Настройка SAMBA с МРД

Rayman

New member
Сообщения
101
#1
Здравствуйте! Поделитесь пожалуйста актуальной статьей по настройке сервиса Samba с использованием меток.
Так как, статья на вики видимо не совсем актуальна под версию 1.6 SE. Потому как на клиенте, я все равно вижу только каталог zero. Даже по уровнями 1 и 2. Каталоги dsp, secretno не видны.
 

Rayman

New member
Сообщения
101
#2
!UP!UP!UP
Администрация форума и команда астры.
Отпишитесь пожалуйста по данному вопросу, или дайте нормальную инструкцию по настройке Samba(с МРД) для ОС Astra Linux SE 1.6.
В 1.5 все прекрасно работало под всеми тремя уровнями и под доменными учетками с использованием pam_mount из статьи . Здесь же какие то танцы с бубном уже почти месяц, подозреваю что проблема в Высоком уровне целостности. Я бы не расписывал здесь свои вопросы, если в технической документации было бы подробно описано как настроить самбу для работы с метками! Обычная настройка с 0й меткой не интересует, от слова вообще.
 

Rayman

New member
Сообщения
101
#6
Последнее редактирование:

rkislov

New member
Сообщения
157
#7
В общем на многих объектах мне приходилось делать структуру примерно такую
для каждого пользователя делал свою отдельную папку
/home/rso/ivanov
/home/rso/petrov
.....
в каждой папке делал подпапки в соответствии с категориями доступа
/zero
/dsp
/secretno
......
в каждой папке в соответствии с категорией делал папки по матрице доступа, т.е. кто к каким делам допущен.
/samoleti
/poezda
.......
вот в кратце так
и соответсвенно накладываешь дискретные и мандатные права
да и главное не забыть включить мкц в ядре
 

Rayman

New member
Сообщения
101
#8
В общем на многих объектах мне приходилось делать структуру примерно такую
для каждого пользователя делал свою отдельную папку
/home/rso/ivanov
/home/rso/petrov
.....
в каждой папке делал подпапки в соответствии с категориями доступа
/zero
/dsp
/secretno
......
в каждой папке в соответствии с категорией делал папки по матрице доступа, т.е. кто к каким делам допущен.
/samoleti
/poezda
.......
вот в кратце так
и соответсвенно накладываешь дискретные и мандатные права
да и главное не забыть включить мкц в ядре
Как делать данную структуру мне понятно. Только в 1.6 SE, проблемно реализовать.
 

Rayman

New member
Сообщения
101
#10
Не вижу сложности, в реализации. Мало того уже на рынке появились продукты помогающие правильной настройке Astra Linux 1.6 SE, к примеру:
http://irsural.ru/poleznaya-informa...vannoi-nastroiki-astra-linux-special-edition/
Ну да, ну да...Два раза письмо отправляли в их адрес для получения демоверсии. Ни привета, ни ответа..
 

kostia

New member
Сообщения
185
#13
Откатов ? А каким образом астра сейчас получает откаты?
 

bl4ckdvck

New member
Сообщения
5
#14
Такая же проблема с самбой в 1.6, не работает на директории с мандатом отличным от 0. В астре мне ответили: "Данная проблема известна, ожидайте новых обновлений".
 

bl4ckdvck

New member
Сообщения
5
#15
Не вижу сложности, в реализации. Мало того уже на рынке появились продукты помогающие правильной настройке Astra Linux 1.6 SE, к примеру:
http://irsural.ru/poleznaya-informa...vannoi-nastroiki-astra-linux-special-edition/
Замечательный продукт, который "автоматически" реализует настройку астры, правда те же действия можно выполнить и в политике безопасности астры
 

rkislov

New member
Сообщения
157
#16
Замечательный продукт, который "автоматически" реализует настройку астры, правда те же действия можно выполнить и в политике безопасности астры
Скажу так, не все явно в настройках политики астры, мне главное было правильное создание папок и плюс разграничение доступа согласно матрице доступа (а это вообще не настраивается политикой) ну и плюс настройка сеть 400+ машин одной политикой астры....
 

A.Kinski

New member
Сообщения
29
#17
Доброго дня.
Возвращаясь к топикстартеру.
Чтобы видеть каталоги с меткой в pam_mount.conf.xml в теге <volume> в разделе options необходимо указывать параметры noperm и nosharesock,vers=1.0
Выглядеть в итоге должно как то так:
<pam_mount>

<logout wait="5000000" hup="1" term="1" kill="1">

<mkmountpoint enable="1" remove="true">

<cifsmount>mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS) </cifsmount>

<volume fstype="cifs" server="server.dom.ain" path="samba_share_dir" mountpoint="/local/dir" options="user=%(USER),rw,setuids,noperm,soft,sec=krb5i,cruid=%(USERUID),nosharesock,vers=1.0,iocharset=utf8">

</pam_mount>

Но разграничение acl для доменных пользоватедей при этом работать отказывается
 
Последнее редактирование:

Rayman

New member
Сообщения
101
#18
Доброго дня.
Возвращаясь к топикстартеру.
Чтобы видеть каталоги с меткой в pam_mount.conf.xml в теге <volume> в разделе options необходимо указывать параметры noperm и nosharesock,vers=1.0
Выглядеть в итоге должно как то так:
<pam_mount>

<logout wait="5000000" hup="1" term="1" kill="1">

<mkmountpoint enable="1" remove="true">

<cifsmount>mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS) </cifsmount>

<volume fstype="cifs" server="server.dom.ain" path="samba_share_dir" mountpoint="/local/dir" options="user=%(USER),rw,setuids,noperm,soft,sec=krb5i,cruid=%(USERUID),nosharesock,vers=1.0,iocharset=utf8">

</pam_mount>

Но разграничение acl для доменных пользоватедей при этом работать отказывается
Хм, попробовал в 1.6 добавить параметры noperm и nosharesock. Чуда не случилось, Под доменным пользователем, захожу под разными уровнями(от 0 до 3) и в каталоге куда смонтирована шара вижу только каталог /zero. ЧЯДНТ?
 

A.Kinski

New member
Сообщения
29
#19
Хм, попробовал в 1.6 добавить параметры noperm и nosharesock. Чуда не случилось, Под доменным пользователем, захожу под разными уровнями(от 0 до 3) и в каталоге куда смонтирована шара вижу только каталог /zero. ЧЯДНТ?
Это странно. В моем случае под 1.6SE все заработало. Попробуйте поменять права папки share на 0775 и в файле smb.conf параметры create mask и directory mask в разделе для share установить в 775 (допишите, если их нет). На каком то форуме я находил, что может некорректно монтироваться при правах 777. Ну и если не сложно, хотелось бы взглянуть на smb.conf, pam_mount.conf и вывод pdpl-file для share.
 

A.Kinski

New member
Сообщения
29
#20
И в дополнение. У точки монтирования на клиентских компьютерах мандатная метка должна быть самая высокая и установлен флаг ccnr