Переносимые профили ОС Astra Linux Special Edition

Назначение переносимых (второе название - отделяемых) профилей заключается в том, что для каждого пользователя автоматически и по мере необходимости создается образ диска, который подключается к ВРМ.

Действия по настройке переносимых профилей сводятся к следующей последовательности шагов:

1) создание базового образа диска для профилей в ПК СВ Брест;

2) задание созданному образу атрибута TDSK_SHARED_TYPE со значением PRIVATE;

3) настройка модуля PAM (pam_tdsk) в базовом ВРМ;

4) включение механизма переносимых профилей в Termidesk;

5) включение в настройках глобальных политик Termidesk политики «Отделяемый пользовательский профиль».

• создать постоянный диск требуемого размера и подключить его к ВМ с установленной ОС Astra Linux. При создании выбрать шину SCSI (DEV_PREFIX=sd) или Virtio (DEV_PREFIX=vd) (см. подраздел Подготовка базового шаблона ВМ на примере ПК СВ Брест);

При создании образа на шине Virtio может возникнуть сообщение об ошибке «Error attaching new VM Disk: Could not attach /var/lib/one/datastores/0/248/disk.2 (vdb) to one-248» при подключении диска в ПК СВ Брест версии 2.9.

В случае возникновения такой ошибки нужно изменить атрибут DEV_PREFIX в свойствах образа диска. 

• создать текстовый файл /tmp/sfdisk.gpt и привести его к виду:

label:gpt
type=773f91ef-66d4-49b5-bd83-d683bf40ad16

Важно: тип раздела должен быть 773f91ef-66d4-49b5-bd83-d683bf40ad16.

• внести изменения в таблицу разделов на диске в соответствии с файлом  /tmp/sfdisk.gpt при помощи утилиты sfdisk :

:$ sfdisk /dev/sdb < /tmp/sfdisk.gpt

В примерах используется обозначение диска /dev/sdb. Чтобы узнать, какое обозначение присвоилось диску, необходимо воспользоваться утилитой lsblk.

• преобразовать новый раздел диска в формат ext4:

:$ mkfs.ext4 /dev/sdb1

• проверить успешность создания диска:

:$ lsblk -JO /dev/sdb1

где:

-JO - ключ для вывода всех столбцов в формате JSON.

• выключить ВМ и отключить диск от нее;
• в свойствах диска добавить атрибут TDSK_SHARED_TYPE со значением PRIVATE. Запомнить идентификатор (ID) диска.

• выполнить подготовку базового ВРМ (см. подраздел Подготовка базового ВРМ);
• создать файл /usr/share/pam-configs/pam_tdsk со следующим содержимым:

Name: Termidesk session
Default: yes
Priority: -1
Session-Interactive-Only: yes
Session-Type: Additional
Session:
required        pam_exec.so     /usr/bin/pam_tdsk --autofs --skel=/etc/skel --chmod=700 --uid-ext-range 65536-2000000000

Параметр --uid-ext-range должен иметь минимальное значение 65536, максимальное значение 4000000000.

Максимальная граница диапазона зависит от используемого домена в сети, от настроек отображения идентификаторов пользователей домена в идентификаторы пользователей ВРМ.

Приоритет Priority: -1 задан для того, чтобы домашний каталог (файл /usr/share/pam-configs/mkhomedir, Priority: 0) был создан прежде, чем будет выполнено подключение диска.

• выполнить обновление профилей PAM:

:$ sudo pam-auth-update

• убедиться, что в файле /etc/pam.d/common-session появилась строка с модулем pam_tdsk:

session required        pam_exec.so     /usr/bin/pam_tdsk --autofs --skel=/etc/skel --chmod=700 --uid-ext-range 65536-2000000000

• задать в конфигурационном файле /etc/opt/termidesk-vdi/termidesk.conf в параметре TDSK_AUTOFS_IMAGES_ID список ID дисков, например:

# Список идентификаторов образов дисков для хранения отделяемых пользовательских профилей. Может быть задано несколько значений, через запятую.
TDSK_AUTOFS_IMAGES_ID=29

При наличии нескольких дисков необходимо перечислить их через запятую.

• перезапустить службу termidesk-vdi:

:$ systemctl restart termidesk-vdi

• убедиться, что необходимая переменная установлена:

:$ ps eanxww | grep TDSK_AUTOFS

Вывод команды должен включать установленную переменную, например TDSK_AUTOFS_IMAGES_ID=29.