Установка alt-server-8. Ошибка при старте системы

[Dmytro]

С доменами под линуксом никогда дела не имел (как все уже поняли). Подскажите пожалуйста где настраивается монтирование сетевых ресурсов для доменного пользователя?

Если имели имели дело с доменом Windows, то для win-клиентов через групповые политики. Какой утилитой админить, Вам уже говорили: получите привычную родную консоль. Для Linux-клиентов групповых политик, пока, нет... Поэтому, на каждой машине настраивать.

[progmo]

Вам уже говорили: получите привычную родную консоль.

Не внимательно мой пост прочитали. Не настраивал в винде доменов. Хочу попробовать, но уже на альте. Функции довольно тривиальные как мне кажется. Управление пользователями (добавление, блокировка, смена паролей) с контроллера домена  и настроить монтирование сетевых шар при входе пользователя. Хотя бы по двум группам (админы и юзеры). Но сеть увы разнородная большинство машин под виндой. Но это будет меняться думаю. Исходя из законодательства.

Поэтому, на каждой машине настраивать.

т.е. использование pam_mount из мануала не будет работать?

[Dmytro]

Могу ошибаться, т.к. сам не настраивал такое... Лучше дождаться критики или подтверждения моих слов.

Вроде, зависит от того, куда смонтировать хотите. Если шары, раскиданные по сети, нужно смонтировать в домашнюю (или другую удобную) папку на сервер, то настраивать pam-mount надо на сервере, а если монтировать к локальной машине, то и настраивать на локальной машине надо. В сложных случаях комбинировать оба варианта: все шары монтируем в домашний каталог на сервере, а его, в свою очередь, к локальной машине.

[progmo]

Если шары, раскиданные по сети, нужно смонтировать в домашнюю (или другую удобную) папку на сервер, то настраивать pam-mount надо на сервере

В самом простом случае нужно так:
Есть линукс сервер, на нем 3 шары отдел1, отдел2 и админская шара
На локальном компе, при логоне пользователя, в зависимости от того, в какую группу он входит (user1,user2,admins) нужно примонтировать соответствующую шару.
 

[Dmytro]

Если по группам, то вместо uid в пример из wiki нужно группу подставлять, вроде.
т.е. вместо

Код: [Выделить]

<volume uid="10000-2000000" fstype="cifs" server="c228" path="sysvol" mountpoint="/home/SCHOOL/%(USER)/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />

Получится

Код: [Выделить]

<volume gid="<id группы>" fstype="cifs" server="c228" path="sysvol" mountpoint="/home/SCHOOL/%(USER)/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />

или

Код: [Выделить]

<volume @@имя_группы fstype="cifs" server="c228" path="sysvol" mountpoint="/home/SCHOOL/%(USER)/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />

Всего получится по 3 записи: по 1 на группу.

Если имена групп и папок (наименование ресурса) совпадают, то можно сделать 1 запись, в которой в path подставить переменную с наименованием группы/id группы

И это настраивать на каждой машине, подключаемой к домену.

[progmo]

И это настраивать на каждой машине, подключаемой к домену.

Как? Разве не на домене? Какое же это тогда автоматическое монтирование, а если машин в домене сотни.

[Dmytro]

И это настраивать на каждой машине, подключаемой к домену.

Как? Разве не на домене? Какое же это тогда автоматическое монтирование, а если машин в домене сотни.

Может быть в последней версии что-то и доделали.... год назад не было. Как уже говорилось групповые политики в Linux не работают. Поэтому на контролере домена настроить параметры машин, входящих в домен, нельзя. Для решения проблемы при наличии большого парка используются дополнительные программы.

[Skull]

Предложите решение лучше.

[berkut_174]

gid

Это первичная группа.
В соседней теме дал ответ по группам https://forum.altlinux.org/index.php?topic=37724.msg301007#msg301007. На p7 работает.

[progmo]

Предложите решение лучше.

Андрей, рассудите нас :) Правило монтирования ресурса в файле /etc/security/pam_mount.conf.xml прописывается на локальных машинах или на "контроллере домена"?

[berkut_174]

Правило монтирования ресурса

Конечно на клиенте, причём на каждом. Раскидать можно через puppet, ansible и т.п.

[progmo]

Правило монтирования ресурса

Конечно на клиенте, причём на каждом. Раскидать можно через puppet, ansible и т.п.

Офигеть, я в шоке господа. Это особенность samba-dc или в альте в принципе пока невозможно поднять домен, где пользователю будет монтироваться  нужный ему сетевой каталог. Но настраивать для этого каждую машину не нужно ?

Для чего ж тогда используются домены в альте? Просто хранилище учеток чтоли? Это не сарказм какой-то, просто хочу понять для себя, что можно "выжать" из альта.

[berkut_174]

В Linux управлять конфигурациями клиентов принято через специальные системы: puppet, ansible, chef и т.д. В ALT Linux вроде есть модуль альтератора для ansible. Что касается рабочей связки, то в p7 её не было, про p8 не знаю.

Просто хранилище учеток чтоли?

Выходит что так.

[Dmytro]

Это особенность samba-dc или в альте в принципе пока невозможно поднять домен, где пользователю будет монтироваться  нужный ему сетевой каталог. Но настраивать для этого каждую машину не нужно ?

В Linux вообще мне не известно ни одной реализации домена, в которой управление клиентскими компьютерами осуществляется средствами контролера домена.

Конкретно в AltLinux, если использовать вариант домена Kerberos, то поставив 1 галочку на клиенте получаем автоматическое монтирование домашнего каталога с сервера. А при разворачивании домена с сервера сетевых установок все работает из коробки, без настройки на клиенте.

Для чего ж тогда используются домены в альте? Просто хранилище учеток чтоли?

Так это его главное назначение. Разве нет? Это единая точка аутентификации пользователей, которая позволяет гибко настроить доступ пользователей к разным ресурсам и сервисам в сети.

Конкретно Samba AD - это, в первую очередь, бесплатная замена контролера домена Windows. Соответственно, в этом варианте работают и групповые политики для компьютеров (update: на всякий случай, уточняю: только для win-клиентов)(автоматическая установка софта, логон/логаут скрипты и прочее). Реализовано около 90% функционала исходного продукта.

просто хочу понять для себя, что можно "выжать" из альта.

Тут на форуме информация была... про суперкомпьютер в МГУ, про крупных интернет-провайдеров, у которых вся инфраструктура на Альте... Поэтому, вопрос нужно ставить не "Что можно выжать?", а "Как реализовать?".

Групповые политики в Linux не реализованы. Если задаться простым вопросом: "Как может не появиться за столь длительное время такая важная функция?", - напрашивается не менее простой ответ: "Наверное, есть альтернатива".

Windows создается по принципы "все в одном", у *nix вообще и у Linux в частности философия другая: 1 программа должна выполнять 1 задачу и делать это хорошо. Тут аутентификация пользователей отдельно, настройка и обслуживание машин отдельно. Варианты программ для централизованного управления большим парком машин (в том числе с разными операционными системами) Вам уже предложил berkut_174. Именно они (или нечто подобное) и используются крупными компаниями, у которых парк состоит из тысяч машин. Если немного погуглить, то можно найти рецепты, например, такого чуда: подсоединяешь к сети новый компьютер, указав загрузку по сети, на него автоматически ставится ОС, нужный софт, настраиваются все сервисы, параметры окружения и т.п...

[progmo]

В Linux вообще мне не известно ни одной реализации домена, в которой управление клиентскими компьютерами осуществляется средствами контролера домена.

Похоже мне надо немного откатить назад и сначала решить какой тип домена выбрать. Как я понимаю варианта два: alt домен и samba-dc?!
Какой посоветуете? Пусть пока для авторизации пользователей, но так сказать с заделом на будущее, на перспективу. И учитывая что пока большинство windows машин в сети. Но думаю процент будет падать.