Смоленск 1.6 Подключенный к домену Windows пользователь не может монтировать флешь накопители

koksma4kin

New member
Сообщения
6
#1
Домен Windows 2012. Подключение происходит через Active Directory Fly. Находясь в доменной учетной записи на Astra Linux SE 1.6 со всеми обновлениями на 06.01.2020 пользователь (с правами пользователя домена) не может монтировать флешь накопитель формата vfat (ntfs не проверял). При этом внешние жесткие диски (с наиболее популярными файловыми системами) и приводы монтируются без проблем в ручном режиме.
До обновления при монтировании с панели управления пользователя было сообщение: "only root can mount /dev/sdb1 on /run/user/3000/media/by-uuid-88B2-8907" (на примере моей флешь), после установки обновлений: "mount: /dev/sdb1: Операция не позволена."
Нужен вариант, когда несколько пользователей, используя данный компьютер, под разными, своими, доменными учётными записями (чтобы не под каждого пользователя прописывать), могли монтировать и соответственно размонтировать свои флешь накопители.
 
Последнее редактирование:

Montfer

New member
Сообщения
786
#2
А через настройки безопасности пробовали прописывать флешки?
 

koksma4kin

New member
Сообщения
6
#3
Мне не нужно прописывать каждую флешку пользователя в организации, да и не получилось у меня это по существующим описаниям на форуме и в сети. Пробовал, редактировать файл sudoers - не помогло. Редактирование /etc/fstab.pdac также не дало результатов. Перевод доменного пользователя в группу floppy и root (по-отдельности и вместе) не возымело действия (переводится, но не работает). В данный момент при вызове команды groups выдаёт:
ZGIPN\пользователи домена ZGIPN\закупки BUILTIN\users
Нашел такую статью, мне кажется, что это может помочь, но я просто не понимаю написанного, надо разжевать https://www.linux.org.ru/forum/admin/12723516
Возможно еще https://forum.astralinux.ru/threads/152/
где
%PetrovAA ALL=(ALL:ALL) NOPASSWD: ALL
или
%domain\\domain_user ALL=(ALL) NOPASSWD: ALL
или
%domain\domain_user ALL=(ALL) NOPASSWD: ALL,
но не смог настроить ни под конкретного пользователя, ни под всех пользователей компьютера сразу (мне надо для всех доменных пользователей данного компьютера)
 
Последнее редактирование:

oko

New member
Сообщения
418
#4
to koksma4kin
Права на доступ к flash определяются оснасткой fly-admin-smc на сервере-контроллере ALD для каждой уч.записи или для их групп. Если вы Astra Linux ввели в домен Windows и, соответственно, не имеете выделенного сервера-контроллера ALD, то и решить эту задачу никак не сможете (вменяемым способом)...
Скорее всего, утилита fly-admin-smc, запущенная на машине-клиенте локально, увидит только локальных пользователей, а про доменные уч.записи знать ничего не будет. Можете посмотреть в эту сторону, но модуль экстрасенсорики подсказывает, что результат будет 0...
Как вариант, через ту же утилиту прописать всей группе USB flash права на разрешения для любых пользователей. Но тут проблема эксплуатации и безопасности - решайте, насколько такой вариант допустим...
 

koksma4kin

New member
Сообщения
6
#5
Как вариант, через ту же утилиту прописать всей группе USB flash права на разрешения для любых пользователей
Да я бы прописал, если бы знал какой группе прописывать права. Писал выше, что
groups выдаёт: ZGIPN\пользователи домена ZGIPN\закупки BUILTIN\users - в ОС через графический интерфейс можно прописать права только локальным учетным записям (или я чего-то не знаю). Подскажите, как и где нужно прописать, чтобы заработало монтирование в доменной учётке. А вопрос с безопасностью не так критично стоит в данной ситуации.
 

oko

New member
Сообщения
418
#6
to koksma4kin
Primo, маркировка "ZGIPN\пользователи домена ZGIPN\закупки BUILTIN\users " - это использование OrganizationUnit на уровне Windows AD (стандартная практика, увы), которая в nix поддерживается со скрипом...
Secundo, неплохо определиться, в каких группах на уровне Astra Linux у вас сейчас "сидит" доменный пользователь (в терминале от пользователя смотрите выхлоп команды groups)...
Tertio, неплохо бы проверить, видит ли ваша Astra Linux доменные группы AD Windows (в терминале от root или sudo выхлоп команды wbinfo -g)...
Далее либо давайте права на доступ для оной группы. Либо пойдите иным путем (через явное указание и/или создание новой локальной группы), как, например, тут...
 
Последнее редактирование:

Kovlanik

New member
Сообщения
40
#7
Заранее извиняюсь, если не правильно понял вопрос. Если безопасность сильно не волнует, то можно дать разрешение на монтирование флешек всем группам пользователей, следующей командой sed -i 's/group/users/g' /etc/fstab.pdac Можно давать разрешение отдельно на каждого доменного пользователя командой usermod -a -G floppy 'ВАШ_ДОМЕН\имя_пользователя' Обращаем внимание на одиночные кавычки.
 

koksma4kin

New member
Сообщения
6
#8
to koksma4kin
Primo, маркировка "ZGIPN\пользователи домена ZGIPN\закупки BUILTIN\users " - это использование OrganizationUnit на уровне Windows AD (стандартная практика, увы), которая в nix поддерживается со скрипом...
Secundo, неплохо определиться, в каких группах на уровне Astra Linux у вас сейчас "сидит" доменный пользователь (в терминале от пользователя смотрите выхлоп команды groups)...
Tertio, неплохо бы проверить, видит ли ваша Astra Linux доменные группы AD Windows (в терминале от root или sudo выхлоп команды wbinfo -g)...
Далее либо давайте права на доступ для оной группы. Либо пойдите иным путем (через явное указание и/или создание новой локальной группы), как, например, тут...
ZGIPN\пользователи домена ZGIPN\закупки BUILTIN\users - это и был выхлоп команды groups
 

koksma4kin

New member
Сообщения
6
#9
Заранее извиняюсь, если не правильно понял вопрос. Если безопасность сильно не волнует, то можно дать разрешение на монтирование флешек всем группам пользователей, следующей командой sed -i 's/group/users/g' /etc/fstab.pdac Можно давать разрешение отдельно на каждого доменного пользователя командой usermod -a -G floppy 'ВАШ_ДОМЕН\имя_пользователя' Обращаем внимание на одиночные кавычки.
Обращаем внимание на одиночные кавычки поставило меня в ступор. Опишите, пожалуйста, на конкретном примере, как бы выглядела данная команда, если, допустим, домен был бы rus, а пользователь oleg. Смущает 's/group/users/g' - какие данные надо подставить? Пользователя oleg добавил, чтобы описали вторую команду. С этим "sed -i 's/group/users/g'" понял - добавляем команду в /etc/fstab.pdac, но что делать с остальными записями в fstab.pdac и как это вообще должно выглядеть, на конкретном примере.
Стандартная настройка Astrы Смоленск выглядит так:
Screenshot_20200207_073829.png
 
Последнее редактирование:

Kovlanik

New member
Сообщения
40
#10
Про кавычки, это в этом случае usermod -a -G floppy 'RUS\oleg' Доменное имя так пишется. По крайней мере у нас так работает, и без кавычек пишет, нет такого пользователя. А первую команду, у нас сейчас в скрипте она используется, просто по умолчанию даётся всем доступ к любым флешкам
 

koksma4kin

New member
Сообщения
6
#11
Про кавычки, это в этом случае usermod -a -G floppy 'RUS\oleg' Доменное имя так пишется. По крайней мере у нас так работает, и без кавычек пишет, нет такого пользователя. А первую команду, у нас сейчас в скрипте она используется, просто по умолчанию даётся всем доступ к любым флешкам
Оба работают. Благодарю, от души!!!
Для тех кому понадобится - первая команда используется как есть, кавычки или данные домена или логин пользователя(ей) не вставляются.
По второй описано выше.
Ещё раз СПАСИБО чел! Выручил!
 

oko

New member
Сообщения
418
#13
to koksma4kin
Смутило, что вы в выхлопе groups указали только доменную группу, а говорили, что прописывали юзеров руками в локальных группах - от того и было предложение показать весь выхлоп...
Рад, что решение нашлось. Но я бы не стал его так глобально применять (хотя бы в частном порядке, а не глобально через sed, заменил groups в fstab.pdac на users для веток /dev/sd* и /dev/*fat), а то вы таким макаром всем пользователям всего домена дали права на монтирование абсолютно любых блочных устройств и файловых систем. Такое себе удовольствие, в случае "шибко умных пользователей" получается, ага...