Помощь в настройке/монтировании шар Кентавр 6 [решено]

[berkut_174]

Имеется сеть с сервером в качестве Кентавр 6. Клиенты все на Linux, а именно Simply Linux 6.0.1. Вся сеть "поделена" на две группы (условно): "избранные" и "остальные". Дак вот. Нужно на сервере расшарить две папки (одна для группы 1, вторая для группы 2 :) ) в качестве файлового обмена/хранилища с возможностью записи (получается у каждой группы своя отдельная шара). Т.е. группа "избранные" должна иметь свою общую папку, в которую никто больше бы не имел доступ ВООБЩЕ. Ну а про "остальных" я вообще не говорю... им только доступ в свою папку (с возможностью записи тоже!)... доступ в их шару можно и для всех присутствующих открыть...
Далее. Ещё один нюанс. Все пользователи находятся в домене (на сервере Кентавр 6). На всех клиентах необходимо настроить автоматический вход БЕЗ ввода пароля (на каждой машине автоматически будет входить свой пользователь и на сервере эти пользователи уже созданы). Ещё, при входе, шара, созданная для определенной группы, должна монтироваться автоматически (в зависимости в какую группу входит залогиневшийся пользователь).
И на последок: что лучше использовать для расшаривания - smb, nfs ? как потом монтировать на клиентах - fstab, pam_mount (здесь у меня кстати возникла проблема... при автоматическом входе пользователя (без ввода пароля) pam_mount при входе требует повторно ввести пароль для монтирования шары)?

Помогите, пожалуйста, мне определиться... что и как мне лучше сделать...
Всем заранее огромное спасибо !!!  :D

[berkut_174]

Ладно. Раз уж у меня один Linux тогда nfs. А для монтирования наверно все ж pam_mount... (Про проблему с автовходом тогда чуть позже)
Тогда сразу вопрос: как разграничить права в nfs по группам? На ум приходит только по IP/Имени...

[berkut_174]

Неужели никто не может помочь...  :'(
Тогда вернусь к вопросу с автовходом. Как писал выше пользователь в домене, на клиенте через gdmsetup настроен автовход. Как при входе избавиться от надойдающего сообщения:

Через гугл ничего не могу найти... ищу не одну неделю...

[varalt]

Насчет автовхода вот кое-что:
http://www.altlinux.org/%D0%A2%D0%B5%D1%81%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5/%D0%92%D1%85%D0%BE%D0%B4_%D0%B2_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%83_%28%D0%B2_%D1%82.%D1%87._%D0%B0%D0%B2%D1%82%D0%BE%D0%B2%D1%85%D0%BE%D0%B4%29

[berkut_174]

Не то...

Проблем с автовходом без pam_mount нет! А вот если выставить монтирование ресурса при входе с помощью pam_mount - вылазит такое сообщение. Если просто нажать ОК, то соответственно ресурс не смонтируется. Если ввести пароль пользователя - то все нормально.
Что я хочу: совсем избавиться от ввода пароля при входе пользователя, т.е. сделать его полностью автоматическим.

Мне кажется, что нужно двигаться в этом направлении /etc/pam.d/gdm... но пока все безуспешно...
Начинаю подумывать перейти на /etc/fstab...

[Skull]

Не то...

Проблем с автовходом без pam_mount нет! А вот если выставить монтирование ресурса при входе с помощью pam_mount - вылазит такое сообщение.

Правьте правила PAM.

[berkut_174]

Правьте правила PAM.

Подскажите, в каком конкретно файле надо править??? Я пытаюсь править файл /etc/pam.d/gdm-autologin.
Вот мой gdm-autologin в первоначальном виде:

Код: [Выделить]

#%PAM-1.0
auth required pam_env.so
auth required pam_nologin.so
auth required pam_permit.so
account substack system-auth
password substack system-auth
session substack system-auth
session optional pam_console.so


[Skull]

Правьте правила PAM.

Подскажите, в каком конкретно файле надо править??? Я пытаюсь править файл /etc/pam.d/gdm-autologin.
Вот мой gdm-autologin в первоначальном виде:

Идея такова: по умолчанию Single Sign-on работает через system-auth-krb5 и там прописано автомонирование диска SMB. Попробуйте перенести нужные строки в тот модуль PAM, который используется для автовхода.

[berkut_174]

Идея такова: по умолчанию Single Sign-on работает через system-auth-krb5 и там прописано автомонирование диска SMB. Попробуйте перенести нужные строки в тот модуль PAM, который используется для автовхода.

Не получается :(
system-auth-krb5

Код: [Выделить]

#%PAM-1.0
auth [success=2 default=ignore] pam_tcb.so shadow fork prefix=$2y$ count=8 nullok
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_krb5.so use_first_pass ccache=/tmp/krb5cc_%u
auth required pam_permit.so
auth     optional       pam_mount.so

account [success=2 default=ignore] pam_tcb.so shadow fork
account requisite pam_succeed_if.so uid >= 500 quiet
account required pam_krb5.so
account required pam_permit.so

password required pam_passwdqc.so config=/etc/passwdqc.conf
password [success=2 default=ignore] pam_tcb.so use_authtok shadow fork prefix=$2y$ count=8 nullok write_to=tcb
password requisite pam_succeed_if.so uid >= 500 quiet
password required pam_krb5.so use_authtok

session [success=2 default=ignore] pam_tcb.so
session requisite pam_succeed_if.so uid >= 500 quiet
session required pam_krb5.so
session required pam_mktemp.so
session required pam_mkhomedir.so silent
session required pam_limits.so
session  optional       pam_mount.so
Думаю что нужно что то типа этого:

Код: [Выделить]

#%PAM-1.0
auth required pam_env.so
auth required pam_nologin.so
auth required pam_permit.so
auth     optional       pam_mount.so # только тут нужно какой то параметр приписать чтобы пароль не просил
account substack system-auth
password substack system-auth
session substack system-auth
session optional pam_console.so
session  optional       pam_mount.so

[Skull]

Идея такова: по умолчанию Single Sign-on работает через system-auth-krb5 и там прописано автомонирование диска SMB. Попробуйте перенести нужные строки в тот модуль PAM, который используется для автовхода.

Не получается :(

Никто не обещал, что будет легко. Копируйте system-aut-krb5 и удаляйте запрос пароля.
Например, в начало добавьте

Код: [Выделить]

auth required pam_nologin.soP.S. Не проверял, исхожу из здравого смысла.

[berkut_174]

Например, в начало добавьте

Код: [Выделить]

auth required pam_nologin.soP.S. Не проверял, исхожу из здравого смысла.

Увы Сбой авторизации...

Ну его, этот pam, возьму fstab и ссылку с раб. стола на /mnt.
Только у меня один вопрос, я его уже задавал:

как разграничить права в nfs по группам?

Не писать же для каждого IP-адреса в отдельности... а если DHCP? По именам клиентов не монтирует...
Находил в интернете варианты разграничения доступа к шаре nfs:

Код: [Выделить]

/media/Work/tmp 192.168.3.23(async,secure,ro) 192.168.3.20(async,ro)
/media/Work/testdir @test(sync,rw)
/media/Profil/home      *(rw)Мне наверно подойдет вторая строка (с сетевой группой). Только я не знаю как эту самую группу создать? Подскажите очень надо.

[Skull]

Мне наверно подойдет вторая строка (с сетевой группой). Только я не знаю как эту самую группу создать? Подскажите очень надо.

Создавайте на сервере через веб-интерфейс.

[berkut_174]

Мне наверно подойдет вторая строка (с сетевой группой). Только я не знаю как эту самую группу создать? Подскажите очень надо.

Создавайте на сервере через веб-интерфейс.

Я так уже делал, не получается...
Делал так. На сервере создал группу (вкладка Группы).
В /etc/exports

Код: [Выделить]

/srv/obmen    -rw    @group1(rw)И перезапустил службу nfs.
При монтировании пишет что доступ закрыт.

[varalt]

Тут про доступ к NFS(правда, для FreeBSD, но это дела не меняет) кратко написано:
http://unixgear.ru/Question.aspx?id=1943e855-90ff-43c5-9f17-e9f522b4625f
Там вроде написано, как по именам клиентов монтировать...
Проверить написанное в статье не могу, так что придется Вам самому проверять.

[berkut_174]

Тут про доступ к NFS(правда, для FreeBSD, но это дела не меняет) кратко написано:
http://unixgear.ru/Question.aspx?id=1943e855-90ff-43c5-9f17-e9f522b4625f
Там вроде написано, как по именам клиентов монтировать...
Проверить написанное в статье не могу, так что придется Вам самому проверять.

Спасибо. Сейчас прочту.
Мне бы хоть в таком формате разграничить: kaf1-*, kaf2-*,.. Но так тоже пишет то доступ закрыт. Могу только по IP или *.