Download PDF
Download page Переносимые профили ОС Astra Linux Special Edition.
Переносимые профили ОС Astra Linux Special Edition
Настройка переносимых профилей для ОС Astra Linux Special Edition
Общие сведения о переносимых профилях
Переносимые профили - это средство для сохранения настроек и документов пользователя между сеансами работы в ВРМ.
Функционал переносимых профилей будет работать только для ОС Astra Linux Special Edition («Орел»).
Назначение переносимых (второе название - отделяемых) профилей заключается в том, что для каждого пользователя автоматически и по мере необходимости создается образ диска, который подключается к ВРМ.
Действия по настройке переносимых профилей сводятся к следующей последовательности шагов:
1) создание базового образа диска для профилей в ПК СВ Брест;
2) задание созданному образу атрибута TDSK_SHARED_TYPE
со значением PRIVATE
;
3) настройка модуля PAM (pam_tdsk)
в базовом ВРМ;
4) включение механизма переносимых профилей в Termidesk;
5) включение в настройках глобальных политик Termidesk политики «
Отделяемый пользовательский профиль».
Cоздание базового образа диска в ПК СВ Брест
Для создания переносимого профиля (диска) на платформе ПК СВ Брест необходимо:
- создать постоянный диск требуемого размера и подключить его к ВМ с установленной ОС Astra Linux. При создании выбрать шину SCSI (
DEV_PREFIX=sd
) или Virtio (DEV_PREFIX=vd
) (см. подраздел Подготовка базового шаблона ВМ на примере ПК СВ Брест);
При создании образа на шине Virtio может возникнуть сообщение об ошибке «Error attaching new VM Disk: Could not attach /var/lib/one/datastores/0/248/disk.2 (vdb) to one-248» при подключении диска в ПК СВ Брест версии 2.9.
В случае возникновения такой ошибки нужно изменить атрибут DEV_PREFIX
в свойствах образа диска.
- создать текстовый файл
/tmp/sfdisk.gpt
и привести его к виду:
label:gpt
type=773f91ef-66d4-49b5-bd83-d683bf40ad16
Важно: тип раздела должен быть 773f91ef-66d4-49b5-bd83-d683bf40ad16.
- внести изменения в таблицу разделов на диске в соответствии с файлом
/tmp/sfdisk.gpt
при помощи утилитыsfdisk
:
sfdisk /dev/sdb < /tmp/sfdisk.gpt
В примерах используется обозначение диска /dev/sdb
. Чтобы узнать, какое обозначение присвоилось диску, необходимо воспользоваться утилитой lsblk
.
- преобразовать новый раздел диска в формат
ext4
:
mkfs.ext4 /dev/sdb1
- проверить успешность создания диска:
lsblk -JO /dev/sdb1
где:
-JO
- ключ для вывода всех столбцов в формате JSON.
Задание атрибутов созданному диску
Для задания атрибутов созданному ранее диску необходимо:
- выключить ВМ и отключить диск от нее;
- в свойствах диска добавить атрибут
TDSK_SHARED_TYPE
со значениемPRIVATE
. Запомнить идентификатор (ID) диска.
Настройка модуля PAM в базовом ВРМ
Для настройки модуля PAM в гостевой ОС базового ВРМ необходимо выполнить следующее:
- выполнить подготовку базового ВРМ (см. подраздел Подготовка базового ВРМ);
- создать файл
/usr/share/pam-configs/pam_tdsk
со следующим содержимым:
Name: Termidesk session
Default: yes
Priority: -1
Session-Interactive-Only: yes
Session-Type: Additional
Session:
required pam_exec.so /usr/bin/pam_tdsk --autofs --skel=/etc/skel --chmod=700 --uid-ext-range 65536-2000000000
Параметр --uid-ext-range
должен иметь минимальное значение 65536, максимальное значение 4000000000.
Максимальная граница диапазона зависит от используемого домена в сети, от настроек отображения идентификаторов пользователей домена в идентификаторы пользователей ВРМ.
Приоритет Priority: -1
задан для того, чтобы домашний каталог (файл /usr/share/pam-configs/mkhomedir
, Priority: 0
) был создан прежде, чем будет выполнено подключение диска.
- выполнить обновление профилей PAM:
sudo pam-auth-update
- убедиться, что в файле
/etc/pam.d/common-session
появилась строка с модулемpam_tdsk
:
session required pam_exec.so /usr/bin/pam_tdsk --autofs --skel=/etc/skel --chmod=700 --uid-ext-range 65536-2000000000
Активация механизма переносимых профилей в Termidesk
Для активации механизма переносимых профилей необходимо выполнить следующее:
- задать в конфигурационном файле
/etc/opt/termidesk-vdi/termidesk.conf
в параметреTDSK_AUTOFS_IMAGES_ID
список ID дисков, например:
# Список идентификаторов образов дисков для хранения отделяемых пользовательских профилей. Может быть задано несколько значений, через запятую.
TDSK_AUTOFS_IMAGES_ID=29
При наличии нескольких дисков необходимо перечислить их через запятую.
- перезапустить службу
termidesk-vdi
:
systemctl restart termidesk-vdi
- убедиться, что необходимая переменная установлена:
ps eanxww | grep TDSK_AUTOFS
Вывод команды должен включать установленную переменную, например TDSK_AUTOFS_IMAGES_ID=29
.
Активация политики в интерфейсе Termidesk
Для включения в настройках глобальных политик Termidesk политики «Отделяемый пользовательский профиль» в графическом интерфейсе управления Termidesk следует перейти «Настройки - Глобальные политики», затем параметру «Отделяемый пользовательский профиль» присвоить значение «Включен».