монтирование ресурса smb без прав root, домен

[alex_nur]

Добрый день.
Необходимо подключаться пользователям winbind к файловому серверу Windows. Linux и Windows в домене AD не вводя никаких паролей (используя билет kerberos, полученный при входе).
Доменные пользователи при входе на линукс-машину имеют билет kerberos (klist работает)
Если под root выполнить:
# mount.cifs //server/share ~/smb -o sec=krb5
предварительно получив билет через kinit,
то руту монтируется ресурс//server/share в ~/smb.

Необходимо смонтировать каждому пользователю ресурс //server/domain_name ~/smb.
При использовании "mount.cifs //server/share ~/smb -o sec=krb5" возникает ошибка, т.к.это обычный пользователь, и это правильно.
Необходимо смонтировать только этот ресурс, запретив пользователям монтировать другие ресурсы, причем каждому свой:
\\server\domain_name 
domain_name  - совпадает с логином linux без алиаса домена(точнее winbind-пользователем).
Как быть?


PS:
smbclient -L server -k
и
smbclient //server/share -k
работают (вход по билету, авторизация не запрашивается). Но только в smbclient

[AnrDaemon]

Для монтирования пльзователем существует FUSE.

[alex_nur]

Для монтирования пльзователем существует FUSE.

Поздновато прочел. А если пользователя добавить в fuse, он разве не сможет подключать и другие ресурсы по smb? Это запрещено. Нужно только один, заранее заданный root'ом.
В общем, пришлось напрячься (пробовал другими путями, в итоге пришел к одному) и получилось вот что.

В /etc/sudoers
добавил алиас:

Код: (html5) [Выделить]

User_Alias DOM = %domain\ usersи в этот же файл что дозволено этому алиасу:

Код: (html5) [Выделить]

DOM ALL=NOPASSWD: /share_mount/mnt_smb, /share_umount/umnt_smb
Теперь доменные пользователи могут запускать от имени root только 2 скрипта (по умолчанию они не суперпользователи и не могли использовать sudo) /share_mount/mnt_smb и /share_umount/umnt_smb, причем без ввода своего пароля.

Содержание mnt_smb:

Код: (bash) [Выделить]

#!/bin/bash
user=$(echo $SUDO_USER)
home_user=$(eval echo ~$SUDO_USER)
#echo $user
#echo $home_user
com= mount.cifs //server/$SUDO_USER $home_user/smb -o iocharset=utf8,file_mode=0777,dir_mode=0777,sec=krb5
eval $com
Появляется шара (на сервере server подставляется логин), пароль ни на что нигде не вводится (билет kerberos).

Запускать можно только с укзаанием полного пути, как это прописано в /etc/sudoers, т.е.:

Код: (bash) [Выделить]

sudo /share_mount/mnt_smb

Во втором скрипте отмонтирование.

Только сейчас выяснилось, что с помощью подключения к win-ресурсу невозможно реализовать задуманное (разрешить запись только с отдельных хостов некоторым пользователям домена, и запретить запись всем со всех остальных хостов, даже тем же пользователям). Т.е. пользователи подключаются по ssh к линуксу, могут читать и писать в описанную шару. Но если они к этой же шаре подключатся не с ssh-сервера, то должно быть read_only. В голову приходит NFS, но там проблема с разными UID и GID одного и того же доменного пользователя на разных линукс-серверах. Но это попозже опишу в другой теме...

[AnrDaemon]

У вас какие-то больные требования.
Опишите изначальное задание, не пытаясь его решить.

[alex_nur]

Есть домен Windows AD.
Есть много компьютеров Windows. Пользователи работают на них.
Есть несколько SSH-серверов (линукс). Необходимо чтобы пользователь аутентифицировался на ssh-сервере используя билет kerberos, а также авторизовывался с ним уже из ssh-сессии. Т.е. ввод и сохранение где-либо паролей - запрещен (только при начальном входе в Windows). Это все сделано и работает.
Теперь необходимо чтобы ssh-серверы имели общую шару, устроенную таким образом:
доменные пользователи могут писать туда (в общую шару) только тогда, когда находятся на линукc-сервере (через ssh). Если они попытаюстся войти с других машин (не важно windows или других) - необходимо только чтение.
Если использовать шару Windows, то никто не знает как разрешить (я не занимаюсь администрированием серверов windows) одним и тем же пользователям запись туда с определенных IP (ssh-серверы линукс), и запретить когда те же самые доменные пользователи на windows ПК или любом другом попробуют войти на шару через \\server (только чтение должно быть)

[AnrDaemon]

Я просил изначальную задачу. А вы мне детали решения скидываете.
Меня не интересует, что вы там себе навыдумывали, я просил озвучить задачу.

[alex_nur]

Нужно пускать пользователей локалки через терминальный браузер, запретив отправку файлов в интернет, буфер обмена в одну сторону (запретить отправку файлов, разрешив только скачивание). Работать терминальный браузер должен в бесшовном режиме, чтобы у пользователя складывалось впечатление, что браузер запущен с его ПК с windows, с его привычного рабочего стола. Необходима сквозная SSO-аутентификация (Пароль доменный вводится один раз при включении компьютера windows и входе в домен).
Это задача, которую поставили. Насколько такая схема целесообразна - вопроса не стоит. Линукс был выбран по причине своей открытости и свободности. Есть решение (уже применяется) для этого в связке citrix + microsoft, но за деньги. В настоящее время лицензий лишних нет, а новые пользователи есть. Серверов ssh несколько по причине того, что одна железка не потянет всех пользователей. Предусмотреть возможность печати с терминального браузера. Также необходимо предусмотреть балансировщик нагрузки, который будет производить подключение пользователей к наименее загруженному ssh-серверу (round robin dns не учитывает нагрузку и доступность сервера). И стоит задача организовать файлообмен внутри ssh-серверов с возможностью записи, и только чтения с других хостов (каждый пользователь должен только _читать_ то, что он скачал с интернета, мог скопировать к себе на ПК с windows). Сейчас все эти задачи решены за исключением общей шары.
Сейчас почитал https://blog.ololo.cc/kerberos про nfs и kerberos и с понедельника попробую так NFS настроить. Т.е. на NFS-сервер с ssh-сессий доменные пользователи будут писать и читать, и с этой же машины через самбу - только читать с любых других хостов.

[AnrDaemon]

Подобная схема в принципе нереализуема.
Вы никогда не узнаете, скачивает пользователь файлы или отправляет.
Меняйте постановку задачи либо стиль работы пользователя.

[alex_nur]

Вы никогда не узнаете, скачивает пользователь файлы или отправляет.

Пусть отправляет. Но только то, что смог скачать из интернета. Главное чтобы не смог отправить файлы со своей машины, или нечто из буфера обмена. Схема уже работоспособна, если использовать 1 сервер.
Если же настроить NFSv4 и kerberos для записи (из firefox-ssh), и samba (только чтения с остальных хостов), то получится что не сможет пользователь отправить информацию со своей машины в интернет. Может конечно вручную перепечатывать текстовые файлы, этого никак не запретить.
PS: Уже второй человек мне говорит, что схема не реализуема. Можно узнать почему? Ведь она УЖЕ работает. Балансировщик нагрузки - самописное ПО (сервер и клиент). X-приложения прекрасно запускаются в бесшовном режиме через ssh (X11Forwarding). На windows устанавливается X-сервер (по такому же принципу работает X2go). Осталось прикрутить запись по nfs с kerberos и IP, и только чтение по самбе. Все хосты через WEB в локалке из такого браузера будут недоступны (т.к.подключение к интернету все равно идет через прокси. Изменить прокси или добавить узел в исключение пользователь не сможет, т.к. есть спец.зашифрованный файл mozilla,cfg, который запрещает это делать. Подключить самостоятельно какой либо сетевой ресурс для файлообмена по smb/nfs пользователь все равно не сможет, т.к. не имеет прав. Сменные носители и диски рабочей станции пользователя не имеются при использовании ssh-сессии).Все.

[AnrDaemon]

Тогда просто запускайте браузер в контейнере, например. Без доступа к локальной FS пользователя. И не надо будет извращаться так сильно.

[alex_nur]

Не буду писать в какой организации так решили, но поставили условие. Или работать по такой схеме в интернете (microsoft и citrix очень дорого для терминального  Internet Explorer), или иметь 2 ПК для каждого пользователя (для работы и для интернета), или оставить всех без интернета вообще. Не я это придумал, спорить не имею права. Про песочницу - необходимо еще антивирусом проверить то, что будет выкачано с инета (на случай если раб.станция пользователя по какой-либо причине не содержала последних баз обновлений, или антивирус не в порядке).
Также ничто не мешает пользователю в имеющийся локальный браузер прописать прокси, и отправить в инет файл (IP то в песочнице прежний будет, на прокси-сервере не разобрать будет какой браузер отправляет: локальный firefox или из песочницы). Да и те, кто задачу ставил назовут скорее всего еще несколько причин работать именно так.

[AnrDaemon]

Если у пользователя нет доступа к локальной FS, антивирус уже не так актуален. Плюс можно разворачивать гостевую среду каждый раз, что ещё больше снижает необходимость обслуживания.