Права на домашние каталоги у доменных пользователей [решено]

[berkut_174]

Сервер — Кентавр 6 (DHCP+samba+ldap).
Клиенты на p5 (Терминал Школьный, Школьный Новый Легкий).
Проблема: домашние каталоги на клиентах создаются с правами 755, т.е. другие пользователи могут зайти и прочитать часть файлов/папок.
На p6 все четко — 700.

Как побороть ?

[varalt]

Сервер — Кентавр 6 (DHCP+samba+ldap).
Клиенты на p5 (Терминал Школьный, Школьный Новый Легкий).
Проблема: домашние каталоги на клиентах создаются с правами 755, т.е. другие пользователи могут зайти и прочитать часть файлов/папок.
На p6 все четко — 700.

Как побороть ?

Поподробней опишите все! А то запутанно Вы написали...
P.S. Домашние каталоги монтируются по сети, что-ли?

[berkut_174]

Поподробней опишите все! А то запутанно Вы написали...

Да вроде все просто...
Сервер — Кентавр 6, клиент — Школьный Новый Легкий 5.0.2.
На сервере настроен LDAP+samba+DHCP.
На клиенте выставлена аутентификация на сервере.
Захожу доменным пользователем в систему на клиенте.
Права на домашний каталог пользователя (на клиенте!), которым зарегистрировался в системе, например /home/user, устанавливаются 755.

Как ?  ;)

[varalt]

Поподробней опишите все! А то запутанно Вы написали...

Да вроде все просто...
Сервер — Кентавр 6, клиент — Школьный Новый Легкий 5.0.2.
На сервере настроен LDAP+samba+DHCP.
На клиенте выставлена аутентификация на сервере.
Захожу доменным пользователем в систему на клиенте.
Права на домашний каталог пользователя (на клиенте!), которым зарегистрировался в системе, например /home/user, устанавливаются 755.

Как ?  ;)

Я насколько понял, проблема в том, что у доменного пользователя создаются права 755, а нужно - 700.
А вот для локального пользователя какие права у вас выставляются на клиентах?

[berkut_174]

Я насколько понял, проблема в том, что у доменного пользователя создаются права 755, а нужно - 700.
А вот для локального пользователя какие права у вас выставляются на клиентах?

Правильно.
Для локального, как обычно 701.

[varalt]

Права на домашний каталог пользователя (на клиенте!), которым зарегистрировался в системе, например /home/user, устанавливаются 755.

Если выставить вручную права 700 для уже созданного доменного профиля пользователя и затем зайти в этот профиль, то права сбросятся заново на 755 или нет?
Т.е. права 755 устанавливаются только при создании профиля пользователя домена или при каждом заходе пользователя ставятся на 755?

[berkut_174]

Если выставить вручную права 700 для уже созданного доменного профиля пользователя и затем зайти в этот профиль, то права сбросятся заново на 755 или нет?

Нет. Остаются как заказал — 700.

Т.е. права 755 устанавливаются только при создании профиля пользователя домена или при каждом заходе пользователя ставятся на 755?

Да, только для доменных пользователей. Если вручную сменить на 700, то сохраняются такими же — 700.
Можно конечно через крон менять права, но это не очень красиво...
Понятно, что p5 сейчас не развивается, но вот интересно: это считается критичесой ошибкой (ошибкой безопасности) или нет ? Багу бы повешал, только вот будет ли кто-то за это браться ?

[berkut_174]

Проблема так и осталась.
Исправлением будет кто заниматься, если багу повешать ?

[Skull]

Проблема так и осталась.
Исправлением будет кто заниматься, если багу повешать ?

При условии, если она воспроизводится на p6/Sisyphus.

[YYY]

т.е. 5ка официально RIP ?

[Skull]

т.е. 5ка официально RIP ?

Нет, через 4 дня.

[YYY]

надо будет помянуть... :)

[berkut_174]

При условии, если она воспроизводится на p6/Sisyphus.

Ну сервер на p6, а клиент на p5. Получается что не будут...
Придется как-то выкручиваться или оставить все как есть...

[berkut_174]

Случайно набрёл на тред (http://forum.altlinux.org/index.php/topic,376.msg5613.html#msg5613) и нашёл решение там :)

Нужно в файле /etc/pam.d/system-auth-krb5 изменить строку, добавив umask=0077

Код: [Выделить]

session  required       pam_mkhomedir.so silent umask=0077
[решено]