Введение

Стенд:

• Компьютер-сервер разделяемых ресурсов Samba. В качестве сервера использовался сервер FreeIPA с настройками по умолчанию, т.е. использовалась служба samba, установленная при установке сервера FreeIPA (установка к ключом --setup-adtrust). Если установка FreeIPA выполнялась без этого ключа то добавить службу samba можно по инструкции Samba + FreeIPA аутентификация пользователей Samba в Kerberos.
  В примерах далее для этого сервера используется доменное имя ipa0.ipadomain.ru.
• Компьютер-клиент. В качестве клиента использовался компьютер, введённый в домен FreeIPA.

Установка samba

При необходимости установить samba отдельно можно воспользоваться общей статьей по настройке Samba

Создание каталогов для общего доступа

Создать каталоги на сервере, которые будут содержать разделяемые файловые ресурсы и установить желаемые права мандатного и дискретного доступа, например:

Одиночный каталог:

Или, для ОС Astra Linux Special Edition, группу каталогов с различным мандатным контекстом:

Установить желаемые дискретные атрибуты, например:

Разграничить мандатный доступ в соответствии с пунктом "4. МАНДАТНОЕ РАЗГРАНИЧЕНИЕ ДОСТУПА" документа "Руководство по КСЗ. Часть 1 РУСБ.10015-01 97 01-1"(ссылка):

Конфигурация сервера samba

Внести в конфигурационный файл /etc/samba/smb.conf информацию о разделяемом файловом ресурсе:

[global]
# По необходимости изменить имя группы
workgroup = WORKGROUP
# Сделать видимым для netbios
disable netbios = no
# убедиться, что это параметр выставлен, чтобы разделяемые ресурсы обнаруживались в сети
map to guest = Bad User

[share1]
comment = For all doc's 
# Доступно всем
guest ok = yes
path = /share1
read only = no
available = yes
browseable = yes
case sensitive = yes	
ea support = yes
fstype = Samba
smb encrypt = auto

disable netbios = no

После сохранения настроек проверить их корректность

Если команда testparm не находит ошибок, то перезапустить сервис Samba:

sudo systemctl restart smbd

Если всё сделано правильно, то команда

покажет название разделяемого ресурса.

Якорь
sambahomes sambahomes

Специальный файловый ресурс [homes] - домашние каталоги пользователей

В конфигурации самба зарезервировано имя ресурса [homes] - специально обрабатываемое имя для подключения домашних каталогов пользователей.
Специальная обработка позволяет подставлять имя пользователя в качестве имени разделяемого ресурса, что удобно для доступа к домашним каталогам.

Хотя этот ресурс по умолчанию указан в конфигурационном файле, для того, чтобы это ресурс можно был использовать необходимо выполнить выполнить следующие подготовительные действия:

• Добавить в секцию [global] конфигурационного файла параметр

  Информация
  passdb backend = smbpasswd

  
  

• Перезапустить службу samba

  Command
  sudo systemctl restart smbd

  
  

• Добавить пользователя в список пользователей samba:

  Command
  smbpasswd -a username

  
  

Описание разделяемого ресурса [homes] в файле /etc/samba/smb.conf может выглядеть вот так:

При этом в описании ресурса может отсутствовать в явном виде указание самого разделяемого каталога, а обращение к такому ресурсу выполняется по имени пользователя (предполагается, что команда smbclient вызвана от имени пользователя username):

Или можно явно задать имя пользователя, от имени которого должен вызываться ресурс:

При каждом таком обращении samba сначала ищет имя запрошенного ресурса в списке разделяемых ресурсов, и если имя не найдено проверяет наличие в конфигурации секции [homes].
Есть такая секция есть, то имя трактуется как имя пользователя, и проверяется по базе данных пользователей (например, /etc/passwd).
Если имя найдено в базе данных пользователей, то samba предоставляет в качестве разделяемого ресурса домашний каталог этого пользователя.
Каталог в простейшем случае берётся из файла /etc/passwd, но может быть изменен.

Якорь
shares shares

Подключение разделяемых ресурсов

Подключение разделяемого ресурса samba в сессии с нулевой классификационной меткой

Запустить менеджер файлов (fly-fm) и открыть раздел "Сеть", в котором отобразятся ресурсы Samba при условии включенного NetBIOS и его видимости:

Image Added

Если ресурс не виден для других и NetBIOS отключен, то его можно добавить самостоятельно, выбрав закладку "Сеть" или правым щелчком по разделу "Сеть":

Image Added

Монтирование разделяемых файловых ресурсов CIFS/Samba

Для монтирования разделяемых файловых ресурсов на компьютере-клиенте должен быть установлен пакет cifs-utils:

Монтирование разделяемого файлового ресурса выполняется командой mount с указанием соответствующего типа сетевой ФС, например:

В качестве опций команде могут передаваться параметры монтирования, такие как имя пользователя, используемый тип аутентификации, кодировка, использование прав доступа и т.п. При этом точка монтирования /media/share1 должна быть создана заранее и доступна пользователю, например:

Без соответствующей записи в /etc/fstab пользователь может использовать команды монтирования только с помощью sudo.
Для возможности монтирования разделяемого файлового ресурса пользователем в конфигурационном файле /etc/fstab должна быть объявлена строка монтирования, например следующего вида:

Точка монтирования должна быть создана заранее и доступна пользователю для чтения/записи, опция user предоставляет возможность монтирования указанного ресурса простому пользователю.
Пользователь при этом выполняет монтирование командой mount с указанием точки монтирования:

Полный список опций приведен в руководстве man для команд mount и mount.cifs. Описание формата конфигурационного файла /etc/fstab приведено в руководстве man для fstab.

Для того чтобы пользователю были доступны каталоги при входе с ненулевой классификационной меткой нужно в файле /etc/fstab на компьютере клиента указать следующие параметры:

Автоматическое монтирование ресурсов при входе пользователя с помощью pam_mount

Для автоматического монтирования разделяемых файловых ресурсов при входе пользователя используется PAM-модуль pam_mount, предоставляемый пакетом libpam-mount, то есть для автоматического монтирования разделяемых файловых ресурсов на компьютере-клиенте должны быть установлены пакет cifs-utils и libpam_mount:

Настройка модуля pam_mount осуществляется с помощью конфигурационного файла /etc/security/pam_mount.conf.xml.

При установке пакета libpam_mount вызов модуля pam_mount автоматически вносится в соответствующие pam-сценарии (common-auth, common-session) в каталоге /etc/pam.d.

Описание возможностей модуля pam_mount и формат его конфигурационного файла приведены в руководстве man для pam_mount и pam_mount.conf.

Для монтирования с помощью pam-mount разделяемых файловых ресурсов в конфигурационном файле должны быть указаны параметры монтируемого тома, например:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
    See pam_mount.conf(5) for a description.
-->
<pam_mount>
    <!-- debug should come before everything else,
         since this file is still processed in a single pass
         from top-to-bottom -->
    <debug enable="1" />
    <!-- Volume definitions -->
    <cifsmount>mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS) </cifsmount>
    <!-- pam_mount parameters: General tunables -->
    <!-- Описание тома, который должен монтироваться -->
    <volume 
        fstype="cifs"
        server="ipa0.ipadomain.ru"
        path="share1"
        mountpoint="/media/%(USER)"
        options="user=%(USER),cruid=%(USER),sec=krb5i,file_mode=0770,dir_mode=0770"
    />

    <!--
    <luserconf name=".pam_mount.conf.xml" />
    -->

    <!-- Note that commenting out mntoptions will give you the defaults.
         You will need to explicitly initialize it with the empty string
         to reset the defaults to nothing. -->
    <mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
    <!--
    <mntoptions deny="suid,dev" />
    <mntoptions allow="*" />
    <mntoptions deny="*" />
    -->
    <mntoptions require="nosuid,nodev" />

    <logout wait="50000" hup="1" term="1" kill="1" />
    <!-- <logout wait="0" hup="no" term="no" kill="no" /> -->
    <!-- pam_mount parameters: Volume-related -->
    <mkmountpoint enable="1" remove="true" />
</pam_mount>

Вариант описания тома для монтирования домашних каталогов пользователей (предполагается, что на сервере samba настроен специальный ресурс home):

...
<volume 
        fstype="cifs"
        server="ipa0.ipadomain.ru"
        path="%(USER)"
        mountpoint="/home/%(USER)"
        options="user=%(USER),cruid=%(USER),sec=krb5i,file_mode=0770,dir_mode=0770"
/>
...

•  При использовании с аутентификацией Kerberos в ЕПП в строке опций монтирования должен быть указан параметр аутентификации sec=krb5i (предпочтительно с точки зрения безопасности, но требует больше ресурсов) или sec=krb5. В этом случае при монтировании будет использоваться текущий кеш Kerberos пользователя.

Для точки монтирования mountpoint должен быть указан отдельный каталог, например: /media/ald_share. Пример:

Автоматическое монтирование домашних каталогов при входе пользователя с помощью pam_mount

Для автоматического монтирования используем ресурс [homes], который будем монтировать в локальный домашний каталог пользователя /home/<имя_пользователя> . Модифицируем конфигурацию pam_mount:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
        See pam_mount.conf(5) for a description.
-->

<pam_mount>
    <!-- debug should come before everything else,
         since this file is still processed in a single pass
         from top-to-bottom -->
    <debug enable="1" />

    <!-- Volume definitions -->
    <!-- обращаемся к ресурсу homes по имени пользователя -->
    <cifsmount>mount.cifs //%(SERVER)/%(USER) %(MNTPT) -o %(OPTIONS) </cifsmount>
    <!-- pam_mount parameters: General tunables -->
    <!-- Описание тома, который должен монтироваться -->
    <volume 
        fstype="cifs"
        server="ipa0.ipadomain.ru"
        path="%(USER)"
        mountpoint="/home/%(USER)"
        options="rw,user=%(USER),gid=%(USER),uid=%(USER),cruid=%(USER),sec=krb5i,file_mode=0770,dir_mode=0770"
    />
    <!--
        <luserconf name=".pam_mount.conf.xml" />
    -->

    <!-- Note that commenting out mntoptions will give you the defaults.
         You will need to explicitly initialize it with the empty string
         to reset the defaults to nothing. -->
    <mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
    <!--
    <mntoptions deny="suid,dev" />
    <mntoptions allow="*" />
    <mntoptions deny="*" />
    -->
    <mntoptions require="nosuid,nodev" />

    <logout wait="50000" hup="1" term="1" kill="1" />
	<!-- <logout wait="0" hup="no" term="no" kill="no" /> -->
    <!-- pam_mount parameters: Volume-related -->
    <mkmountpoint enable="1" remove="true" />
</pam_mount>

Параметр монтирования luserconf

При использовании pam_mount пользователям может быть предоставлена возможность самостоятельно определять дополнительные тома монтирования. Такие тома определяются в конфигурационном пользовательском файле, задаваемом параметром luserconf основного конфигурационного файла /etc/security/pam_mount.conf.xml модуля pam_mount. Синтаксис параметра:

luserconf name="<имя_конфигурационного_файла_пользователя>"

например:

<luserconf name=".pam_mount.conf.xml" />

Конфигурационный пользовательский файл располагается в домашнем каталоге пользователя и может редактироваться пользователем самостоятельно. Точки монтирования указываются относительно домашнего каталога пользователя. Таким образом, указанному непривилегированному пользователю разрешается монтировать любые заданные тома, получая при этом права владения локальными смонтированными ресурсами. Операции монтирования выполняются от имени и с правами суперпользователя. Применение этой возможности может повлечь серьёзные угрозы безопасности, поэтому по умолчанию возможность пользовательского монтирования отключена. Конфигурации пользователей обрабатываются после того, как смонтированы все заданные в глобальной конфигурации тома, включая домашние каталоги пользователей, что обеспечивает возможность дальнейшего монтирования томов, заданных с помощью параметра luserconf.

Для управления доступными пользователям опциями монтирования применяются следующие параметры основного конфигурационного файла:

• mntoptions allow - разрешенные пользователям опции монтирования, например:

  Блок кода
  <mntoptions allow="user,cruid,vers,sec,nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />

  По умолчанию это опции nosuid и nodev, Значение, принятое по умолчанию заменяется значением из первого найденного указания параметра, последующие указания суммируются;

• mntoptions deny - запрещенные пользователям опции монтирования. По умолчанию список пуст;
• mntoptions require - обязательные опции монтирования для пользователей. По умолчанию это опции nosuid и nodev. Значение, принятое по умолчанию заменяется значением из первого найденного указания параметра, последующие указания суммируются;

Настройка и монтирование разделяемых ресурсов DFS

Настройка разделяемых ресурсов Distributed File System (DFS) выполнятся на серверах под управлением Microsoft Windows и в данной статье не рассматривается. Монтирование разделяемых ресурсов DFS, так же как разделяемых ресурсов samba, выполняется по протоколу cifs. 

Для работы с ресурсами DFS требуется установить пакет keyutils:

Для корректной работы с ресурсами DFS (в том числе, ресурсами, содержащими кириллицу в названиях), следует использовать версии ядра выше чем linux_5.4.0-110.astra35+ci1 и linux-5.10_5.10.0-1057.astra6+ci7.

Монтирование разделяемых ресурсов DFS можно делать с указанием полного доменного имени сервера или с указанием только имени домена, например:

Указание полного доменного имени сервера: 

Указание имени домена:

Для монтирования ресурсов DFS по имени домена с использованием аутентификации Kerberos необходимо сделать дополнительные настройки:

1. Рекомендованный вариант. Добавить к имени сервера псевдоним — имя домена. Это можно сделать выполнив на контроллере домена команду: SETSPN:

   Command
   SETSPN -s cifs/<имя_домена> <имя_сервера>

   Например:

   Command
   SETSPN -s cifs/ad12.loc w12

   
   

2. При невозможности создания псевдонимов внести ключ "-t" в конфигурационный файл /etc/request-key.d/cifs.spnego.conf:
   

   Предупреждение
   Данный способ не является рекомендованным, так как ключ "-t" разрешает использовать сведения, предоставляемые DNS-сервером (доверять DNS-серверу), что снижает безопасность системы.

   
   

   Блок кода
   create cifs.spnego * * /usr/sbin/cifs.upcall -t %k

   
   

В остальном, так как монтирование ресурсов DFS выполнятся так же, как и ресурсов samba, по протоколу CIFS,  для монтирования применимы приведенные выше настройки Подключение разделяемых ресурсов. 

Известные проблемы

Установка пакетов не завершается

Если в ОС используется модуль pam_mount, то при установке некоторых пакетов выводится запрос:

reenter password for pam_mount

На этом установка пакета останавливается и более не продолжается.

Для устранения этой проблемы заменить в файле /etc/pam.d/common-session строку:

session optional pam_mount.so

на строку:

session optional pam_mount.so disable_interactive

Введение

Стенд:

• Компьютер-сервер разделяемых ресурсов Samba. В качестве сервера использовался сервер FreeIPA с настройками по умолчанию, т.е. использовалась служба samba, установленная при установке сервера FreeIPA.
• Компьютер-клиент. В качестве клиента использовался компьютер, введённый в домен FreeIPA.

Установка samba

При необходимости установить samba отдельно можно воспользоваться общей статьёй по настройке Samba

Создание каталогов для общего доступа

Создать каталоги на сервере, которые будут содержать разделяемые файловые ресурсы и установить желаемые права мандатного и дискретного доступа, например:

Одиночный каталог:

Конфигурация Samba

Внести в конфигурационный файл /etc/samba/smb.conf информацию о разделяемом файловом ресурсе:

[global]
#Изменить имя группы
workgroup = da.net
#Сделать видимым для netbios
disable netbios = no

[share1]
available = yes
comment = For all doc's
browseable = yes
case sensitive = yes
ea support = yes
fstype = Samba
path = /share1
writable = yes
smb encrypt = auto
read only = no
#Доступно всем
guest ok = yes
map to guest = Bad User

Для того, чтобы разделяемые samba-ресурсы отображались ресурса в разделе сеть файлового менеджера fly-fm с нулевой классификационной меткой через протокол NetBIOS
в конфигурационном файле /etc/samba/smb.conf должна быть установлена опция "disable netbios = no" (установлена по умолчанию).

disable netbios = no

После сохранения настроек перезапустить сервис Samba:

service smbd restart

Подключение разделяемого samba-ресурса в сессии с нулевой классификационной меткой

Запустить менеджер файлов (fly-fm) и открыть раздел "Сеть", в котором отобразятся ресурсы Samba при условии включенного NetBIOS и его видимости:

Image Removed

Если ресурс не виден для других и NetBIOS отключен, то его можно добавить самостоятельно, выбрав закладку "Сеть" или правым щелчком по разделу "Сеть":

Image Removed

Монтирование разделяемых файловых ресурсов

Для монтирования разделяемых файловых ресурсов на компьютере-клиенте должен быть установлен пакет cifs-utils:

Монтирование разделяемого файлового ресурса выполняется командой mount с указанием соответствующего типа сетевой ФС, например:

В качестве опций команде могут передаваться параметры монтирования, такие как имя пользователя, используемый тип аутентификации, кодировка, использование прав доступа и т.п. При этом точка монтирования /media/share1 должна быть создана заранее и доступна пользователю, например:

 Без соответствующей записи в /etc/fstab пользователь может использовать команды монтирования только с помощью sudo.
Для возможности монтирования разделяемого файлового ресурса пользователем в конфигурационном файле /etc/fstab должна быть объявлена строка монтирования, например следующего вида:

Точка монтирования должна быть создана заранее и доступна пользователю для чтения/записи, опция user предоставляет возможность монтирования указанного ресурса простому пользователю.
Пользователь при этом выполняет монтирование командой mount с указанием точки монтирования:

Полный список опций приведен в руководстве man для команд mount и mount.cifs. Описание формата конфигурационного файла /etc/fstab приведено в руководстве man для fstab.

Для того чтобы были пользователю были доступны каталоги при входе с ненулевой классификационной меткой в файле /etct/fstab на компьютере клиента прописываем следующие параметры:

Автоматическое монтирование ресурсов при входе пользователя с помощью pam_mount

Для автоматического монтирования разделяемых файловых ресурсов на компьютере-клиенте должен быть установлен пакет cifs-utils:

Для автоматического монтирования разделяемых файловых ресурсов при входе пользователя используется pam модуль pam_mount, предоставляемый пакетом libpam-mount, который может быть установлен следующим образом:

Настройка pam модуля осуществляется с помощью конфигурационного файла /etc/security/pam_mount.conf.xml.

Использование pam модуля указывается в соответствующих pam сценариях (common-auth, common-session) в каталоге /etc/pam.d.

Описание возможностей pam модуля pam_mount и формат его конфигурационного файла приведены в руководстве man для pam_mount и pam_mount.conf.

Для монтирования  с помощью pam-mount разделмых файловых ресурсов СЗФС CIFS, представляющих собой домашние каталоги пользователей, конфигурационный файл должен быть модифицирован следующим образом (в пределах тега pam_mount):

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd"><pam_mount>

 <!-- Параметры отладки должны быть определены первыми так как файл настоек обрабатывается за один проход -->
<debug enable="1" />

 <!-- Volume definitions -->
<logout wait="50000" hup="1" term="1" kill="1" />
<mkmountpoint enable="1" remove="true" />
<cifsmount>mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS) </cifsmount>

<volume
     fstype="cifs"
    server="fileserver1.org.net"
    path="share1"
    mountpoint="/media/%(USER)"
    options="user=%(USER),rw,setuids,perm,soft,iocharset=utf8,nosharesock,vers=1.0"
/>
 <!-- pam_mount parameters: General tunables -->

<!-- <luserconf name=".pam_mount.conf.xml" /> -->

<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<mntoptions require="nosuid,nodev" />

</pam_mount>

В приведённом выше примере разделяемый ресурс при входе любого пользователя монтируется в каталог /media/username. При этом выбраны опции монтирования, позволяющие осуществлять доступ к смонтированным данным в соответствии с правилами мандатного разграничения доступа. Если указать в параметрах тома mountpoint="/home/%(USER)/share1"  то разделяемый ресурс будет монтироваться в подкаталог /share1/ домашнего каталога пользователя. В ОС СН Смоленск/Ленинград для того, чтобы монтирование корректно выполнялось при входе с ненулевой классификационной меткой, нужно изменить PAM-стек, так, чтобы автоматическое монтирование  с помощью pam_mount выполнялось после определения значений мандатных атрибутов пользователя и создания домашнего каталога. Для этого вызов модуля pam_mount нужно удалить из файла /etc/pam.d/common-session и добавить в файлы /etc/pam.d/login и /etc/pam.d/fly-dm после вызова соответствующих модулей Astra Linux:

Для FreeIPA:

Для ALD:

При использовании с аутентификацией Kerberos в ЕПП в строке опций монтирования должен быть указан параметр аутентификации sec=krb5i. В этом случае при монтировании будет использоваться текущий кэш Kerberos пользователя.

path="share" mountpoint="/media/ald_share"
options="user=%(USER),rw,setuids,perm,soft,sec=krb5i,cruid=%(USERUID),iocharset=utf8" />