Перемещаемые профили для ПК СВ Брест

Настройка перемещаемых профилей для ПК СВ Брест

Общие действия по настройке

Функционал будет работать только для ОС Astra Linux Special Edition («Орел»).

Действия по настройке перемещаемых профилей сводятся к следующей последовательности:

1) создание базового образа диска для профилей в ПК СВ Брест;

2) задание созданному образу атрибута TDSK_SHARED_TYPE со значением PRIVATE;

3) настройка модуля PAM (pam_tdsk) в базовом ВРМ;

4) активация механизма перемещаемых профилей в Termidesk;

5) активация политики «Отделяемый пользовательский профиль».

Создание базового образа диска в ПК СВ Брест

Для создания перемещаемого профиля (диска) на платформе ПК СВ Брест нужно:

создать постоянный диск требуемого размера и подключить его к ВМ с установленной ОС Astra Linux. При создании выбрать шину SCSI (DEV_PREFIX=sd) или Virtio (DEV_PREFIX=vd) (см. подраздел Подготовка базового шаблона ВМ на примере ПК СВ Брест);

При создании образа на шине Virtio может появиться сообщение об ошибке «Error attaching new VM Disk: Could not attach /var/lib/one/datastores/0/248/disk.2 (vdb) to one-248» при подключении диска в ПК СВ Брест версии 2.9.

В случае возникновения такой ошибки нужно изменить атрибут DEV_PREFIX в свойствах образа диска.

создать текстовый файл /tmp/sfdisk.gpt и привести его к виду:

label:gpt
type=773f91ef-66d4-49b5-bd83-d683bf40ad16

Важно: тип раздела должен быть 773f91ef-66d4-49b5-bd83-d683bf40ad16.

внести изменения в таблицу разделов на диске в соответствии с файлом /tmp/sfdisk.gpt при помощи утилиты sfdisk :

sudo sfdisk /dev/sdb < /tmp/sfdisk.gpt

В примерах используется обозначение диска /dev/sdb. Чтобы узнать, какое обозначение присвоено диску, необходимо воспользоваться утилитой lsblk.

преобразовать новый раздел диска в формат ext4:

sudo mkfs.ext4 /dev/sdb1

проверить успешность создания диска:

sudo lsblk -JO /dev/sdb1

где:

-JO - ключ для вывода всех столбцов в формате JSON.

Задание атрибутов созданному диску

Для задания атрибутов созданному ранее диску нужно:

выключить ВМ и отключить диск от нее;
в свойствах диска добавить атрибут TDSK_SHARED_TYPE со значением PRIVATE. Запомнить идентификатор (ID) диска.

Окно просмотра ID диска в ПК СВ Брест

Настройка модуля PAM в базовом ВРМ

Для настройки модуля PAM в гостевой ОС базового ВРМ нужно:

выполнить подготовку базового ВРМ (см. подраздел Подготовка базового ВРМ);
создать файл /usr/share/pam-configs/pam_tdsk со следующим содержимым:

Name: Termidesk session
Default: yes
Priority: -1
Session-Interactive-Only: yes
Session-Type: Additional
Session:
required        pam_exec.so     /usr/bin/pam_tdsk --autofs --skel=/etc/skel --chmod=700 --uid-ext-range 65536-2000000000

Параметр --uid-ext-range должен иметь минимальное значение 65536, максимальное значение 4000000000.

Максимальная граница диапазона зависит от используемого домена в сети, от настроек отображения идентификаторов пользователей домена в идентификаторы пользователей ВРМ.

Приоритет Priority: -1 задан для того, чтобы домашний каталог (файл /usr/share/pam-configs/mkhomedir, Priority: 0) был создан прежде, чем будет выполнено подключение диска.

выполнить обновление профилей PAM:

sudo pam-auth-update

убедиться, что в файле /etc/pam.d/common-session появилась строка с модулем pam_tdsk:

session required        pam_exec.so     /usr/bin/pam_tdsk --autofs --skel=/etc/skel --chmod=700 --uid-ext-range 65536-2000000000

Активация механизма перемещаемых профилей в Termidesk

Для активации механизма перемещаемых профилей нужно:

задать в конфигурационном файле /etc/opt/termidesk-vdi/termidesk.conf в параметре TDSK_AUTOFS_IMAGES_ID список ID дисков, например:

# Список идентификаторов образов дисков для хранения профилей. Может быть задано несколько значений, через запятую.
TDSK_AUTOFS_IMAGES_ID=29

При наличии нескольких дисков требуется перечислить их через запятую.

перезапустить службу termidesk-vdi:

sudo systemctl restart termidesk-vdi

убедиться, что необходимая переменная установлена:

ps eanxww | grep TDSK_AUTOFS

Вывод команды должен включать установленную переменную, например TDSK_AUTOFS_IMAGES_ID=29.

Активация политики в интерфейсе Termidesk

Для активации политики «Отделяемый пользовательский профиль» в «Портал администратора» Termidesk следует перейти «Настройки - Глобальные политики», затем параметру «Отделяемый пользовательский профиль» присвоить значение «Включен».