[petrov-rr@vmalt1 ~]$ su- petrov-rr Password: (mount.c:68): Messages from underlying mount program: (mount.c:72): mount error(16): Device or resource busy (mount.c:72): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg) (pam_mount.c:522): mount of ConsultantPlus failed (mount.c:68): Messages from underlying mount program: (mount.c:72): mount error(16): Device or resource busy (mount.c:72): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg) (pam_mount.c:522): mount of _Папка_обмена failed (mount.c:68): Messages from underlying mount program: (mount.c:72): mount error(16): Device or resource busy (mount.c:72): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg) (pam_mount.c:522): mount of _it failed [petrov-rr@vmalt1 ~]$ udevadm info -a -p /sys/class/net/eth0 | grep address -bash: udevadm: команда не найдена AD Пытаюсь сделать чтобы права администраторов домена были только у них. Но в связи с применением PAM_MOUNT он мне выдаёт такое и права администратора не даёт. roleadd 'Администраторы домена' localadmins данная роль добавлена.
Добрый день! Пожалуйста, дополнительно предоставьте следующую информацию: 1. Операционная система, версия, на которой воспроизвелась ошибка. 2. Выводы следующих команд: $ uname -a $ cat /etc/os-release $ apt-repo $ id 3. Что выступает в качестве сервера AD: операционная система, версия. 4. Где выполняется команда: на сервере, клиенте, в графике или в TTY без графики, под каким пользователем.
(Ответ для Evgeny Shesteperov на комментарий #1) > Добрый день! > > Пожалуйста, дополнительно предоставьте следующую информацию: > > 1. Операционная система, версия, на которой воспроизвелась ошибка. > > 2. Выводы следующих команд: > > $ uname -a > $ cat /etc/os-release > $ apt-repo > $ id > > 3. Что выступает в качестве сервера AD: операционная система, версия. > > 4. Где выполняется команда: на сервере, клиенте, в графике или в TTY > без графики, под каким пользователем. 1.Операционная система: ALT 10.1 Версия KDE Plasma: 5.24.6 Версия KDE Frameworks: 5.97.0 Версия Qt: 5.15.4 Версия ядра: 5.15.72-un-def-alt1 (64-бита) Графическая платформа: X11 Процессоры: 4 × Intel® Core™ i5-10210U CPU @ 1.60GHz Память: 3,8 ГиБ ОЗУ Графический процессор: llvmpipe 2.[root@vmalt1 ~]# uname -a Linux vmalt1 5.15.72-un-def-alt1 #1 SMP PREEMPT Mon Oct 10 16:11:20 UTC 2022 x86_64 GNU/Linux [root@vmalt1 ~]# cat /etc/os-release NAME="ALT" VERSION="10.1" ID=altlinux VERSION_ID=10.1 PRETTY_NAME="ALT Workstation K 10.1 (Sorbaronia Mitschurinii)" ANSI_COLOR="1;33" CPE_NAME="cpe:/o:alt:kworkstation:10.1" BUILD_ID="ALT 10.1" HOME_URL="https://www.basealt.ru/" BUG_REPORT_URL="https://bugs.altlinux.org/" DOCUMENTATION_URL="https://docs.altlinux.org/" SUPPORT_URL="https://support.basealt.ru/" [root@vmalt1 ~]# apt-repo rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/x86_64 classic gostcrypto rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/x86_64-i586 classic rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/noarch classic [root@vmalt1 ~]# id uid=0(root) gid=0(root) группы=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(proc) [root@vmalt1 ~]# id petrov-rr uid=897801617(petrov-rr) gid=897800513(пользователи домена) группы=897800513(пользователи домена),897800512(администраторы домена),897800572(группа с запрещением репликации паролей rodc),100(users),80(cdwriter),22(cdrom),81(audio),19(proc),83(radio),450(camera),71(floppy),498(xgrp),499(scanner),14(uucp),470(fuse),10(wheel),476(video),463(vboxusers),489(vboxadd),488(vboxsf),101(localadmins),491(remote) 3. Windows Server 2012 R2 4. Клиентский ПК Alt K10, выполненный вход в домен, учетная запись доменного пользователя
Развернул стенд, настроил pam_mount, но ошибку, как у Вас, воспроизвести не удалось. Давайте уточним некоторые моменты: 1. Система KWorkstation обновлена до текущего репозитория P10? 2. Как настроен PAM_MOUNT у вас, опишите настройки шары, к которой Вы хотите подключиться. Интересен, как минимум, файл подключения /etc/pam.d/system-auth-sss. 3. https://admx.help/?Category=ALTLinux&Policy=BaseALT.Policies.Control::su&Language=ru-ru — разве групповые политики для контроля /bin/su вам не подойдут? По умолчанию обычным доменным пользователем нельзя получить доступ к /bin/su: [testuser@cli-kwork ~]$ su - ad_admin bash: /bin/su: Отказано в доступе 4. Уточните, чего Вы действительно хотите добиться. Вход выполняется успешно, несмотря на предупреждения PAM_MOUNT: [ad_admin@cli-kwork ~]$ IS_EXTERNAL_SHELL="yes" [ad_admin@cli-kwork ~]$ su - ad_admin Password: (mount.c:68): Messages from underlying mount program: (mount.c:72): mount error(16): Device or resource busy (mount.c:72): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg) (pam_mount.c:522): mount of share failed [ad_admin@cli-kwork ~]$ echo $IS_EXTERNAL_SHELL [ad_admin@cli-kwork ~]$ exit выход [ad_admin@cli-kwork ~]$ echo $IS_EXTERNAL_SHELL yes [ad_admin@cli-kwork ~]$ 5. Я думаю, что при использовании udevadm вам нужны права суперпользователя, уточните этот момент: [ad_admin@cli-kwork ~]$ su - Password: [root@cli-kwork ~]# udevadm info -a -p /sys/class/net/eth0 &> /dev/null && echo OK OK [root@cli-kwork ~]# exit выход [ad_admin@cli-kwork ~]$ udevadm info -a -p /sys/class/net/eth0 &> /dev/null && echo OK || echo NO NO [ad_admin@cli-kwork ~]$
(Ответ для Evgeny Shesteperov на комментарий #3) > Развернул стенд, настроил pam_mount, но ошибку, как у Вас, воспроизвести не > удалось. > > Давайте уточним некоторые моменты: > > 1. Система KWorkstation обновлена до текущего репозитория P10? > 2. Как настроен PAM_MOUNT у вас, опишите настройки шары, к которой Вы хотите > подключиться. Интересен, как минимум, файл подключения > /etc/pam.d/system-auth-sss. > 3. > https://admx.help/?Category=ALTLinux&Policy=BaseALT.Policies.Control:: > su&Language=ru-ru — разве групповые политики для контроля /bin/su вам не > подойдут? По умолчанию обычным доменным пользователем нельзя получить доступ > к /bin/su: > > [testuser@cli-kwork ~]$ su - ad_admin > bash: /bin/su: Отказано в доступе > > 4. Уточните, чего Вы действительно хотите добиться. Вход выполняется > успешно, несмотря на предупреждения PAM_MOUNT: > > [ad_admin@cli-kwork ~]$ IS_EXTERNAL_SHELL="yes" > [ad_admin@cli-kwork ~]$ su - ad_admin > Password: > (mount.c:68): Messages from underlying mount program: > (mount.c:72): mount error(16): Device or resource busy > (mount.c:72): Refer to the mount.cifs(8) manual page (e.g. man > mount.cifs) and kernel log messages (dmesg) > (pam_mount.c:522): mount of share failed > [ad_admin@cli-kwork ~]$ echo $IS_EXTERNAL_SHELL > > [ad_admin@cli-kwork ~]$ exit > выход > [ad_admin@cli-kwork ~]$ echo $IS_EXTERNAL_SHELL > yes > [ad_admin@cli-kwork ~]$ > > 5. Я думаю, что при использовании udevadm вам нужны права суперпользователя, > уточните этот момент: > > [ad_admin@cli-kwork ~]$ su - > Password: > [root@cli-kwork ~]# udevadm info -a -p /sys/class/net/eth0 &> /dev/null > && echo OK > OK > [root@cli-kwork ~]# exit > выход > [ad_admin@cli-kwork ~]$ udevadm info -a -p /sys/class/net/eth0 &> > /dev/null && echo OK || echo NO > NO > [ad_admin@cli-kwork ~]$ 1. Нет, исходим пока из дальнейших пунктов 2. https://www.altlinux.org/Pam_mount За исключением Вы можете сменить механизм монтирования отдав его на откуп systemd. Я не могу понять как сделать этот откуп, если подскажите будет классно. 3. Это мне так и надо, но учетки доменные с правами админа должны получать привилегии в учетки обычного пользователя. 4. Да udevadm выполняется только под root, и это пример той команды по идее к которой должен иметь доступ доменный админ
(In reply to kessys from comment #4) > 1. Нет, исходим пока из дальнейших пунктов В каком состоянии находится система (обновлена до какого-то числа, не обновлена)? Как вы вводили систему KWorkstation в домен, опиши ТОЧНЫЕ шаги, как вы это сделали. > 2. https://www.altlinux.org/Pam_mount > За исключением Вы можете сменить механизм монтирования отдав его на откуп > systemd. Опишите буквально. > 3. Это мне так и надо, но учетки доменные с правами админа должны получать > привилегии в учетки обычного пользователя. Оно так и выходит: и для локальных, и для доменных. > 4. Да udevadm выполняется только под root, и это пример той команды по идее > к которой должен иметь доступ доменный админ Не должен. Вы можете настроить, например, sudo для администратора домена (чего я не советую), но `su -` достаточно для решения Вашей задачи.
(Ответ для Evgeny Shesteperov на комментарий #5) > (In reply to kessys from comment #4) > > 1. Нет, исходим пока из дальнейших пунктов > > В каком состоянии находится система (обновлена до какого-то числа, не > обновлена)? Как вы вводили систему KWorkstation в домен, опиши ТОЧНЫЕ шаги, > как вы это сделали. > > > 2. https://www.altlinux.org/Pam_mount > > За исключением Вы можете сменить механизм монтирования отдав его на откуп > > systemd. > > Опишите буквально. > > > 3. Это мне так и надо, но учетки доменные с правами админа должны получать > > привилегии в учетки обычного пользователя. > > Оно так и выходит: и для локальных, и для доменных. > > > 4. Да udevadm выполняется только под root, и это пример той команды по идее > > к которой должен иметь доступ доменный админ > > Не должен. Вы можете настроить, например, sudo для администратора домена > (чего я не советую), но `su -` достаточно для решения Вашей задачи. 1 10.1 С завода upgrade не запускается Ввод в домен с помощью Alterator 2. apt-get install systemd-settings-enable-kill-user-processes session [success=1 default=ignore] pam_succeed_if.so service = systemd-user quiet session optional pam_mount.so disable_interactive /etc/security/pam_mount.conf.xml: <volume uid="10000-2000200000" fstype="cifs" server="srv" path="sysvol" mountpoint="/share/my" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" /> 3. Вот как раз не получается 4. ну sudo мне не нужен я согласен с политикой его выключения. но su- никто не отменяет же? Если udevadm не работает под правами админа доменного, то редактирование fstab, точно должно работать. по sudo [petrov-rr@vmalt1 ~]$ sudo petrov-rr Мы полагаем, что ваш системный администратор изложил вам основы безопасности. Как правило, всё сводится к трём следующим правилам: №1) Уважайте частную жизнь других. №2) Думайте, прежде что-то вводить. №3) С большой властью приходит большая ответственность. [sudo] password for petrov-rr: petrov-rr is not in the sudoers file. This incident will be reported. [petrov-rr@vmalt1 ~]$
(Ответ для kessys на комментарий #6) > 1 10.1 С завода upgrade не запускается > Ввод в домен с помощью Alterator Обратитесь к документации дистрибутива для обновления системы: https://docs.altlinux.org/ru-RU/alt-kworkstation/10.1/html/alt-kworkstation/install-distro--update-after-install--chapter.html > 2. > apt-get install systemd-settings-enable-kill-user-processes > session [success=1 default=ignore] pam_succeed_if.so service = > systemd-user quiet > session optional pam_mount.so disable_interactive > /etc/security/pam_mount.conf.xml: > <volume uid="10000-2000200000" fstype="cifs" server="srv" path="sysvol" > mountpoint="/share/my" > options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID), > file_mode=0664,dir_mode=0775" /> [root@cli-kwork ~]# grep 'volume' /etc/security/pam_mount.conf.xml <volume uid="10000-2000200000" fstype="cifs" server="addc" path="share" mountpoint="/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" /> [root@cli-kwork ~]# tail -n 2 /etc/pam.d/system-auth session [success=1 default=ignore] pam_succeed_if.so service = systemd-user quiet session optional pam_mount.so disable_interactive Всё ОК на обновленной системе. > 3. Вот как раз не получается Обновитесь до актуального состояния согласно документации к Вашему дистрибутиву. > 4. ну sudo мне не нужен я согласен с политикой его выключения. > но su- никто не отменяет же? > Если udevadm не работает под правами админа доменного, то редактирование > fstab, точно должно работать. Это отклонение от главной темы данной баги: получение прав других пользователей, используя администратора домена. > по sudo > [petrov-rr@vmalt1 ~]$ sudo petrov-rr > > Мы полагаем, что ваш системный администратор изложил вам основы > безопасности. Как правило, всё сводится к трём следующим правилам: > > №1) Уважайте частную жизнь других. > №2) Думайте, прежде что-то вводить. > №3) С большой властью приходит большая ответственность. > > [sudo] password for petrov-rr: > petrov-rr is not in the sudoers file. This incident will be reported. > [petrov-rr@vmalt1 ~]$ ALT Linux заботится о Вашей безопасности: https://www.altlinux.org/Sudo Это, опять же, отклонение от темы данной баги. Не воспроизводится в P10.
1. Систему обновил apt-get update # apt-get dist-upgrade # update-kernel # apt-get clean 2. Не обратил внимание не хватает vers=3.0, <volume uid="10000-2000200000" fstype="cifs" server="srv" path="sysvol" mountpoint="/share/my" options="sec=krb5,vers=3.0,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" /> 3. 4. Отклонения нету данная уз является администратором домена и также вводит пк в домен.
(Ответ для kessys на комментарий #8) > 1. Систему обновил > apt-get update > > # apt-get dist-upgrade > # update-kernel > # apt-get clean OK. > 2. Не обратил внимание не хватает vers=3.0, > <volume uid="10000-2000200000" fstype="cifs" server="srv" path="sysvol" > mountpoint="/share/my" > options="sec=krb5,vers=3.0,cruid=%(USERUID),nounix,uid=%(USERUID), > gid=%(USERGID),file_mode=0664,dir_mode=0775" /> С ней было проверено первоначально. > 3. ? > 4. Отклонения нету данная уз является администратором домена и также вводит > пк в домен. Работает на обновленной системе по указанным шагам из описания. То, чего вы хотите добиться, опишите в формате: шаги, что ждёте, что по факту. В ином случае, ошибка не воспроизводится.