Настройка SAMBA с МРД

Rayman

New member
Сообщения
101
#42
Для share1 на сервере:
Pdpl-file 2:0:-1:ccnr /share - то есть максимальная метка, которую планируете использовать, 0 целостность, все категории, флаг разрешения других меток в папке.
Для подпапок /share аналогично, за исключением первого параметра:
Pdpl-file 0:0:-1:ccnr /share/zero
Pdpl-file 1:0:-1:ccnr /share/dsp

На клиенте:
Pdpl-file 2:0:-1:ccnr /share
на сервере ввожу: sudo Pdpl-file 2:0:-1:ccnr /samba
pdpl-file: /samba: Отказано в доступе.

ЧЯДНТ?
 

A.Kinski

New member
Сообщения
29
#43
на сервере ввожу: sudo Pdpl-file 2:0:-1:ccnr /samba
pdpl-file: /samba: Отказано в доступе.

ЧЯДНТ?
Тут может быть две проблемы:
1 - Вы пытаетесь изменить мандатное атрибуты находясь под низким уровнем целостности. Войдите в систему с высоким уровнем целостности и повторите.
2 - в папке /samba уже есть файлы или папки с настроенным мандатными атрибутами. Удалите все из /samba и повторите операцию.
 

Rayman

New member
Сообщения
101
#44
Тут может быть две проблемы:
1 - Вы пытаетесь изменить мандатное атрибуты находясь под низким уровнем целостности. Войдите в систему с высоким уровнем целостности и повторите.
2 - в папке /samba уже есть файлы или папки с настроенным мандатными атрибутами. Удалите все из /samba и повторите операцию.
Хм, следую вашей инструкции п.1 и п.2:)
Команды выполняются под администратором, уровень конф: Уровень_0;
уровень целостности: высокий
 

Rayman

New member
Сообщения
101
#45
Всем привет! Вообщем результата почти добился. На клиенте видит каталоги под заданными уровнями. Но, какие права должны быть выставлены у клиента? Запись запрещает
 

eea

New member
Сообщения
4
#47
Мне данная инструкция не помогла. Общаюсь с ТП, по результату отпишусь.
 

Rayman

New member
Сообщения
101
#49
Вот как и обещал:
Настройка Samba сервиса в Astra Linux SE 1.6:
В данном примере использовались (сервер srv001.local.net и клиент ws001.local.net, организован АЛД-домен, синхронизировано время, создан доменный пользователь "operator")

1) Создаем общий каталог на сервере:
sudo mkdir /samba

2) sudo pdpl-file 3:0:-1:ccnr /samba #Установим мандатное разграничение доступа на корневую папку (3 – максимальный уровень метки (Сов.Сек), 0 – уровень целостности (низкий), -1 – категории (все возможные), ccnr – флаг разрешения записи в папку любых мандатов)

3) sudo mkdir /samba/zero
sudo mkdir /samba/dsp
sudo mkdir /samba/secretno

4) Установите мандатное разграничение на другие папки:
sudo pdpl-file 0:0:0 /samba/zero
sudo pdpl-file 1:0:0 /samba/dsp
sudo pdpl-file 2:0:0 /samba/Secretno

5) sudo chmod 777 /samba -R # Если установить права 775, то запись в каталоги будет невозможной!

6) Откройте на редактирование файл /etc/ald/config-templates/smb.conf

sudo mcedit /etc/ald/config-templates/smb.conf

Добавьте в конец файла раздел:
[Samba] #Имя сетевого ресурса
available = yes
comment=Network Share
browseable = yes
case sensitive = yes
#create mask = 0775
#directory mask = 0775
delete readonly = yes
ea support = yes
fstype = Samba
hide dot files = no
locking = yes
# пользователей и группы можно перечислять через пробел
# указания группы осуществляется префиксом @
# указывайте пользователей и группы, которым запрещен доступ
invalid users = root
# указывайте пользователей и группы которым разрешен доступ
valid users = operator
# укажите место расположения общего ресурса на сервере
path = /samba
writable = yes
smb encrypt = auto
wide links = yes
disable netbios = yes

7) Применить внесенные изменения, ввести в терминале Fly команду
sudo ald-init commit-config

8) Проверить статус работы сервера Samba введя в терминале Fly команду
sudo service smbd status

9) Настройка подключения сетевых папок на клиенте:

1) Установите пакет libpam-mount. Вставьте установочный диск
Astra Linux 1.6 в cd-rom и введите команду:
sudo apt-get install libpam-mount
Дождитесь окончания установки.

2) Создайте папку, в которую будет осуществляться монтирование сетевой папки:
sudo mkdir /samba
Установите на нее уровень доступа и возможность работать в любом режиме:
sudo pdpl-file 3:0:-1:ccnr /samba
sudo chmod 777 /samba

3) Отредактируйте файл /etc/security/pam_mount.conf.xml
sudo mcedit /etc/security/pam_mount.conf.xml
Файл должен содержать следующий текст (в пределах тега <pam_mount>):

<pam_mount>

<logout wait=”500000” hup=”1” term=”1” kill=”1” />
<mkmountpoint enable=”1” remove=”true” />
<cifsmount>mount.cifs //%(SERVER/%(VOLUME) %(MNTPT) –o %(OPTIONS)</cifsmount>
<volume fstype=”cifs” server=”srv001”
path=”samba” mountpoint=”/samba”
options=”user=%(USER),rw,setuids,noperm,soft,sec=krb5i,cruid=%(USERUID),nosharesock,vers=1.0,iocharset=utf8” />

</pam_mount>

10) Далее заходим на клиента под доменным пользователем "operator", проверяем работу samba под разными уровнями доступа(от 0(НС) до 2(Секретно). Допустим зашли под уровнем 2(секретно), тогда в структуре мы будем наблюдать следующие каталоги:
/samba/zero
/samba/dsp
/samba/secretno
Запись будет разрешена только в свой каталог - Secretno.
Как то так, жду комментариев!
 
Последнее редактирование:

ingener

New member
Сообщения
166
#51
проводя эксперименты, я понял, что эти статьи для локальных пользователей. после экспериментов каталог доменного пользователя наотрез отказался монтироваться и работа пользователя стала невозможной. пришлось перейти в локальный режим работы
буду еще разбираться, как привести в исходное состояние. очень не хочется переинсталлировать компьютер
 

Jack

New member
Сообщения
9
#52
проводя эксперименты, я понял, что эти статьи для локальных пользователей. после экспериментов каталог доменного пользователя наотрез отказался монтироваться и работа пользователя стала невозможной. пришлось перейти в локальный режим работы
буду еще разбираться, как привести в исходное состояние. очень не хочется переинсталлировать компьютер
У вас получилось разобраться?
 

nkir

New member
Сообщения
1
#54
Коллеги, доброго дня!

Если ветка еще живая, то у меня тоже остается вопрос. Каталоги с мандатными метками монтируются под пользователем ALD без проблем, но нет возможности записи - Операция не позволена. Все облазил, проверил, права сменил, ничего пока не помогает.
Монтируется от пользователя: mount /mnt/obmen
/etc/fstab: //samba/obmen /mnt/obmen cifs user,rw,noauto,nosharesock,vers=1.0,soft,sec=krb5 0 0
ОС СН Astralinux 1.6
 

Sadam696

New member
Сообщения
1
#56
Доброго дня!!

В поддержку nkir, действительно вопрос остался не раскрыт.
Столкнулся с такой проблемой; каталоги под различными уровнями монтируются нормально, но есть одно но.... При входе клиента под любым уровнем доступа кроме 0 (нс), при копировании файлов с мандатными атрибутами (Например 1-3:0:0) происходит подмена атрибутов фалов на 0:0:0 (нс) в последствии чего отредактировать этот файл текущему пользователю уже невозможно в соответствии с политикой МРД.
Настройку производил в соответствии с данной статьей https://wiki.astralinux.ru/pages/viewpage.action?pageId=20217857

Почему так происходит, не могу понять.
 

Vosiley

New member
Сообщения
106
#57
Вопрос актуален.
Коллеги, у кого работает (если у кого-то вообще работает) не скупитесь, поделитесь.
 

clop1000

New member
Сообщения
129
#58
Кто ни будь смог победить?
Папки монтируются и видятся причем всех категорий, но у пользователей нет возможности ничего редактировать если зайти под любым уровнем кроме самого первого.
 

clop1000

New member
Сообщения
129
#59
Всем привет! Вообщем результата почти добился. На клиенте видит каталоги под заданными уровнями. Но, какие права должны быть выставлены у клиента? Запись запрещает
Тоже самое. Запись не работает.