Форум русскоязычного сообщества Ubuntu


Автор Тема: AD для Ubuntu  (Прочитано 1268 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Novichog

  • Автор темы
  • Любитель
  • *
  • Сообщений: 54
    • Просмотр профиля
AD для Ubuntu
« : 14 Апреля 2021, 07:06:20 »
Доброго времени суток. Вопрос такой: есть контроллер домена на Windows 2012 прописал туда комп на Ubuntu 20 все замечательно, могу заходить на этот комп пользователями домена, но компьютеры в сети не видны. Если цепляться к шаре на прямую (smb://192.168.0.45) то она запрашивает пароль, после его ввода доступ есть, но разве она не должна по умолчанию открываться с учетом прав пользователя с которым зашли на комп?

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2537
    • Просмотр профиля
Re: AD для Ubuntu
« Ответ #1 : 14 Апреля 2021, 08:43:46 »
она не должна по умолчанию открываться с учетом прав пользователя с которым зашли на комп?

Только в том случае если для этого компа сохранён пароль. В Windows это в разделе "администрирование учётных записей".
Если при входе поставить галочку "сохранить пароль" то он туда и запишется.
Linux тоже предлагает сохранить пароль для ресурса когда заходишь.

Оффлайн c47

  • Активист
  • *
  • Сообщений: 356
    • Просмотр профиля
Re: AD для Ubuntu
« Ответ #2 : 14 Апреля 2021, 09:30:22 »
у нас в офисе все нужные ресурсы прописаны в fstab, в таком случае всё подтягивается к авторизованному в данный момент пользователю
(Нажмите, чтобы показать/скрыть)

но есть одна неприятность: пользователи могут создать файл, но другие не могут его редактировать, т.е. как я понимаю - дело в дефотном umask, но как его прописать в fstab на конечной машине, например umask=0007 или любые другие значения(007, 005, 002), то монтирование не происходит, форум archlinux изучал, пробовал разные варианты, но монтирование так и не работает с любым umask

Оффлайн Novichog

  • Автор темы
  • Любитель
  • *
  • Сообщений: 54
    • Просмотр профиля
Re: AD для Ubuntu
« Ответ #3 : 14 Апреля 2021, 09:35:36 »
При подключении к windows шаре на файловом сервере, после набора логина и пароля все работает отлично без проблем с файлами.

Пользователь добавил сообщение 14 Апреля 2021, 09:38:16:
Только в том случае если для этого компа сохранён пароль. В Windows это в разделе "администрирование учётных записей".
Если при входе поставить галочку "сохранить пароль" то он туда и запишется.
Linux тоже предлагает сохранить пароль для ресурса когда заходишь.

Т.е. если на linux машине завести локального пользователя с учетными данными как у доменного, то он автоматом будет открывать windows шары?
« Последнее редактирование: 14 Апреля 2021, 09:38:16 от Novichog »

Оффлайн Domitory

  • Активист
  • *
  • Сообщений: 565
    • Просмотр профиля
Re: AD для Ubuntu
« Ответ #4 : 14 Апреля 2021, 10:08:18 »
у нас в офисе все нужные ресурсы прописаны в fstab, в таком случае всё подтягивается к авторизованному в данный момент пользователю
(Нажмите, чтобы показать/скрыть)

но есть одна неприятность: пользователи могут создать файл, но другие не могут его редактировать, т.е. как я понимаю - дело в дефотном umask, но как его прописать в fstab на конечной машине, например umask=0007 или любые другие значения(007, 005, 002), то монтирование не происходит, форум archlinux изучал, пробовал разные варианты, но монтирование так и не работает с любым umask

Сетевые шары для компьютера заведенного в домен прописывать в fstab не очень хорошая идея.

Попробуйте как делал я с помощью pam_mount


#Монтирование сетевых шар в домене с помощью pam_mount

При использовании pam_mount сетевой ресурс подключается с заданного сервера автоматически при входе доменным пользователем, каталог для монтирования ресурса создается автоматически.

На компьютере-клиенте должны быть установлены пакет cifs-utils и пакет pam_mount

apt-get install cifs-utils  --установка пакета cifs-utils
apt-get install pam_mount   --установка пакета pam_mount

     --Для Kubuntu 20.04
     apt-get install libpam-mount   --установка пакета pam_mount

Для работы pam_mount необходимо подключить его, определив в файле /etc/pam.d/auth*.

Все инструкции, в которых указывается "что" и "для какого пользователя" хранятся в виде обычного xml-файла в /etc/security/pam_mount.conf.xml. Настройки хранящиеся в этом файле едины для всех пользователей, если нужно определить индивидуальные настройки для конкретного пользователя, то они задаются в домашнем каталоге пользователя в файле .pam_mount.conf.xml (он обязатьно должен быть скрытым, тоесть в начале имени файла должна стоять точка).

      */etc/pam.d/auth          --в разных системах файл описывающий подключение pam-модулей обслуживающих авторизацию пользователя называются по разному:
       /etc/pam.d/auth          --Debian
       /etc/pam.d/login         --Ubuntu
       /etc/pam.d/system-auth   --Mandriva, ALT Linux.

Открываем на редактирование файл /etc/pam.d/system-auth-sss (так он называется в ALT Linux 9)
И добавляем в него строки
В секцию auth перед auth required pam_sss.so добавляем:

auth            optional        pam_mount.so

А в секцию  session добавляем:

session         optional        pam_mount.so

Настройка  подключения сетевых ресурсов в pam_mount осуществляется через редактирование конфигурационного файла /etc/security/pam_mount.conf.xml

Открываем его на редактирование и находим в нем строку

<!-- Volume definitions -->

и дабовляем после неё строки  на подобии этой

<volume uid="10000-2000200000" fstype="cifs" server="fs-1" path="Divisions" mountpoint="~/Disk-P" options="sec=krb5,vers=3.0,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERUID),file_mode=0664,dir_mode=0775" />

Где:
server="fs-1"             --это имя сервера на котором расположены шары
path="Divisions"          --имя шары на сервере
mountpoint="~/Disk-P"     --точка монтирования для шары, создается автоматически для каждого доменного пользователя. Необходимо чтобы расположение было указанно на каталог доступный пользователю,
                            в данном случае тильдой (~) задан путь к домашнему каталогу пользователя

Пример файла
vim /etc/security/pam_mount.conf.xml

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
        See pam_mount.conf(5) for a description.
-->

<pam_mount>

                <!-- debug should come before everything else,
                since this file is still processed in a single pass
                from top-to-bottom -->

<debug enable="0" />

                <!-- Volume definitions -->
<volume uid="10000-2000200000" fstype="cifs" server="fs-1" path="Documentation" mountpoint="~/Disk-V" options="sec=krb5,vers=3.0,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERUID),file_mode=0664,dir_mode=0775" />
<volume uid="10000-2000200000" fstype="cifs" server="fs-1" path="applications" mountpoint="~/Disk-U" options="sec=krb5,vers=3.0,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERUID),file_mode=0664,dir_mode=0775" />
                <!-- pam_mount parameters: General tunables -->

<!--
<luserconf name=".pam_mount.conf.xml" />
-->

<!-- Note that commenting out mntoptions will give you the defaults.
     You will need to explicitly initialize it with the empty string
     to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,sec" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />

<!-- requires ofl from hxtools to be present -->
<logout wait="0" hup="no" term="no" kill="no" />


                <!-- pam_mount parameters: Volume-related -->

<mkmountpoint enable="1" remove="true" />


</pam_mount>


« Последнее редактирование: 14 Апреля 2021, 10:18:03 от Domitory »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: AD для Ubuntu
« Ответ #5 : 14 Апреля 2021, 10:33:27 »
c47, начать с того, что вы прописали nfs, который к AD имеет отношение примерно никакое.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн c47

  • Активист
  • *
  • Сообщений: 356
    • Просмотр профиля
Re: AD для Ubuntu
« Ответ #6 : 14 Апреля 2021, 10:42:30 »
с помощью pam_mount
Спасибо за совет, я попробую как немного раскидаюсь с рутиной

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2537
    • Просмотр профиля
Re: AD для Ubuntu
« Ответ #7 : 14 Апреля 2021, 13:24:18 »
Т.е. если на linux машине завести локального пользователя с учетными данными как у доменного, то он автоматом будет открывать windows шары?

Будет, у меня файловый сервер не введён в домен, пользователей создаю с такими же именами как в домене.
Виндузятники заходят без авторизации и сохранения пароля.

 

Страница сгенерирована за 0.039 секунд. Запросов: 22.