Описание стенда

• Сервер, на котором совмещены FreeIPA и Samba. Порядок установки и настройки см. Samba + FreeIPA аутентификация пользователей Samba в Kerberos.
  В промышленной эксплуатации службу samba рекомендуется размещать на отдельном сервере. Порядок настройки отдельной службы на отдельном сервере см. также в статье Samba + FreeIPA аутентификация пользователей Samba в Kerberos. Параметры сервера FreeIPA + Samba, используемые далее:
  • имя сервера ipa0.ipadomain/ru;
  • администратор домена admin;
  • пользователь домена с возможностью входа с ненулевой меткой конфиденциальности - ipauser;
    
    
• Компьютер - клиент FreeIPA. Инструкцию по вводу компьютера в домен см. в статье FreeIPA;

Настройка сервера

Создать конфигурации разделяемых ресурсов импортировать их в конфигурацию samba. Создаваемые ресурсы:

1. Ресурс для монтирования домашних каталогов при работе с нулевой меткой конфиденциальности - ресурс homes (стандартный ресурс samba);
   
   
2. Только для Astra Linux Special Edition. Ресурс для монтирования домашний каталогов при работе с ненулевой меткой конфиденциальности. Имя ресурса может быть произвольным, в примере используется имя pdp_homes. Данный ресурс требуется только для Astra Linux Special Edition.

Конфигурации ресурсов сохраняются в файлах homes.txt и pdp_homes.txt, далее импортируются в конфигурацию samba. Команды:

1. Сохранение конфигурации в файлах homes.txt и pdp_homes.txt:

   cat << EOT > homes.txt
   [homes]
      comment = Home Directories
      read only = No
      valid users = %S
   EOT

   cat << EOT > pdp_homes.txt
   [pdp_homes]
      browseable = No
      comment = pdp homes share
      create mask = 0600
      directory mask = 0700
      path = /home/.pdp/%U
      read only = No
      valid users = %U
   EOT

2. Импорт в конфигурацию samba:

   sudo net conf import homes.txt homes
   sudo net conf import pdp_homes.txt pdp_homes

Эти же действия можно выполнить командами без использования файлов для сохранения данных, например, для создания разделяемого ресурса homes:

Настройки пользовательских каталогов для Astra Linux Special Edition

• Ресурс pdp_homes будет предоставлять для монтирования каталог /home/.pdp/<имя_пользователя"> (параметр path = /home/.pdp/%U в конфигурации ресурса);
• Ресурс homes  будет предоставлять для монтирования каталог /home/<имя_пользователя"> (параметр path = /home/%U в конфигурации ресурса);

Каталоги, предоставляемые как ресурсы, должны быть расположены на сервере, и, если их нет, то с помощью подключения через samba (т.е. действиями со стороны клиентской машины) создать их невозможно, поэтому на момент подключения пользователя эти каталоги должны быть уже созданы. При этом каталоги должны:

1. Принадлежать пользователю;
2. Иметь низкий уровень целостности, иначе запись в него из сетевого подключения будет невозможна;
3. Иметь метку конфиденциальности не ниже максимально допустимой для пользователя;
4. Иметь флаг CCNRA, позволяющий создавать в каталоге подкаталоги с меньшими метками конфиденциальности.

Для пользователя ipauser:

В приведенном выше примере предполагается, что максимальный иерархический уровень конфиденциальности для пользователя равен трем, и пользователю разрешены все неиерархические категории конфиденциальности (сокращенное обозначение -1).

Настройка клиента

Клиент должен быть введён в домен FreeIPA. Инструкцию по вводу компьютера в домен см. с статье FreeIPA.

Далее, в зависимости от задач, можно выбрать один из вариантов настройки автоматического монтирования домашних каталогов:

1. Монтирование с помощью pam_mount (более применимо в Astra Linux Common Edition, так как предоставляет простой стандартный способ монтирования);
2. Монтирование с помощью собственного сценария (более применимо в Astra Linux Special Edition, так как позволяет гибко настраивать монтирование каталогов с ненулевыми метками конфиденциальности).

Эти варианты при необходимости могут применяться совместно, дополняя друг друга.

Использование модуля pam_mount

Установка пакетов

Набор пакетов, необходимых для монтирования домашних каталогов можно установить на клиентской машине командой:

В конфигурации модуля pam_mount (файл /etc/security/pam_mount.conf.xml) задать параметры подключаемых сетевых ресурсов (могут быть одновременно заданы несколько подключаемых ресурсов.). Примеры конфигурации (только части конфигурационного файла, непосредственно относящиеся к ресурсам):

<volume 
fstype="cifs"
server="ipa0.ipadomain.ru"
path="%(USER)"
mountpoint="/home/%(USER)"
options="user=%(USER),cruid=%(USER),nosharesock,sec=krb5i"
/>

<volume 
fstype="cifs"
server="ipa0.ipadomain.ru"
path="pdp_homes"
mountpoint="/home/.pdp/%(USER)"
options="user=%(USER),cruid=%(USER),uid=%(USERUID),gid=%(USERGID),nosharesock,sec=krb5i"
/>

Дополнительно разрешить использование применяемых параметров, например:

<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,uid,gid,nosharesock,vers" />

Если не срабатывает автоматическое размонтирование каталогов при выходе из сессии, то использовать задержку размонтирования (wait, миллисекунды) или параметры hup="yes", term="yes" или  kill="yes" для передачи сигналов завершения "зависшим" процессам:

<logout wait="0" hup="no" term="no" kill="yes" />

Настройка pam-стека в Astra Linux Common Edition

В Astra Linux Common Edition можно использовать стандартную настройку. Опционально перед вызовом session pam_mount в файле /etc/pam.d/common-session можно  добавить запрет вызова pam_mount для локальных пользователей:

Настройка pam-стека в Astra Linux Special Edition

Удалить (закомментировать) вызов модуля pam_mount в файле /etc/pam.d/common-session:

...
session required pam_parsec_mac.so ...
session [success=1 default=ignore] pam_localuser.so
session optional pam_mount.so
...

Использование собственных сценариев монтирования

Установка пакетов

При использовании этого варианта достаточно установить пакет cifs-utils:

Вызывать собственные сценарии монтирования можно с помощью модуля pam_exec.

path = /home/.pdp/%U

Например:

Для Astra Linux Special Edition сценарий, монтирующий домашний пользовательский каталог, имеющий ненулевую мандатную метку, соответствующую мандатной метке пользовательской сессии непосредственно в локальный домашний каталог пользователя:

#!/bin/bash
pdp_home=/home/.pdp/$PAM_USER
label="l`pdp-id -l`i`pdp-id -i`c`pdp-id -c`t0x0"
echo "Begin mounting PDP_HOME for user \"$PAM_USER\" with label \"$label\""
mount //ipa0.ipadomain0.ru/$PAM_USER $pdp_home -o user=$PAM_USER,sec=krb5i,rw,setuids,perm,soft,iocharset=utf8,nosharesock,cruid=$PAM_USER
mount --bind $pdp_home/$label /home/$PAM_USER

Так же, как вызов pam_mount в примерах выше, сценарий должен вызываться после вызова pam-модуля session pam_parsec_mac.  Если сценарий размещён в исполняемом файле /etc/pam.d/pdp_home.sh, его вызов в pam-стеке может выглядеть так:

session required pam_parsec_mac.so
session [success=1 default=ignore] pam_localuser.so
session optional pam_exec.so debug log=/dev/tty /etc/pam.d/pdp_home.sh

Типичные ошибки монтирования и расширенная диагностика

Неизвестная ошибка 524

Возникает при одновременном использовании параметров монтирования sec=krb5i и vers=1.0 если на сервере samba не включен параметр server signing = required.
Для устранения ошибки - добавить параметр в конфигурацию и перезапустить сервер.

Ошибка mount error(126): Required key not available

Не найден билет Kerberos. Для диагностики проверить сообщения cifs.upcall в системном журнале:

Для устранения ошибки указать верный идентификатор пользователя в параметре cruid=UID (числовой ID пользователя или просто имя пользователя).

Включение расширенной диагностики на сервере

Уровень диагностики на сервере задаётся конфигурационным параметром log level, например:

log level = 3

Диагностические сообщения выводятся в файлы в каталоге /var/log/samba/ (см. параметр конфигурации log file).

Включение расширенной диагностики на клиенте

Расширенная диагностика операций монтирования на клиенте может быть включена командами: