[samba] Релиз gpupdate 0.6.0

[Mikhail Novosyolov]

16.05.2020 00:05, Mikhail Novosyolov пишет:
> 15.05.2020 23:08, Igor Chudov пишет:
>> Добрый день, коллеги.
>>
>> Рады представить Вам новый релиз пакета gpupdate ( https://github.com/altlinux/gpupdate ) - ПО для применения групповых политик. Пакеты для тестирования можно забрать из карманов: 241549 (для p9) или 241548 (для Sisyphus). Несложная пользовательская инструкция находится по адресу: https://www.altlinux.org/Групповые_политики
>>
>> В новом релизе появились следующие изменения:
>>
>> * Появился разбор файла Drives.xml и автоматическая настройка autofs для монтирования Samba shares с авторизацией по Kerberos.
> А как вы решаете проблему, что для монтирования cifs с авторизацией по krb5 mount.cifs нужно передать KRB5CCACHE пользователя, который получил билет керберос, но билет керберос он получит уже после входа в систему через DM, когда как autofs начнет работать раньше?
>
> В шаблоне написано:
>
> {{ drv.dir }}    -fstype=cifs,cruid=$AUTOFS_UID,sec=krb5    :{{ drv.path }}
>
> Но откуда mount.cifs, вызываемый autofs-ом, должен взять KRB5CCACHE?

Вроде бы устанавливаемый вами параметр cruid работает так:

- autofs передает cruid=UID_пользователя в mount.cifs

- mount.cifs вызывает ядро, ядро вызывает cifs.upcall

- cifs.upcall ищет переменную KR5CCACHE в /proc/<pid>/environ родительского процесса (и не находит ее)

- cifs.upcall сбрасывает привелегии, делая setuid(cruid)

- cifs.upcall просит librkb5 выдать ему ccache

Таким образом, в любом случае в момент срабатывания autofs должен быть ccache krb5, т.е. пользователь должен залогиниться.

Вы сами запускаете kinit, хотя kinit() обычно делается PAM-модулями, это перестраховка?

И при этом из PAM вызывается генератор правил autofs, перезапускающий autofs.service из PAM? Но вижу, что kinit запускается при работе не от root, а значит не из PAM...

А что будет, если другой пользователь первым попытается получить доступ к такой точке монтирования autofs? Она, скорее всего, успешно примонтируется с krb5cc другого пользователя, а как дальше будут разрулены права доступа к ней?

Необычный подход вместо pam_mount.

>
>> * Улучшен функционал генерации ярлычков.
>> * Появилась возможность выбора локальной политики - Server или Workstation (для разных дистрибутивов).
>> * Внедрены багфиксы для применения пользовательских настроек.
>>
>> Мы выходим на этап расширения полезного функционала и потихоньку стабилизируем архитектуру по мере накопления экспертизы по различным вопросам.
>>
>> Выражаем блгодарность всем, кто принял участие в тестировании ПО и создании багрепортов.
>>
> _______________________________________________
> Samba mailing list
> Samba на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/samba