Benvingudes i benvinguts al portal Linkat

La Linkat és la distribució educativa de GNU/Linux que ha iniciat i ofereix el Departament d'Educació a la comunitat educativa. Es tracta d'un projecte de programari lliure que permet als centres educatius, però també a tota la societat, tenir accés de forma legal, gratuïta i amb suport tècnic professional, a un conjunt molt ampli d'aplicacions: educatives, d'ofimàtica, d'Internet, multimèdia...

Accés a unitats de xarxa condicional segons usuari  Final

  • Hola,

    No volia obrir un fil nou, però he estat cercant i repassant diferents fils i no he trobat resposta al meu dubte.

    He instal·lat una Linkat Edu 16.04 de zero en un portàtil nou, i hi he instal·lat també el paquet linkat-muntador-unitats per connectar a les unitats de xarxa (en el nostre cas, només P i T, i es troben en un NAS de Synology, on ara mateix es connecten tot d'estacions Windows sense problemes).

    He aconseguit que es connecti a les dues unitats, però introduint usuari i contrasenya de prof. Llavors, quan entro amb un altre usuari (posem argo, o convidat) també té accés a la P, unitat a la que només hauria de tenir accés l'usuari prof.

    Com s'ha de fer perquè es respectin els privilegis d'accés a les unitats de xarxa? És a dir, en aquest cas, ben simple: que prof pugui accedir R/W a P i T, mentre que argo (o tots menys prof) només pugui accedir R/W a T, i a P ni read ni write.

    M'explico? Em sorprèn que el paquet linkat-muntador-unitats no ho permeti.

    Gràcies!

    Aleix Vidal i Gaya
    LLIBERTAT!
  • Hola Aleix,

    El muntador d'unitats funciona de la forma següent, fa un llistat de les unitats compartides del servidor o bé NAS de centre. Un cop mostra el llistat, marques les unitats que vols connectar. Fins aquí tot correcte. Ara bé, quan et demana els usuaris, cal que facis el següent:

    Unitat P de Professorat: l'usuari que has de fer servir és l'usuari prof (o el que hagis configurat al NAS per accedir a aquesta carpeta). Aquest recurs és de lectura/escriptura només per a l'usuari professor.

    Unitat T (d'accés per a tothom): aquí pots fer servir l'usuari argo, alumne o el que hagis configurat per accedir a aquesta carpeta tenint en compte que aquesta carpeta al servidor és de lectura/escriptura per a tothom.

    Unitat S: aquest recurs és de lectura per a tothom i de lectura/escriptura per a l'usuari super.

    El muntador d'unitats fa dues coses, preparar les connexions del servidor i crea els usuaris que fas servir per connectar al servidor. Així doncs, després de fer la instal·lació de la linkat 14.04/16.04, instal·les i executes el configurador d'unitats i el marteix configurador et crearà els usuaris super, prof i argo (o el nom que hagis triat).

    Pensa que a nivell local, es munta el recurs P amb permisos de l'usuari local prof i són permisos restrictius. Quan el muntador crea l'usuari prof (per exemple) també crea un grup que s'anomena de la mateixa forma (és a dir prof). Així doncs, el muntatge de la unitat és d'accés total per a l'usuari prof i del grup prof i la resta d'usuari NO tenen accés.

    Em caldria més informació, executa l'ordre mount per tal de veure com s'han muntat les unitats.

    Ja em diràs alguna cosa.


    Joan de Gracia
  • Doncs juraria que he pogut accedir a la P des de tots els usuaris (primaria, infantil, robotica, argo...)

    Demà ho torno a provar amb el linkat-muntador-unitats, perquè avui m'he començat a barallar amb el NAS i muntar un accés amb NFS i porto massa hores sense arribar a res clar...

    Per cert, amb el linkat-muntador-unitats, em respectarà tots els permisos que tinc configurats a les subcarpetes de la unitat P al NAS? Tinc restringida l'escriptura en algunes carpetes de 1r nivell, per mantenir l'ordre dins la P. És a dir, necessito que l'usuari q accedeixi amb "prof" a linkat tingui permès i prohibit exactament el mateix que quan accedeix amb "prof" des de windows. Serà així?

    El tema permisos sempre em fa ballar una mica el cap, perquè no sé si es configuren a nivell de sistema de fitxers o a nivell de servei de compartició.



    Editat per avidal38 el 06/Abr/2017 - 00:12.

    Aleix Vidal i Gaya
    LLIBERTAT!
  • Hola Aleix,

    El muntador no donarà ni més ni menys permisos que tingui l'usuari al NAS, principalment perquè el client no pot modificar els permisos que s'han configurat en un servidor.

    Salut.

    Projecte Linkat
  • He eliminat els usuaris prof i argo que havia creat jo, i he tornat a llençar el muntador d'unitats seguint el que em deies Joan.

    M'ha creat "Usuari prof" i "Usuari argo", però des d'argo accedeixo al contingut de la P, i no hauria de veure res. Des de suport també em permet accedir a la P i la T, cosa que tampoc entenc pq al nas no hi tinc configurat cap usuari suport i per tant no hauria de tenir accés tampoc.

    A això em referia quan parlava de si respectaria els permisos, Pablo...

    jgraci25

    Em caldria més informació, executa l'ordre mount per tal de veure com s'han muntat les unitats.


    Aquí ho tens:

    suport@Argo143:~$ mount
    sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime)
    proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
    udev on /dev type devtmpfs (rw,nosuid,relatime,size=1942460k,nr_inodes=485615,mode=755)
    devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000)
    tmpfs on /run type tmpfs (rw,nosuid,noexec,relatime,size=392512k,mode=755)
    /dev/sda2 on / type ext4 (rw,relatime,errors=remount-ro,data=ordered)
    securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
    tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
    tmpfs on /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
    tmpfs on /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,mode=755)
    cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/lib/systemd/systemd-cgroups-agent,name=systemd)
    pstore on /sys/fs/pstore type pstore (rw,nosuid,nodev,noexec,relatime)
    efivarfs on /sys/firmware/efi/efivars type efivarfs (rw,nosuid,nodev,noexec,relatime)
    cgroup on /sys/fs/cgroup/net_cls,net_prio type cgroup (rw,nosuid,nodev,noexec,relatime,net_cls,net_prio)
    cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpu,cpuacct)
    cgroup on /sys/fs/cgroup/hugetlb type cgroup (rw,nosuid,nodev,noexec,relatime,hugetlb)
    cgroup on /sys/fs/cgroup/pids type cgroup (rw,nosuid,nodev,noexec,relatime,pids)
    cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset)
    cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,devices)
    cgroup on /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,perf_event)
    cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
    cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,blkio)
    cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory)
    systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=22,pgrp=1,timeout=0,minproto=5,maxproto=5,direct)
    mqueue on /dev/mqueue type mqueue (rw,relatime)
    hugetlbfs on /dev/hugepages type hugetlbfs (rw,relatime)
    debugfs on /sys/kernel/debug type debugfs (rw,relatime)
    sunrpc on /run/rpc_pipefs type rpc_pipefs (rw,relatime)
    fusectl on /sys/fs/fuse/connections type fusectl (rw,relatime)
    /dev/sda1 on /boot/efi type vfat (rw,relatime,fmask=0077,dmask=0077,codepage=437,iocharset=iso8859-1,shortname=mixed,errors=remount-ro)
    binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc (rw,relatime)
    /etc/auto.muntador on /mnt/Servidor type autofs (rw,relatime,fd=6,pgrp=4527,timeout=60,minproto=5,maxproto=5,indirect)
    tmpfs on /run/user/1007 type tmpfs (rw,nosuid,nodev,relatime,size=392512k,mode=700,uid=1007,gid=1007)
    gvfsd-fuse on /run/user/1007/gvfs type fuse.gvfsd-fuse (rw,nosuid,nodev,relatime,user_id=1007,group_id=1007)
    tmpfs on /run/user/1006 type tmpfs (rw,nosuid,nodev,relatime,size=392512k,mode=700,uid=1006,gid=1006)
    gvfsd-fuse on /run/user/1006/gvfs type fuse.gvfsd-fuse (rw,nosuid,nodev,relatime,user_id=1006,group_id=1006)

    Aleix Vidal i Gaya
    LLIBERTAT!
  • Hola Aleix,

    No es veu com s'han muntat les unitats, inicia sessió amb l'usuari argo, entra a la unitat P i T i llavors executa l'ordre mount.

    Salut.

    Projecte Linkat
  • pablo.vigo

    Hola Aleix,

    No es veu com s'han muntat les unitats, inicia sessió amb l'usuari argo, entra a la unitat P i T i llavors executa l'ordre mount.

    Salut.


    Ara crec que sí que es veu. Aquesta és la sortida de l'ordre mount, havent iniciat sessó amb usuari argo i havent accedit a la T i la P (on continua podent accedir RW, quan no hauria de poder).

    Poso només les últimes línies que crec que són les significatives pel tema que ens ocupa:

    Quote

    /etc/auto.muntador on /mnt/Servidor type autofs (rw,relatime,fd=6,pgrp=8278,timeout=60,minproto=5,maxproto=5,indirect)
    tmpfs on /run/user/108 type tmpfs (rw,nosuid,nodev,relatime,size=392512k,mode=700,uid=108,gid=114)
    tmpfs on /run/user/1007 type tmpfs (rw,nosuid,nodev,relatime,size=392512k,mode=700,uid=1007,gid=1007)
    gvfsd-fuse on /run/user/1007/gvfs type fuse.gvfsd-fuse (rw,nosuid,nodev,relatime,user_id=1007,group_id=1007)
    //192.168.0.101/P on /mnt/Servidor/P type cifs (rw,relatime,vers=1.0,cache=strict,username=prof,domain=MOGENTNAS,uid=1008,forceuid,gid=1008,forcegid,addr=192.168.0.101,unix,posixpaths,serverino,mapposix,acl,rsize=1048576,wsize=1048576,actimeo=1)
    //192.168.0.101/T on /mnt/Servidor/T type cifs (rw,relatime,vers=1.0,cache=strict,username=argo,domain=MOGENTNAS,uid=1007,forceuid,gid=1007,forcegid,addr=192.168.0.101,unix,posixpaths,serverino,mapposix,acl,rsize=1048576,wsize=1048576,actimeo=1)


    Aleix Vidal i Gaya
    LLIBERTAT!
  • Hola,

    He estat pensant i potser hi ha una cosa que està afectant al tema, tot i que no sé si pot ser això.

    Resulta que amb el nou NAS, en iniciar la sessió amb argo a les estacions Windows, quan s'executava l'unitats.bat, es muntava la T però el procés batch s'aturava per demanar contrasenya per connectar a la P, enlloc de tancar-se el procés batch (i la finestra de linia de comandes). Per evitar aquest comportament vam veure que un "workaround" cutre però efectiu era donar permisos de lectura de la P a ARGO però negar-li els permisos de llistar el directori, de manera que el procés batch no s'atura i es tanca la finestreta de la linia de comandes sola, però si l'usuari intenta accedir a la P el sistema diu que no té permisos per accedir-hi (en realitat, no té permisos per llistar el directori).

    Podria ser que aquest permís de llistar directori se l'estigui "saltant" el linkat-muntador-unitats???

    Si és així, cagada...

    Aleix Vidal i Gaya
    LLIBERTAT!
  • Hola Aleix,

    Doncs té pinta que és això, teniu el problema amb la configuració del NAS. No podeu donar permisos de lectura a l'usuari ARGO a la P.

    Modifiqueu aquesta configuració.

    Projecte Linkat
  • Bé, hi he estat donant voltes i no pot ser això de cap de les maneres. Perquè des de Linkat, iniciada sessió amb argo, em deixa esborrar i modificar fitxers, i això sí que no està permès al NAS. Argo té denegats tots els permisos sobre la unitat P al NAS, excepte NOMÉS la lectura, que alhora no pot realitzar perquè li deneguem explícitament el llistat del directori arrel, per tant no pot accedir. En cas que això últim fos un workaround q només funcionés a Windows, i que un client Linkat ignorés aquesta denegació de permís de llistat de directori arrel, l'únic que hauria de ser capaç de fer Argo és llegir el contingut de carpetes i fitxers de la P, però no és el cas, perquè alhora pot modificar-los i eliminar-los.

    Bé, mentre no solucioni això, no puc desplegar Linkat a cap màquina...

    Aleix Vidal i Gaya
    LLIBERTAT!
  • Finalment he tingut temps i he provat de connectar les unitats P i T del NAS directament des de Linkat amb la opció de "connectar servidor remot" i introduint: smb://ip_servidor_nas

    Ho he fet des de la sessió prof, i quan ha demanat user i pass per connectar al recurs samba li he posat prof i la contrasenya de prof, i HA RESPECTAT TOTS ELS PERMISOS que tenim configurats al NAS tant a la P com a la T (no poder escriure al primer nivell, escriure en algunes carpetes de 2n nivell i altres no, i a les de 3r nivell, etc). Tot perfecte!

    Amb argo he fet la mateixa connexió i m'ha demanat contrasenya... com q no me n'he sortit de fer-ho sense posar contrasenya (com està fet a windows), he creat un usuari específic al NAS "argolinkat" amb una contrasenya especifica, i amb els permisos iguals q l'argo q ja tenia creat (argo és fàcil, té tots els permisos denegats, excepte lectura i escriptura a tota la T). També ha funcionat, ha respectat tots els permisos (no poder accedir a la P, i sí a la T en r/w).

    El problema és que aquesta connexió que fa la linkat es desmunta en apagar el PC. Com ho puc fer per mantenir aquestes connexions permanents? He vist alguns manuals per modificar /etc/fstab o per utilitzar l'autofs, però fan incloure el nom d'usuari i el password al fitxer de configuració. Necessito que el nom d'usuari no estigui "escrit" estàtic a la configuració, si no que agafi el propi de la sessió de linkat (pq si entra l'usuari argo, munti la carpeta remota identificant-se com a argo, i si ho fa prof, com a prof).

    He trobat aquest manual, de la documentació d'Ubuntu, que potser podria servir:
    https://wiki.ubuntu.com/MountWindowsSharesPermanently

    En la secció que diu "Mount password protected shares using libpam_mount (Ubuntu 9.04)" si que vincula el procés de muntatge de la carpeta remota amb l'usuari que ha iniciat sessió a Ubuntu. Serviria?

    Quote

    Mount password protected shares using libpam_mount (Ubuntu 9.04)
    In addition to the initial assumptions, we're assuming that

    Your username and password are the same on the Ubuntu machine and on the network drive.
    Install libpam-mount:


    sudo apt-get install libpam-mount
    Edit /etc/security/pam_mount.conf.xml using your preferred text editor.


    gksudo gedit /etc/security/pam_mount.conf.xml
    First, we're moving the user specific config bits to a file which users can actually edit themselves: remove the commenting tags () surrounding the section called <luserconf name=".pam_mount.conf.xml" />. Save the file when done. With this in place, users can create their own ~/.pam_mount.conf.xml.


    gedit ~/.pam_mount.conf.xml
    Add the following:


    <?xml version="1.0" encoding="utf-8" ?>

    <pam_mount>

    <volume options="uid=%(USER),gid=100,dmask=0700" user="*" mountpoint="/media/windowsshare" path="sharename" server="servername" fstype="cifs" />

    </pam_mount>


    Per cert, tot això i més coses les he hagut d'estar investigant aquest matí, corre-cuita, amb el tècnic del departament allà al costat que havia vingut a fer el desplegament de Linkat pels 30 portàtils de l'escola que havia demanat al portal pautic. Volia preparar-ho abans perquè quan arribés ja estigués tot preparat per fer imatge amb clonezilla i distribuir-la, però ningú ha avisat de quan vindria, i s'ha presentat avui... No hem pogut acabar i m'ha dit que vindrà demà, per això estic intentant acabar de trobar la fórmula per fer-ho funcionar bé, perquè sinó demà tampoc podrem clonar els portàtils. Això és una mica can pixa... no es pot treballar bé, així.

    Aleix Vidal i Gaya
    LLIBERTAT!
  • Hola Aleix,

    Després de la conversa telefònica que hem tingut miraré de donar-li un cop d'ull remotament i diagnosticaré on es troba el problema de permisos.

    :)
  • 0 usuaris

Aquesta llista mostra els usuaris actius durant els darrers 20 minuts.