Справочный центр

Дерево страниц

Сравнение версий

Старая версия 9

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 16

changes.mady.by.user Дмитрий Анохов

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Статья для операционной системы специального назначения "Astra Linux Special Edition" (ОС СН) версии 1.5 и ALCE и "Astra Linux Common Edition" (ОС ОН) 1.11

Оглавление

Создание каталогов для общего доступа

...


Или группу каталогов с различным мандатным контекстом:

Command

mkdir /share1
mkdir /share1/zero
mkdir /share1/dsp
mkdir /share1/secret
mkdir /share1/topsecret


Установить желаемые дискретные атрибуты, например:

...


Разграничить мандатный доступ в соответствии с пунктом "4. МАНДАТНОЕ РАЗГРАНИЧЕНИЕ ДОСТУПА" документа "Руководство по КСЗ. Часть 1 РУСБ.10015-01 97 01-1"(ссылка):

Command

pdpl-file 3:0:-1:ccnr /share1/
pdpl-file 1:0:0 /share1/dsp
pdpl-file 2:0:0 /share1/secret
pdpl-file 3:0:0 /share1/topsecret

...

Блок кода
iconfalse
languagebash
title/etc/samba/smb.conf 
[global]
#Изменить имя группы
workgroup = da.net
map to guest = Bad User
#Сделать видимым для netbios 
disable netbios = no
[share1]
available = yes
comment = For all doc's
browseable = yes
case sensitive = yes
ea support = yes
fstype = Samba
path = /share1
writable = yes
smb encrypt = auto
read only = no
#Сделать видимым для netbios
disable netbios = no
#Доступно всем
guest ok = yes
map to guest = Bad User


Примечание

Для отображения ресурса в разделе сеть файлового менеджера fly-fm под меткой не отличной от нуля через протокол NetBIOS, установить опцию "disable netbios = no"

Блок кода
disable netbios = no


...

Запустить менеджер файлов (fly-fm) и открыть раздел "Сеть", в котором отобразятся ресурсы Samba при условии включенного NetBIOS и его видимости:


Если ресурс не виден для других и NetBIOS отключен, то его можно добавить самостоятельно, выбрав закладку "Сеть" или правым щелчком по разделу "Сеть":

...

Command
borderColor#c2e6ff
bgColor#e2f3ff

mount.cifs //сервер/ресурс /точка_монтирования [-o опции]
mount -t cifs //сервер/ресурс /точка_монтирования [-o опции]

...

Для возможности монтирования разделяемого файлового ресурса пользователем в конфигурационный файл /etc/fstab:

  1. Должен быть установлен пакет cifs-utils:

    Command
    apt install cifs-utils


  2. должна быть объявлена строка монтирования, например следующего вида:

...

iconfalse
languagebash
title/etc/fstab

...

  1. Информация
    //fileserver1.org.net/share1

...

  1. /media/share1

...

  1. cifs

...

  1. user,rw,noauto,iocharset=utf8,soft

...

  1. 0

...

  1. 0


  2. Точка монтирования должна быть создана заранее и доступна пользователю, опция user предоставляет возможность монтирования указанного ресурса простому пользователю.
    Полный список опций приведен в руководстве man для команд mount и mount.cifs. Описание формата конфигурационного файла /etc/fstab приведено в руководстве man для fstab.

  3. Для того что бы были видны каталоги под уровнем - в fstab на клиенте прописываем следующие параметры:

    Информация
    //fileserver1.org.net/share1 /media/share1    cifs    user,rw,noauto,nosharesock,vers=1.0,soft        0       0



Примечание
titleПримечание
При использовании с аутентификацией Kerberos в ЕПП в строке опций должен быть указан параметр аутентификации sec=krb5i. В этом случае при монтировании будет использоваться текущий кэш Kerberos пользователя.

...

Описание возможностей pam модуля pam_mount и формат его конфигурационного файла приведены в руководстве man для pam_mount и pam_mount.conf.

Для монтирования монтирования  с помощью pam-mount разделяемых файловых ресурсов ресурсов СЗФС CIFS конфигурационный , представляющих собой домашние каталоги пользователей, конфигурационный файл должен быть модифицирован следующим образом (в пределах тега pam_mount):

Блок кода
languageactionscript3
title/etc/security/pam_mount.conf.xml
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">

<pam_mount>

<logout wait="500000" hup="1" term="1" kill="1" />
<mkmountpoint enable="1" remove="true" />
<cifsmount>mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)</cifsmount>
<volume fstype="cifs" server="fileserver1.org.net"
path="sharehomes" mountpoint="/media/share[mountpoint_homes]/%(USER)"
options="user=%(USER),rw,setuids,perm,soft,iocharset=utf8" />

</pam_mount>

...

Предупреждение
titleВнимание

При использовании с аутентификацией Kerberos в ЕПП в строке опций монтирования должен быть указан параметр аутентификации sec=krb5i. В этом случае при монтировании будет использоваться текущий кэш Kerberos пользователя.

Так же в строке опций монтирования должен присутствовать параметр cruid=%(USERUID), поскольку монтирование во время создания сессии выполняется от имени привилегированного пользователя.

Для точки монтирования mountpoint должен быть указан отдельный каталог, например: /media/ald_share

Пример: 

path="share" mountpoint="/media/ald_share"
options="user=%(USER),rw,setuids,perm,soft,sec=krb5i,cruid=%(USERUID),iocharset=utf8" />


Информация

Тег logout определяет поведение в процессе размонтирования ФС. К этому времени все процессы должны освободить точку монтирования, в противном случае им посылаются соответствующие сигналы прерывания работы.

Тег mkmountpoint отвечает за автоматическое создание и удаление точки монтирования.

Тег cifsmount определяет команду, с помощью которой монтируется указанный тип ФС.

Тег volume объявляет непосредственно параметры монтирования разделяемого файлового ресурса. Пользователь должен существовать в БД учетных записей Samba и иметь соответствующий пароль.

...