Автор Тема: монтирование шары под доменным пользователем  (Прочитано 5393 раз)

Оффлайн vfrta

  • Начинающий
  • *
  • Сообщений: 19
Добрый день.

Есть необходимость под доменным пользователем подключать общие ресурсы.

Тема https://www.altlinux.org/ActiveDirectory/Login изучена.
Но насколько я вижу, там решение для автомонтирования одних и тех же ресурсов для любого пользователя.
А нужен разный набор для разных пользователей.

Поэтому хочу изобрести скрипт на bash/python/php.

Вопрос:
mount.cifs разрешён только root.
Мне надо разрешить его доменному пользователю. При этом не давая этому же пользователю sudo.

В debian я решал похожую задачу (для другой команды). Там просто скопировал нужный файл из /sbin в /bin. Здесь такой номер не прошел.
root@altlinux ~ # cp /sbin/mount.cifs /bin/mount.cifs
ivanov@altlinux ~ $ mount.cifs //192.168.0.10/ivanov /home/DOMAIN.LOCAL/ivanov/myshare/
This program is not installed setuid root -  "user" CIFS mounts not supported.

ivanov@altlinux ~ $ mount -t cifs //192.168.0.10/ivanov /home/DOMAIN.LOCAL/ivanov/myshare/
mount: only root can use "--types" option

Можно ли решить эту проблему? В мануалах пока ничего не накопал.

Оффлайн Александр Ерещенко

  • Завсегдатай
  • *
  • Сообщений: 1 153
Смотрите в сторону sudo, настраивайте согласно своим требованиям
Например:
# cat /etc/sudoers.d/mount
%wheel ALL = NOPASSWD: /bin/mount
%wheel ALL = NOPASSWD: /bin/umount
В данном случае пользователям из группы wheel разрешено беспарольно запускать mount и umount через sudo

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 031
  • ITS

Оффлайн vfrta

  • Начинающий
  • *
  • Сообщений: 19
Смотрите в сторону sudo, настраивайте согласно своим требованиям

sudo запрашивает пароль.
Лишний раз дёргать пользователя.
А в автозагрузке вообще, я так понимаю, работать не будет.

Оффлайн vfrta

  • Начинающий
  • *
  • Сообщений: 19
https://forum.altlinux.org/index.php?topic=44033.msg350421#msg350421

Это интересно, спасибо.
Но есть заметный минус: нужен пользователь, имеющий права на каждую папку, которая может монтироваться.
И пароль этого пользователя в явном виде будет на каждой машине, пусть даже и в спец.файле.
Это потенциальная дыра в безопасности.
А вдруг этот пароль сменить надо, на каждой машине?
У нас куча сетевых папок разных отделов, некоторые из которых содержат довольно конфиденциальную информацию.

Вот если бы autofs мог бы подсовывать билет доменного пользователя, вошедшего в систему, он бы решал все вопросы.

Хочется именно монтирования под текущим пользователем, без дополнительных вводов пароля.

Оффлайн vfrta

  • Начинающий
  • *
  • Сообщений: 19
У нас куча сотрудников/преподавателей, и ещё больше студентов.
Причём их состав, естественно, регулярно меняется.
Поэтому всё, что предполагает более или менее жесткое прописывание конфигурации подключения в самой ОС - малопригодно.
Хочется аналог доменных политик. Прописал централизовано, в одном месте, и работает.

Есть мысль воткнуть скрипт в автозагрузку. Который будет при загрузке юзера читать список его сетевых ресурсов из централизованного источника (того же AD), и монтировать их.
Вопрос с получением списка шар для пользователя я в принципе решил.
А вот вопрос с их монтированием без участия sudo и т.д. пока не решается.
« Последнее редактирование: 29.04.2021 09:24:44 от vfrta »

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 031
  • ITS
man autofs_ldap_auth.conf

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Вот на какие тяжкие не идут люди, лишь бы не использовать gvfs-shares. :)
Андрей Черепанов (cas@)

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 031
  • ITS
gvfs-shares
Все время не хватает посмотреть - что там? Из thunderbird- а можно файл с этой шары зацепить?
« Последнее редактирование: 29.04.2021 20:53:37 от rabochyITs »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Только после настройки и релогина.
Андрей Черепанов (cas@)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
И после control fusermount public.
Андрей Черепанов (cas@)

Оффлайн vfrta

  • Начинающий
  • *
  • Сообщений: 19
Вот на какие тяжкие не идут люди, лишь бы не использовать gvfs-shares. :)

Информация о gvfs-shares находится где-то в недрах wiki, и пояснения к ней очень скромные.
Если бы она была указана здесь: https://www.altlinux.org/%D0%90%D0%B2%D1%82%D0%BE%D0%BC%D0%BE%D0%BD%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5
или здесь: https://www.altlinux.org/ActiveDirectory/Login
было бы лучше.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Не лучше. Это костыль для странных решений.
Андрей Черепанов (cas@)

Оффлайн vfrta

  • Начинающий
  • *
  • Сообщений: 19
Не лучше. Это костыль для странных решений.

Какая интересная точка зрения.

Есть естественное желание пользователя видеть при входе свои папки. На сегодняшний день это уже стандарт, без которого жизнь неудобна.
Если в организации больше десятка человек - папки у каждого подразделения, а то и каждого человека будут свои. Это тоже стандарт.

Вы работаете над доменными политиками. Честь вам и хвала. Надеюсь, они скоро заработают, и эта тема станет неактуальной. Но пока они не работают.
И надо реализовать востребованную и привычную вещь другими средствами.

И это оказывается "странным решением", для которого нужен "костыль".
А не через костыль можно? Я пока не вижу, как.

Воля ваша, господа, вы авторы дистрибутива. Делайте, как считаете нужным.
Но по мне, привычное всем стандартное решение называть "странным" неправильно.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Единая шара с папками для пользователей лучше, чем 100500 шар. С точки зрения логики администрирования.
Андрей Черепанов (cas@)