Автор Тема: Настройка прав доступа пользователей AD на локальной машине с Alt Linux7 (Прочитано 3713 раз)

Дмитрий Кривокрысенко · « : 07.06.2016 10:38:32 »

Здравствуйте Господа!
Опять обращаюсь за помощью в вопросе доступа пользователей AD win2008r2 на локальной машине с Alt Linux
Для монтирования ресурса с Консультантом создал каталог /mnt/CONS, сделал ресурс общим ( использовал KRUSADER) Ресурс успешно смонтировался при старте, но при запуске cons.exe, выдает, что не достаточно прав.
пытался при монтировании через pam_mount, прописать точку в домашней директории пользователя mountpoint="/home/%(GROUP)/%(USER)/CONS" - не монтируется!!??
А добавить через #useradd , пишет не найдена команда.
Работал по инструкции
https://www.altlinux.org/ActiveDirectory/Login

YYY · « **Ответ #1 :** 07.06.2016 10:53:45 »

> Ресурс успешно смонтировался при старте, но при запуске cons.exe

А просто скопировать файл cons.exe дает?

Skull · « **Ответ #2 :** 07.06.2016 11:19:18 »

http://altlinux.org/Su
Включайте отладку и смотрите журнал. Или время расходится с сервером или неправильно указали сервер и шару или права у пользователя недостаточны.

Дмитрий Кривокрысенко · « **Ответ #3 :** 07.06.2016 11:50:08 »

Так вот и вопрос как с правами быть?
#groupadd должно работать?
почему пишет не найдена команда?
или ручками через /etc/groupp & /etc/passwd ?
И почему может не монтироваться если путь указать как /home/%(DOMAIN)/%(USER)/DIR

Дмитрий Кривокрысенко · « **Ответ #4 :** 07.06.2016 12:17:49 »

с копированием из монтированной папки проблем нет

YYY · « **Ответ #5 :** 07.06.2016 12:26:11 »

Цитата: Dimkrysa от 07.06.2016 12:17:49

с копированием из монтированной папки проблем нет

Не то
http://www.linux.org.ru/forum/admin/11061569
?

Дмитрий Кривокрысенко · « **Ответ #6 :** 07.06.2016 12:32:22 »

явно что то с правами! потому как если монтировать при помощи smb4k. которая прописывается в домашней директории пользователя /home/%user/smb4k/dir, то сразу все работает!
В этой связщи может подскажете про монтирование с помощю переменных по пути /home/%(GROUP)/%(USER)/DIR???

ruslandh · « **Ответ #7 :** 07.06.2016 12:59:36 »

Цитата: Dimkrysa от 07.06.2016 11:50:08

#groupadd должно работать?
почему пишет не найдена команда?

Цитата: Skull от 07.06.2016 11:19:18

http://altlinux.org/Su

ruslandh · « **Ответ #8 :** 07.06.2016 13:00:35 »

http://altlinux.org/Samba

Дмитрий Кривокрысенко · « **Ответ #9 :** 08.06.2016 10:52:33 »

Приветствую Вас!
Порывшись в материалах форума нашел упоминание о возможности решения проблемы доменных пользователей на машине с Alt Linux, через настройку pam_group
Сделал изменения в конфигурационных файлах /etc/pam.d/system-auth-winbind
добавив строку в конец секции auth
auth optional pam_group.so
и добавил сторку в файл /etc/security/group.conf
*;*;*;Al0000-2400;wheel,cdrom,floppy,cdwriter,audio,radio,camera,xgrp,scanner
перезапустил сервисы и ничего!!!
где я ошибся???

Skull · « **Ответ #10 :** 08.06.2016 12:43:36 »

Цитата: Dimkrysa от 08.06.2016 10:52:33

Приветствую Вас!
Порывшись в материалах форума нашел упоминание о возможности решения проблемы доменных пользователей на машине с Alt Linux, через настройку pam_group
Сделал изменения в конфигурационных файлах /etc/pam.d/system-auth-winbind
добавив строку в конец секции auth
auth optional pam_group.so
и добавил сторку в файл /etc/security/group.conf
*;*;*;Al0000-2400;wheel,cdrom,floppy,cdwriter,audio,radio,camera,xgrp,scanner
перезапустил сервисы и ничего!!!
где я ошибся???

Единственный работающий и правильный способ обеспечить маппирование групп Active Directory на локальные группы:
https://www.altlinux.org/ActiveDirectory/Login#.D0.9E.D1.82.D0.BE.D0.B1.D1.80.D0.B0.D0.B6.D0.B5.D0.BD.D0.B8.D0.B5_.D0.B3.D0.BB.D0.BE.D0.B1.D0.B0.D0.BB.D1.8C.D0.BD.D1.8B.D1.85_.D0.B3.D1.80.D1.83.D0.BF.D0.BF_.D0.BD.D0.B0_.D0.BB.D0.BE.D0.BA.D0.B0.D0.BB.D1.8C.D0.BD.D1.8B.D0.B5

Дмитрий Кривокрысенко · « **Ответ #11 :** 08.06.2016 13:18:04 »

Благодарю!
Буду пробовать!
Вопрос по ситуации, почему на созданую шару /mnt/CONS с правами всем все, после монтирования ресурса через pam_mount,
//cons-v/Consultantplus меняется разрешение, просмотр для группы и остальных и владельцем становится root

достаточно ли дать команду
#roleadd 10002 500, где 10002=gid пользователи домена а 500=gid первого созданого в системе пользователя? чтоб сопоставить доменных пользователей с группой локальных админов. Или надо создавать группу локальных админов отдельно?

Skull · « **Ответ #12 :** 08.06.2016 13:27:17 »

Цитата: Dimkrysa от 08.06.2016 13:18:04

Благодарю!
Буду пробовать!
Вопрос по ситуации, почему на созданую шару /mnt/CONS с правами всем все, после монтирования ресурса через pam_mount,
//cons-v/Consultantplus меняется разрешение, просмотр для группы и остальных и владельцем становится root

Да. Потому что pam_mount запускается под правами root. Вы можете указать нужное file_mode и dir_mode для этого ресурса, чтобы автоматом были нужные права. См. https://www.samba.org/samba/docs/man/manpages-3/mount.cifs.8.html

Цитировать

достаточно ли дать команду
#roleadd 10002 500, где 10002=gid пользователи домена а 500=gid первого созданого в системе пользователя? чтоб сопоставить доменных пользователей с группой локальных админов. Или надо создавать группу локальных админов отдельно?

pam_role работает только с именами, но не gid. Надо по аналогии с ссылкой на Login, которую я давал сделать:

Код: [Выделить]

roleadd users <локальные группы>
roleadd 'Domain Users' users

Форум сообщества
Альт Линукс