Авторизация в МОС12 через school.mos.ru: различия между версиями
Admin (обсуждение | вклад) |
(Добавление описания новых функций и алгоритма работы) |
||
| Строка 1: | Строка 1: | ||
== <big>Установка и активация</big> == | |||
<big>По умолчанию авторизация включена в дистрибутивах для компьютеров и ноутбуков.</big> | |||
<big>Для включения введите в консоли (после чего перезагрузите компьютер):</big> | |||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
sudo dnf install mos-auth-core mos-auth-folders | sudo dnf install mos-auth-core mos-auth-folders | ||
sudo mos-auth-config enable | sudo mos-auth-config enable | ||
</syntaxhighlight> | </syntaxhighlight> | ||
== <big>Дезактивация и удаление</big> == | |||
<big>Для отключения авторизации введите в консоли:</big><syntaxhighlight lang="bash"> | |||
<syntaxhighlight lang="bash"> | |||
sudo mos-auth-config disable | sudo mos-auth-config disable | ||
</syntaxhighlight> | </syntaxhighlight> | ||
< | <big>Для удаления введите в консоли:</big> | ||
<code><big>sudo dnf remove mos-auth-core mos-auth-folders</big></code> | |||
== <big>Алгоритм работы конфигурации</big> == | |||
<big>Конфигурация загружается из всех файлов в каталогах конфигурации в следующем порядке:</big> | |||
<big>'''''/usr/lib/mos-auth/mos-auth.conf.d/*.conf''''' - системные конфигурационные "drop-in" файлы;</big> | |||
<big>'''''/etc/mos-auth/mos-auth.conf''''' - основной конфигурационный файл;</big> | |||
<big>'''''/etc/mos-auth/mos-auth.conf.d/*.conf''''' - локальные конфигурационные "drop-in" файлы.</big> | |||
<big>Эти файлы настраивают различные параметры подсистемы авторизации mos-auth. В случае отсутствия файла конфигурации используются стандартные значения.</big> | |||
<big>Таким образом, в дополнение к "основному" файлу конфигурации считываются дополнительные фрагменты конфигурации ("drop-in" файлы) из каталога conf.d/.</big> | |||
* <big>''Системные конфигурационные "drop-in" файлы'' считываются раньше, чем основной файл конфигурации и предназначены для конфигурационных файлов, устанавливаемых пакетами дистрибутива.</big> | |||
* <big>''Локальные конфигурационные "drop-in" файлы'' имеют более высокий приоритет и переопределяют основной файл конфигурации.</big> | |||
* <big>''Файлы в подкаталогах конфигурации conf.d/'' сортируются по их именам по алфавиту.</big> | |||
* <big>Если в нескольких файлах указан один и тот же параметр, приоритет имеет параметр из того файла, который был загружен последним.</big> | |||
=== <big>Способы создания локальной конфигурации</big> === | |||
<big>Первый способ (<u>'''рекомендуемый'''</u>) - создание "drop-in" файлов в подкаталоге conf.d/;</big> | |||
<big>Второй способ - изменение файла '''/etc/mos-auth/mos-auth.conf.'''</big> | |||
<big>'''Внимание!''' Первый способ является более предпочтительным, так как основной файл конфигурации '''<nowiki/>'/etc/mos-auth/mos-auth.conf'''' хранит закомментированные значения по умолчанию и может изменяться при обновлении mos-auth.</big> | |||
== <big>Настройки авторизации</big> == | |||
<big>В '''секции sddm''' представлены следующие параметры для экрана входа авторизации:</big> | |||
* <big><code>guest-enabled=</code> - Если включено, отображается кнопка '''Войти как гость'''. Значение по умолчанию: '''''true'''''.</big> | |||
* <big><code>guest-home-tmpfs=</code> - Если включено, профиль гостя (домашняя папка /home) примонтирована через tmpfs (все файлы в домашней папке гостя будут располагаться в ОЗУ). Значение по умолчанию: '''''false'''''.</big> | |||
<big>Данный параметр повышает безопасность (профиль гостя будет очищаться автоматически при перезагрузке) и скорость создания / очистки профиля гостя при входе в учетную запись гостя.</big> | |||
* <big> <code>guest-dbus-service=</code> - Если включено, у гостя будет автоматически загружена DBus-служба. Значение по умолчанию: '''''true'''''.</big> | |||
<big>DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя.</big> | |||
<big>Например, можно выполнять либо команду (run), либо запускать команду без прикрепления к терминалу (runDetach):</big> | |||
<big> <code>sudo qdbus --system org.mos.auth.guest / run "zenity --calendar"</code></big> | |||
<big> <code>sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh"</code></big> | |||
* <big> <code>mos-auth-btn-enabled=</code> - Если включено, отображается кнопка '''Авторизация через mos.ru'''. Значение по умолчанию: '''''true''.'''</big> | |||
'''Для пользователей, авторизованных через МОС становятся доступны в домашнем каталоге и на рабочем столе сетевые папки, расположенные на сервере МЭШ корпуса''' | |||
Общая - общая для всех | Общая - общая для всех | ||
| Строка 50: | Строка 89: | ||
Администратор с правами root может видеть все папки пользователей в каталоге /run/media/glusterfs/ | Администратор с правами root может видеть все папки пользователей в каталоге /run/media/glusterfs/ | ||
'''Чтобы учителя имели права sudo (стать администратором)''' | |||
Нужно в настройках sudo выставить права для mos-teacer (все учителя входят в эту группу) в /etc/sudoers | Нужно в настройках sudo выставить права для mos-teacer (все учителя входят в эту группу) в /etc/sudoers | ||
| Строка 59: | Строка 99: | ||
максимально просто это делается редактированием файла /etc/group | максимально просто это делается редактированием файла /etc/group | ||
'''Чтобы можно было войти с логином teacher и student без отключения возможности авторизации через МОС надо''' | |||
<code>в /etc/sddm.conf</code> минимальный id 500 | <code>в /etc/sddm.conf</code> минимальный id 500 | ||
| Строка 68: | Строка 109: | ||
просто сделать автологин для пользователя student в <code>/etc/sddm.conf.d/50-default.conf</code> | просто сделать автологин для пользователя student в <code>/etc/sddm.conf.d/50-default.conf</code> | ||
'''Автологин (действует не только с MOS авторизацией, но и без нее)''' | |||
то есть вход сразу в пространство пользователя без пароля | то есть вход сразу в пространство пользователя без пароля | ||
py-ini-config set /etc/sddm.conf Autologin User имяпользователя | py-ini-config set /etc/sddm.conf Autologin User имяпользователя | ||
| Строка 74: | Строка 116: | ||
чтобы отключить вводим тоже самое , но имя должно быть пустым | чтобы отключить вводим тоже самое , но имя должно быть пустым | ||
'''Лечение проблем''' | |||
Некоторые проблемы решаются перезапуском, а именно | Некоторые проблемы решаются перезапуском, а именно | ||
Версия 12:41, 21 апреля 2025
Установка и активация
По умолчанию авторизация включена в дистрибутивах для компьютеров и ноутбуков.
Для включения введите в консоли (после чего перезагрузите компьютер):
sudo dnf install mos-auth-core mos-auth-folders
sudo mos-auth-config enable
Дезактивация и удаление
Для отключения авторизации введите в консоли:
sudo mos-auth-config disable
Для удаления введите в консоли:
sudo dnf remove mos-auth-core mos-auth-folders
Алгоритм работы конфигурации
Конфигурация загружается из всех файлов в каталогах конфигурации в следующем порядке:
/usr/lib/mos-auth/mos-auth.conf.d/*.conf - системные конфигурационные "drop-in" файлы;
/etc/mos-auth/mos-auth.conf - основной конфигурационный файл;
/etc/mos-auth/mos-auth.conf.d/*.conf - локальные конфигурационные "drop-in" файлы.
Эти файлы настраивают различные параметры подсистемы авторизации mos-auth. В случае отсутствия файла конфигурации используются стандартные значения.
Таким образом, в дополнение к "основному" файлу конфигурации считываются дополнительные фрагменты конфигурации ("drop-in" файлы) из каталога conf.d/.
- Системные конфигурационные "drop-in" файлы считываются раньше, чем основной файл конфигурации и предназначены для конфигурационных файлов, устанавливаемых пакетами дистрибутива.
- Локальные конфигурационные "drop-in" файлы имеют более высокий приоритет и переопределяют основной файл конфигурации.
- Файлы в подкаталогах конфигурации conf.d/ сортируются по их именам по алфавиту.
- Если в нескольких файлах указан один и тот же параметр, приоритет имеет параметр из того файла, который был загружен последним.
Способы создания локальной конфигурации
Первый способ (рекомендуемый) - создание "drop-in" файлов в подкаталоге conf.d/;
Второй способ - изменение файла /etc/mos-auth/mos-auth.conf.
Внимание! Первый способ является более предпочтительным, так как основной файл конфигурации '/etc/mos-auth/mos-auth.conf' хранит закомментированные значения по умолчанию и может изменяться при обновлении mos-auth.
Настройки авторизации
В секции sddm представлены следующие параметры для экрана входа авторизации:
guest-enabled=- Если включено, отображается кнопка Войти как гость. Значение по умолчанию: true.guest-home-tmpfs=- Если включено, профиль гостя (домашняя папка /home) примонтирована через tmpfs (все файлы в домашней папке гостя будут располагаться в ОЗУ). Значение по умолчанию: false.
Данный параметр повышает безопасность (профиль гостя будет очищаться автоматически при перезагрузке) и скорость создания / очистки профиля гостя при входе в учетную запись гостя.
-
guest-dbus-service=- Если включено, у гостя будет автоматически загружена DBus-служба. Значение по умолчанию: true.
DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя.
Например, можно выполнять либо команду (run), либо запускать команду без прикрепления к терминалу (runDetach):
sudo qdbus --system org.mos.auth.guest / run "zenity --calendar"
sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh"
-
mos-auth-btn-enabled=- Если включено, отображается кнопка Авторизация через mos.ru. Значение по умолчанию: true.
Для пользователей, авторизованных через МОС становятся доступны в домашнем каталоге и на рабочем столе сетевые папки, расположенные на сервере МЭШ корпуса
Общая - общая для всех
Персональная - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука
Папки организованы путем создания glusterfs на сервере 10.xxx.xxx.20 общей папки с именеи share без пароля. В папке расположены подпапки с именами пользователей и общая подпапка public.
На ПК монтируестя общая папка share c правами, не допускающими ее чтение всеми пользователями и делается на нужные подпапки линки из каталога и с рабочего стола пользователя.
При обрыве сети папка отваливается, восстановление происходит только путем выхода и входа пользователя (ИМХО это жирный минус - стоило сделать автовосстановление)
размер общей папки у меня 1ТБ
Администратор с правами root может видеть все папки пользователей в каталоге /run/media/glusterfs/
Чтобы учителя имели права sudo (стать администратором)
Нужно в настройках sudo выставить права для mos-teacer (все учителя входят в эту группу) в /etc/sudoers
посмотрите как это сделано для группы wheel и сделайте также
это даст права ВСЕМ учителям. Одному учителю можно дать права, просто включив его в группу wheel
максимально просто это делается редактированием файла /etc/group
Чтобы можно было войти с логином teacher и student без отключения возможности авторизации через МОС надо
в /etc/sddm.conf минимальный id 500
в /etc/sddm.conf.d/50-default.conf прописываем учётку guest в HideUsers=
ИЛИ
просто сделать автологин для пользователя student в /etc/sddm.conf.d/50-default.conf
Автологин (действует не только с MOS авторизацией, но и без нее)
то есть вход сразу в пространство пользователя без пароля
py-ini-config set /etc/sddm.conf Autologin User имяпользователя
чтобы отключить вводим тоже самое , но имя должно быть пустым
Лечение проблем
Некоторые проблемы решаются перезапуском, а именно
sudo mos-auth-config disable sudo mos-auth-config enable
