Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: монтирование ресурса smb без прав root, домен  (Прочитано 1346 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн alex_nur

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Добрый день.
Необходимо подключаться пользователям winbind к файловому серверу Windows. Linux и Windows в домене AD не вводя никаких паролей (используя билет kerberos, полученный при входе).
Доменные пользователи при входе на линукс-машину имеют билет kerberos (klist работает)
Если под root выполнить:
# mount.cifs //server/share ~/smb -o sec=krb5
предварительно получив билет через kinit,
то руту монтируется ресурс//server/share в ~/smb.

Необходимо смонтировать каждому пользователю ресурс //server/domain_name ~/smb.
При использовании "mount.cifs //server/share ~/smb -o sec=krb5" возникает ошибка, т.к.это обычный пользователь, и это правильно.
Необходимо смонтировать только этот ресурс, запретив пользователям монтировать другие ресурсы, причем каждому свой:
\\server\domain_name 
domain_name  - совпадает с логином linux без алиаса домена(точнее winbind-пользователем).
Как быть?


PS:
smbclient -L server -k
и
smbclient //server/share -k
работают (вход по билету, авторизация не запрашивается). Но только в smbclient

« Последнее редактирование: 14 Октябрь 2016, 10:11:48 от alex_nur »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26078
    • Просмотр профиля
Re: монтирование ресурса smb без прав root, домен
« Ответ #1 : 14 Октябрь 2016, 11:17:48 »
Для монтирования пльзователем существует FUSE.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн alex_nur

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: монтирование ресурса smb без прав root, домен
« Ответ #2 : 14 Октябрь 2016, 14:50:13 »
Для монтирования пльзователем существует FUSE.

Поздновато прочел. А если пользователя добавить в fuse, он разве не сможет подключать и другие ресурсы по smb? Это запрещено. Нужно только один, заранее заданный root'ом.
В общем, пришлось напрячься (пробовал другими путями, в итоге пришел к одному) и получилось вот что.

В /etc/sudoers
добавил алиас:
Код: HTML5
  1. User_Alias DOM = %domain\ users
и в этот же файл что дозволено этому алиасу:
Код: HTML5
  1. DOM ALL=NOPASSWD: /share_mount/mnt_smb, /share_umount/umnt_smb

Теперь доменные пользователи могут запускать от имени root только 2 скрипта (по умолчанию они не суперпользователи и не могли использовать sudo) /share_mount/mnt_smb и /share_umount/umnt_smb, причем без ввода своего пароля.

Содержание mnt_smb:
Код: Bash
  1. #!/bin/bash
  2. user=$(echo $SUDO_USER)
  3. home_user=$(eval echo ~$SUDO_USER)
  4. #echo $user
  5. #echo $home_user
  6. com= mount.cifs //server/$SUDO_USER $home_user/smb -o iocharset=utf8,file_mode=0777,dir_mode=0777,sec=krb5
  7. eval $com

Появляется шара (на сервере server подставляется логин), пароль ни на что нигде не вводится (билет kerberos).

Запускать можно только с укзаанием полного пути, как это прописано в /etc/sudoers, т.е.:
Код: Bash
  1. sudo /share_mount/mnt_smb


Во втором скрипте отмонтирование.

Только сейчас выяснилось, что с помощью подключения к win-ресурсу невозможно реализовать задуманное (разрешить запись только с отдельных хостов некоторым пользователям домена, и запретить запись всем со всех остальных хостов, даже тем же пользователям). Т.е. пользователи подключаются по ssh к линуксу, могут читать и писать в описанную шару. Но если они к этой же шаре подключатся не с ssh-сервера, то должно быть read_only. В голову приходит NFS, но там проблема с разными UID и GID одного и того же доменного пользователя на разных линукс-серверах. Но это попозже опишу в другой теме...
« Последнее редактирование: 14 Октябрь 2016, 15:24:36 от Azure »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26078
    • Просмотр профиля
Re: монтирование ресурса smb без прав root, домен
« Ответ #3 : 14 Октябрь 2016, 15:09:30 »
У вас какие-то больные требования.
Опишите изначальное задание, не пытаясь его решить.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн alex_nur

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: монтирование ресурса smb без прав root, домен
« Ответ #4 : 14 Октябрь 2016, 15:20:47 »
Есть домен Windows AD.
Есть много компьютеров Windows. Пользователи работают на них.
Есть несколько SSH-серверов (линукс). Необходимо чтобы пользователь аутентифицировался на ssh-сервере используя билет kerberos, а также авторизовывался с ним уже из ssh-сессии. Т.е. ввод и сохранение где-либо паролей - запрещен (только при начальном входе в Windows). Это все сделано и работает.
Теперь необходимо чтобы ssh-серверы имели общую шару, устроенную таким образом:
доменные пользователи могут писать туда (в общую шару) только тогда, когда находятся на линукc-сервере (через ssh). Если они попытаюстся войти с других машин (не важно windows или других) - необходимо только чтение.
Если использовать шару Windows, то никто не знает как разрешить (я не занимаюсь администрированием серверов windows) одним и тем же пользователям запись туда с определенных IP (ssh-серверы линукс), и запретить когда те же самые доменные пользователи на windows ПК или любом другом попробуют войти на шару через \\server (только чтение должно быть)

« Последнее редактирование: 14 Октябрь 2016, 15:25:00 от alex_nur »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26078
    • Просмотр профиля
Re: монтирование ресурса smb без прав root, домен
« Ответ #5 : 14 Октябрь 2016, 16:24:31 »
Я просил изначальную задачу. А вы мне детали решения скидываете.
Меня не интересует, что вы там себе навыдумывали, я просил озвучить задачу.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн alex_nur

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: монтирование ресурса smb без прав root, домен
« Ответ #6 : 14 Октябрь 2016, 17:12:28 »
Нужно пускать пользователей локалки через терминальный браузер, запретив отправку файлов в интернет, буфер обмена в одну сторону (запретить отправку файлов, разрешив только скачивание). Работать терминальный браузер должен в бесшовном режиме, чтобы у пользователя складывалось впечатление, что браузер запущен с его ПК с windows, с его привычного рабочего стола. Необходима сквозная SSO-аутентификация (Пароль доменный вводится один раз при включении компьютера windows и входе в домен).
Это задача, которую поставили. Насколько такая схема целесообразна - вопроса не стоит. Линукс был выбран по причине своей открытости и свободности. Есть решение (уже применяется) для этого в связке citrix + microsoft, но за деньги. В настоящее время лицензий лишних нет, а новые пользователи есть. Серверов ssh несколько по причине того, что одна железка не потянет всех пользователей. Предусмотреть возможность печати с терминального браузера. Также необходимо предусмотреть балансировщик нагрузки, который будет производить подключение пользователей к наименее загруженному ssh-серверу (round robin dns не учитывает нагрузку и доступность сервера). И стоит задача организовать файлообмен внутри ssh-серверов с возможностью записи, и только чтения с других хостов (каждый пользователь должен только _читать_ то, что он скачал с интернета, мог скопировать к себе на ПК с windows). Сейчас все эти задачи решены за исключением общей шары.
Сейчас почитал https://blog.ololo.cc/kerberos про nfs и kerberos и с понедельника попробую так NFS настроить. Т.е. на NFS-сервер с ssh-сессий доменные пользователи будут писать и читать, и с этой же машины через самбу - только читать с любых других хостов.
« Последнее редактирование: 14 Октябрь 2016, 20:33:52 от alex_nur »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26078
    • Просмотр профиля
Re: монтирование ресурса smb без прав root, домен
« Ответ #7 : 15 Октябрь 2016, 15:41:30 »
Подобная схема в принципе нереализуема.
Вы никогда не узнаете, скачивает пользователь файлы или отправляет.
Меняйте постановку задачи либо стиль работы пользователя.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн alex_nur

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: монтирование ресурса smb без прав root, домен
« Ответ #8 : 16 Октябрь 2016, 22:40:15 »
Вы никогда не узнаете, скачивает пользователь файлы или отправляет.

Пусть отправляет. Но только то, что смог скачать из интернета. Главное чтобы не смог отправить файлы со своей машины, или нечто из буфера обмена. Схема уже работоспособна, если использовать 1 сервер.
Если же настроить NFSv4 и kerberos для записи (из firefox-ssh), и samba (только чтения с остальных хостов), то получится что не сможет пользователь отправить информацию со своей машины в интернет. Может конечно вручную перепечатывать текстовые файлы, этого никак не запретить.
PS: Уже второй человек мне говорит, что схема не реализуема. Можно узнать почему? Ведь она УЖЕ работает. Балансировщик нагрузки - самописное ПО (сервер и клиент). X-приложения прекрасно запускаются в бесшовном режиме через ssh (X11Forwarding). На windows устанавливается X-сервер (по такому же принципу работает X2go). Осталось прикрутить запись по nfs с kerberos и IP, и только чтение по самбе. Все хосты через WEB в локалке из такого браузера будут недоступны (т.к.подключение к интернету все равно идет через прокси. Изменить прокси или добавить узел в исключение пользователь не сможет, т.к. есть спец.зашифрованный файл mozilla,cfg, который запрещает это делать. Подключить самостоятельно какой либо сетевой ресурс для файлообмена по smb/nfs пользователь все равно не сможет, т.к. не имеет прав. Сменные носители и диски рабочей станции пользователя не имеются при использовании ssh-сессии).Все.
« Последнее редактирование: 16 Октябрь 2016, 22:58:55 от alex_nur »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26078
    • Просмотр профиля
Re: монтирование ресурса smb без прав root, домен
« Ответ #9 : 16 Октябрь 2016, 23:01:54 »
Тогда просто запускайте браузер в контейнере, например. Без доступа к локальной FS пользователя. И не надо будет извращаться так сильно.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн alex_nur

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: монтирование ресурса smb без прав root, домен
« Ответ #10 : 16 Октябрь 2016, 23:08:03 »
Не буду писать в какой организации так решили, но поставили условие. Или работать по такой схеме в интернете (microsoft и citrix очень дорого для терминального  Internet Explorer), или иметь 2 ПК для каждого пользователя (для работы и для интернета), или оставить всех без интернета вообще. Не я это придумал, спорить не имею права. Про песочницу - необходимо еще антивирусом проверить то, что будет выкачано с инета (на случай если раб.станция пользователя по какой-либо причине не содержала последних баз обновлений, или антивирус не в порядке).
Также ничто не мешает пользователю в имеющийся локальный браузер прописать прокси, и отправить в инет файл (IP то в песочнице прежний будет, на прокси-сервере не разобрать будет какой браузер отправляет: локальный firefox или из песочницы). Да и те, кто задачу ставил назовут скорее всего еще несколько причин работать именно так.
« Последнее редактирование: 16 Октябрь 2016, 23:11:57 от alex_nur »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26078
    • Просмотр профиля
Re: монтирование ресурса smb без прав root, домен
« Ответ #11 : 17 Октябрь 2016, 00:37:56 »
Если у пользователя нет доступа к локальной FS, антивирус уже не так актуален. Плюс можно разворачивать гостевую среду каждый раз, что ещё больше снижает необходимость обслуживания.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.073 секунд. Запросов: 24.