые необходимо монтировать на рабочий стол членам глобальной группы students по их логину, т.е. папка 5a соответствует логину 5a. Но это в идеале, если сложно, хотя-бы по простому всем одну папку на десктоп, а дальше разруливать доступом.

[Skull]

информация традиционно скудна, поэтому прошу может кто-нибудь подскажет как это работает более детально?

При аутентификации запускается pam_mount с определёнными параметрами, который монтирует SMB-шару share с сервера с тикетом Kerberos, выдаваемом пользователю.

Конфигурация: /etc/pam.d/system-auth-krb5, параметры pam_mount

[shandl]

А как еще создать расшаренные папки на сервере? То есть не только "изкоробочную" /var/srv/share, но и еще несколько? И чтобы они так же, тем же способом в pam_mount подключались через подобную строчку с "options="sec=krb5"?

[valobasoff]

проверил на сервере в /etc/pam.d/system-auth-krb5 нет вообще слова mount, на клиентах в этом же файле есть только

Код: [Выделить]

auth optional pam_mount.soно файла с таким названием в каталоге нет.
в профиле не нашел ничего смонтированого с сервера, на сервере каталог /var/srv/share пустой.

[shandl]

проверил на сервере в /etc/pam.d/system-auth-krb5 нет вообще слова mount, на клиентах в этом же файле есть только

Код: [Выделить]

auth optional pam_mount.soно файла с таким названием в каталоге нет.
в профиле не нашел ничего смонтированого с сервера, на сервере каталог /var/srv/share пустой.

На клиентах монтирование сетевой папки сервера делается с помощью /etc/security/pam_mount.conf.xml, при этом папка сервера /var/srv/share монтируется в домашнюю папку в папку share.
Правда иногда монтирование у меня слетало и я изменил немного строчку в /etc/security/pam_mount.conf.xml:

Код: [Выделить]

<!-- # inserted by installer HOOK ################################# -->

<volume uid="5000-10000" noroot="1" fstype="cifs" server="lserver.lschool.loc" path="share" mountpoint="/home/%(USER)/Общая сеть Linux" options="sec=krb5" />
<cifsmount>/usr/bin/cifsmount //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)</cifsmount>
<cifsumount>/usr/bin/cifsumount %(MNTPT)</cifsumount>Изменил строчку "<volume uid=...". Прописал имя полное доменное  имя сервера "lserver.lschool.loс" и расшаренную папку  path="share"  (в оригинале по=другому), и вместо неудобопоянтной "share" в домашей папке папка теперь называется "Общая сеть Linux".
Причем даже без этих настроек в момент авторизации пользователя ДОЛЖНА создаться в домашней папке папка share, если ее не было,  это работает "из коробки".

[valobasoff]

Причем даже без этих настроек в момент авторизации пользователя ДОЛЖНА создаться в домашней папке папка share, если ее не было,  это работает "из коробки".

может я не там ищу    ?

Код: [Выделить]

[leha@k35-2 ~]$ ls
Desktop  Documents  tmp
[leha@k35-2 ~]$


[Skull]

Смотрите логи. Создаётся при успешной аутентификации через домен LDAP и выдаче керберосовского тикета.

[shandl]

Причем даже без этих настроек в момент авторизации пользователя ДОЛЖНА создаться в домашней папке папка share, если ее не было,  это работает "из коробки".

может я не там ищу    ?

Код: [Выделить]

[leha@k35-2 ~]$ ls
Desktop  Documents  tmp
[leha@k35-2 ~]$


В систему можно войти под доменным пользователем? Доменные пользователи в списке пользователей в окне входа в систему есть? В консоли пропингуйте на всякий случай ping ldap. Если все нормально, то клиент знает домен LDAP. У меня почему-то часто вначале слетал, клиенты иногда переставали видеть LDAP и доменные пользователи в списке пользователей не появлялись, пока в /etc/hosts не прописал его IP, полный домменый адрес (ldap.lschool.loc) и краткий (ldap). После этого сбои подобные исчезли.
Логи просмотреть можно и в центре управления системой, раздел - системные журналы. Если ldap не доступен, то будет что-то типа "Can't contact ... ldap server".

[valobasoff]

под доменным пользователем войти можно, раньше иногда входил со 2-10 раза(начинался вход и снова вываливался в приветствие), потом как рукой сняло, входит сразу. список пользователей отсутствует, но если выйти, то уже всех показывает.
ping-и проходят, но что странно имеют разные ip сервера,

ldap
domen
server.domen

имеют внешний ip

ldap.domen

внутренний.
только что заметил что  server.domen второй раз пропинговался уже как внутренний.
такая картина на всех компьютерах.
в логах есть ошибки

Mar 22 10:51:52 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 192.112.36.4#53
Mar 22 10:51:52 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 128.63.2.53#53
Mar 22 10:51:52 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 192.36.148.17#53
Mar 22 10:51:52 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 192.58.128.30#53
Mar 22 10:51:52 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 193.0.14.129#53
Mar 22 10:51:52 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 199.7.83.42#53
Mar 22 10:51:52 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 202.12.27.33#53
Mar 22 10:51:53 karaban postgresql: Adjusting environment for postgresql: succeeded
Mar 22 10:51:53 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 198.41.0.4#53
Mar 22 10:51:53 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 192.228.79.201#53
Mar 22 10:51:53 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 192.33.4.12#53
Mar 22 10:51:53 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 128.8.10.90#53
Mar 22 10:51:53 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 192.203.230.10#53
Mar 22 10:51:53 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 192.5.5.241#53
Mar 22 10:51:53 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 192.112.36.4#53
Mar 22 10:51:53 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 128.63.2.53#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 192.36.148.17#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 192.58.128.30#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 193.0.14.129#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 199.7.83.42#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com/A/IN': 202.12.27.33#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 198.41.0.4#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 192.228.79.201#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 192.33.4.12#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 128.8.10.90#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 192.203.230.10#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 192.5.5.241#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 192.112.36.4#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 128.63.2.53#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 192.36.148.17#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 192.58.128.30#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 193.0.14.129#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 199.7.83.42#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'karaban.school697.com.co1497.org/A/IN': 202.12.27.33#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 198.41.0.4#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 192.228.79.201#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 192.33.4.12#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 128.8.10.90#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 192.203.230.10#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 192.5.5.241#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 192.112.36.4#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 128.63.2.53#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 192.36.148.17#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 192.58.128.30#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 193.0.14.129#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 199.7.83.42#53
Mar 22 10:51:54 karaban named[9850]: network unreachable resolving 'ldap.co1497.org/A/IN': 202.12.27.33#53

домен co1497.org не регистрировался.
school697.com старый вин домен, как он сюда попал не понимаю. DHCP отвечает только с ШС 5.0.2.

[valobasoff]

коллеги не бросайте  :( без шары как без рук...знаний не хватает катострофически, обучение идёт не быстро, а работать хоть как-то нужно уже сейчас...в общем мои мысли по этому поводу: раз проблема на всех компьютерах, значит проблема скорее всего на сервере, судя по логам она связана с ДНС, ощущение что сервер спрашивает внешние сервера о домене co1497.org, о котором естественно они ничего не знают. Почему так выходит если он сам является ДНС сервером ? залез в файл  /etc/named.conf
там

Код: [Выделить]

include "/etc/options.conf";
include "/etc/rndc.conf";
include "/etc/local.conf";файлов options и local в папке /etc нет, а пути насколько я понимаю указаны не относительные..
так и должно быть ?

[ruslandh]

bind работает в chroot`е /var/lib/bind

[valobasoff]

bind работает в chroot`е /var/lib/bind

по указанному адресу все конфиги нашлись, хотя почти ничего не понял, но явных косяков не углядел. а вот в логах клиента насторожило вот что..

Код: [Выделить]

.....................
Apr  2 12:38:07 k35-12 named[9782]: network unreachable resolving 'ldap.co1497.org/A/IN': 192.58.128.30#53
Apr  2 12:38:07 k35-12 named[9782]: network unreachable resolving 'ldap.co1497.org/A/IN': 193.0.14.129#53
Apr  2 12:38:07 k35-12 named[9782]: network unreachable resolving 'ldap.co1497.org/A/IN': 199.7.83.42#53
Apr  2 12:38:07 k35-12 named[9782]: network unreachable resolving 'ldap.co1497.org/A/IN': 202.12.27.33#53
Apr  2 12:38:09 k35-12 bind: sending signal 1 to named succeeded
Apr  2 12:38:09 k35-12 named[9782]: loading configuration from '/etc/named.conf'
Apr  2 12:38:09 k35-12 named[9782]: using default UDP/IPv4 port range: [1024, 65535]
Apr  2 12:38:09 k35-12 named[9782]: using default UDP/IPv6 port range: [1024, 65535]
Apr  2 12:38:09 k35-12 named[9782]: listening on IPv4 interface eth0, 172.22.0.215#53
Apr  2 12:38:09 k35-12 named[9782]: could not listen on UDP socket: permission denied
Apr  2 12:38:09 k35-12 named[9782]: creating IPv4 interface eth0 failed; interface ignored
Apr  2 12:38:09 k35-12 NetworkManager: <info>  Hostname is not changed because Xorg server is active
Apr  2 12:38:09 k35-12 NetworkManager: <info>  (eth0): device state change: 7 -> 8 (reason 0)
Apr  2 12:38:09 k35-12 NetworkManager: <info>  (eth0): writing resolv.conf to /sbin/resolvconf
Apr  2 12:38:09 k35-12 NetworkManager: <info>  Policy set 'System eth0' (eth0) as default for routing and DNS.
Apr  2 12:38:09 k35-12 NetworkManager: <info>  Hostname is not changed because Xorg server is active
Apr  2 12:38:09 k35-12 NetworkManager: <info>  Activation (eth0) successful, device activated.
Apr  2 12:38:09 k35-12 NetworkManager: <info>  Activation (eth0) Stage 5 of 5 (IP Configure Commit) complete.
Apr  2 12:38:20 k35-12 ntpd: ntpd startup succeededэто случаем не говорит о том, что сеть настраивается после того, как идут ошибки о недоступности LDAP ? может поэтому при первом сеансе я не вижу списка юзеров, а после перезагрузки графики он есть ?

по поводу непосредственно входа юзера..всё это на девственно чистом компе при попытке входа с учеткой доменного юзера в логах клиента

Apr  2 12:59:57 k35-12 kdm: :0[16272]: pam_console(kde4:session): getpwnam failed for leha
Apr  2 13:00:39 k35-12 kdm: :0[17733]: pam_tcb(kde4:auth): Credentials for user leha unknown
Apr  2 13:00:39 k35-12 kdm: :0[17689]: pam_tcb(kde4:auth): Authentication failed for UNKNOWN USER from (uid=0)
Apr  2 13:00:40 k35-12 kdm: :0[17689]: pam_tcb(kde4:session): Session opened for leha by (uid=0)
Apr  2 13:01:02 k35-12 crond[18070]: pam_tcb(crond:session): Session opened for root by (uid=0)
Apr  2 13:01:02 k35-12 crond[18070]: pam_tcb(crond:session): Session closed for root
Apr  2 13:01:35 k35-12 consolehelper[18159]: pam_tcb(acc:auth): Authentication passed for root from (uid=5000)

[ruslandh]

Да. При использовании NetworkManager сеть настраевется последней. Поэтому на сервере всегда используется etcnet

[shandl]

Да. При использовании NetworkManager сеть настраевется последней. Поэтому на сервере всегда используется etcnet

Да вроде и везде сказано, что если комп будет работать в домене школьного сервера, еще при установке Альта на шаге настройки сети выбрать не NetworkManager, а etcnet...
valobasoff, а у Вас, получается, NM?

[valobasoff]

Да, у меня NM, нигде не видел про

еще при установке Альта на шаге настройки сети выбрать не NetworkManager, а etcnet...

чем это чревато ? тем что не будет юзеров при старте ? или ещё чего прилипнет ?
только что попробовал перевести один комп в "etcnet", сдела через альтератор и кнопку дополнительно, верно ?
простыни про недоступность ldap при загрузке не было и был список пользователей, но при входе юзером те-же.

Apr  2 13:00:39 k35-12 kdm: :0[17733]: pam_tcb(kde4:auth): Credentials for user leha unknown
Apr  2 13:00:39 k35-12 kdm: :0[17689]: pam_tcb(kde4:auth): Authentication failed for UNKNOWN USER from (uid=0)
Apr  2 13:00:40 k35-12 kdm: :0[17689]: pam_tcb(kde4:session): Session opened for leha by (uid=0)