Авторизация в МОС12 через school.mos.ru: различия между версиями
Kekaloav (обсуждение | вклад) Нет описания правки |
Sgakerru (обсуждение | вклад) (→Возможности для пользователей, авторизованных через mos.ru: дополнение информацией и исправление форматирования текста) Метки: mobile web edit mobile edit |
||
| (не показано 30 промежуточных версий 5 участников) | |||
| Строка 1: | Строка 1: | ||
<big>Ознакомиться с наиболее подробным и актуальным описанием авторизации через mos.ru можно при вводе в консоли:</big> | |||
<big><code>man mos-auth.conf</code></big> | |||
==<big>Установка и активация</big>== | |||
<big>По умолчанию авторизация включена в дистрибутивах для компьютеров и ноутбуков.</big> | |||
<big>Для включения введите в консоли (после чего перезагрузите компьютер):</big> | |||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
sudo dnf install mos-auth-core mos-auth-folders | sudo dnf install mos-auth-core mos-auth-folders | ||
sudo mos-auth-config enable | sudo mos-auth-config enable | ||
</syntaxhighlight> | |||
==<big>Дезактивация и удаление</big>== | |||
<big>Для отключения авторизации введите в консоли:</big><syntaxhighlight lang="bash"> | |||
sudo mos-auth-config disable | |||
</syntaxhighlight> | |||
<big>Для удаления введите в консоли:</big> | |||
<syntaxhighlight lang="bash">sudo dnf remove mos-auth-core mos-auth-folders</syntaxhighlight> | |||
==<big>Алгоритм работы конфигурации</big>== | |||
<big>Конфигурация загружается из всех файлов в каталогах конфигурации в следующем порядке:</big> | |||
<big>'''''/usr/lib/mos-auth/mos-auth.conf.d/*.conf''''' - системные конфигурационные "drop-in" файлы;</big> | |||
<big>'''''/etc/mos-auth/mos-auth.conf''''' - основной конфигурационный файл;</big> | |||
<big>'''''/etc/mos-auth/mos-auth.conf.d/*.conf''''' - локальные конфигурационные "drop-in" файлы.</big> | |||
<big>Эти файлы настраивают различные параметры подсистемы авторизации mos-auth. В случае отсутствия файла конфигурации используются стандартные значения.</big> | |||
<big>Таким образом, в дополнение к "основному" файлу конфигурации считываются дополнительные фрагменты конфигурации ("drop-in" файлы) из каталогов conf.d/.</big> | |||
*<big>''Системные конфигурационные "drop-in" файлы'' считываются раньше, чем основной файл конфигурации и предназначены для конфигурационных файлов, устанавливаемых пакетами дистрибутива.</big> | |||
*<big>''Локальные конфигурационные "drop-in" файлы'' имеют более высокий приоритет и переопределяют основной файл конфигурации.</big> | |||
*<big>''Файлы в подкаталогах конфигурации conf.d/'' сортируются по их именам по алфавиту.</big> | |||
*<big>Если в нескольких файлах указан один и тот же параметр, приоритет имеет параметр из того файла, который был загружен последним.</big> | |||
===<big>Способы создания локальной конфигурации</big>=== | |||
<big>Первый способ (<u>'''рекомендуемый'''</u>) - создание "drop-in" файлов в подкаталоге conf.d/;</big> | |||
<big>Второй способ - изменение файла '''/etc/mos-auth/mos-auth.conf.'''</big> | |||
<big>'''Внимание!''' Первый способ является более предпочтительным, так как основной файл конфигурации '''<nowiki/>'/etc/mos-auth/mos-auth.conf'''' хранит закомментированные значения по умолчанию и может изменяться при обновлении mos-auth.</big> | |||
==<big>Настройки авторизации</big>== | |||
<big>В '''секции sddm''' представлены следующие параметры для экрана входа а</big><big>'''<nowiki/>'''</big><big>'''<nowiki/>'''</big><big>'''<nowiki/>'''</big><big>вторизации:</big> | |||
{| class="wikitable" | |||
|+ | |||
!Параметр | |||
!Значение по | |||
умолчанию | |||
!Описание включенного | |||
параметра | |||
|- | |||
|<big><code>guest-enabled</code></big> | |||
|<big>true</big> | |||
|<big>Отображается кнопка '''Войти как гость'''</big> | |||
|- | |||
|<big><code>guest-home-tmpfs</code></big> | |||
|<big>false</big> | |||
|<big>Домашняя папка гостя примонтирована через tmpfs</big> | |||
|- | |||
|<big><code>guest-dbus-service</code></big> | |||
|<big>true</big> | |||
|<big>Автоматически загруженная DBus-служба у гостя</big> | |||
|- | |||
|<big><code>guest-skel-directory</code></big> | |||
|<big>отсутствует</big> | |||
|<big>Переопределение директории skel для формирования профиля гостя</big> | |||
|- | |||
|<big><code>mos-auth-btn-enabled</code></big> | |||
|<big>true</big> | |||
|<big>Отображается кнопка '''Авторизация через mos.ru'''</big> | |||
|- | |||
|<big><code>login-lowercase-only</code></big> | |||
|<big>false</big> | |||
|<big>Запрет ввода символов верхнего регистра в поле логина</big> | |||
|- | |||
|<big><code>wifi-eap-enabled</code></big> | |||
|<big>false</big> | |||
|<big>Включение возможности входа в EAP (корпоративный) Wi-Fi на экране входа</big> | |||
|- | |||
|<big><code>wifi-eap-domain</code></big> | |||
|<big>отсутствует</big> | |||
|<big>Опциональный параметр, задающий домен для корпоративного Wi-Fi</big> | |||
|- | |||
|<big><code>wifi-eap-ssid</code></big> | |||
|<big>отсутствует</big> | |||
|<big>Если этот параметр указан, то включается автоматическое временное подключение к Wi-Fi на экране входа при вводе логина и пароля от доменной УЗ</big> | |||
|} | |||
===<big>Настройки гостя</big>=== | |||
<big>Профиль гостя автоматически очищается при перезагрузке. Также набор файлов в профиле гостя может быть изменен с помощью изменения файлов в папке <code>/etc/skel</code>.</big> | |||
====<big>Профиль гостя и tmpfs</big>==== | |||
<big>При включенном параметре <code>guest-home-tmpfs</code> все файлы в домашней папке гостя будут располагаться в ОЗУ. | |||
Данный параметр повышает безопасность и скорость создания (очистки) профиля гостя при входе в учетную запись гостя. | |||
Но требует достаточного объема оперативной памяти для комфортной работы в таком профиле.</big> | |||
====<big>D-Bus служба гостя</big>==== | |||
<big>DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя. | |||
Например, можно выполнять либо команду (<code>run</code>), либо запускать команду без прикрепления к терминалу (<code>runDetach</code>):</big> | |||
<syntaxhighlight lang="bash"> | |||
sudo qdbus --system org.mos.auth.guest / run "zenity --calendar" | |||
sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh" | |||
</syntaxhighlight> | </syntaxhighlight> | ||
Если | <big>По умолчанию, время ожидания D-Bus шины ответа при выполнении команды примерно равно 50 секундам. | ||
Если вам нужно указать свое время ожидания, к примеру 10 минут, следует использовать команду следующую команду:</big> | |||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
sudo mos- | sudo dbus-send --system --print-reply=literal --reply-timeout=600000 --dest=org.mos.auth.guest / org.mos.auth.guest.run string:"zenity --calendar"` | ||
</syntaxhighlight> | </syntaxhighlight> | ||
====<big>Переопределение skel для гостя</big>==== | |||
< | #<big>Сначала считывается значение новой опции из конфига <code>guest-skel-directory</code></big> | ||
#<big>Если оно отсутствует, тогда считывается стандартное значение для новых пользователей из <code>/etc/default/useradd</code> из переменной <code>SKEL</code></big> | |||
#<big>Если оно отсутствует, тогда используется путь <code>/etc/skel</code></big> | |||
# | |||
# | |||
<big>Указанные директории в <code>guest-skel-directory</code> или <code>/etc/default/useradd</code> в переменной <code>SKEL</code> являются корректными только тогда, когда не равны пустому значению (""), и когда указанная директория действительно существует.</big> | |||
<big>При необходимости переопределения папки у гостя следует создать файл конфигурации <code>/etc/mos-auth/mos-auth.conf.d/skel-guest-override.conf</code> и прописать в нем:</big> | |||
<syntaxhighlight lang="bash"> | |||
[sddm] | [sddm] | ||
guest-skel-directory=/etc/2skel | |||
</syntaxhighlight> | |||
===<big>Общий вид стандартного файла конфига</big>=== | |||
<syntaxhighlight lang="bash"> | |||
[sddm] | |||
guest-enabled=true | |||
guest-home-tmpfs=false | |||
guest-dbus-service=true | |||
guest-skel-directory= | |||
mos-auth-btn-enabled=true | |||
login-lowercase-only=false | |||
wifi-eap-enabled=false | |||
wifi-eap-domain= | |||
wifi-eap-ssid= | |||
</syntaxhighlight> | |||
==<big>Консольная версия управления авторизацией через mos.ru</big>== | |||
<big>'''mos-auth-config''' - консольная утилита для управления подсистемой авторизации mos-auth, которая позволяет включать и отключать вход в систему через учетную запись на mos.ru.</big> | |||
<big>В данной утилите доступны следующие команды:</big> | |||
{| class="wikitable" | |||
|+ | |||
!Название | |||
!Описание | |||
|- | |||
|<code>mos-auth-config enable</code> | |||
|<big>''Для запуска команды требуются права администратора.''</big> | |||
<big>Включает подсистему авторизации mos-auth, при этом выполняются следующие действия:</big> | |||
<big>- устанавливается тема mos-auth в SDDM,</big> | |||
<big>- устанавливается PAM-механизм автоочистки профиля гостя,</big> | |||
<big>- активируется DBus-служба для гостя,</big> | |||
<big>- включается поддержка сетевых папок (если установлен пакет mos-auth-folders),</big> | |||
<big>- активируется DBus-служба в SDDM для возможности входа в систему через терминал (если установлен пакет mos-auth-dbus-conf)</big> | |||
|- | |||
|<code>mos-auth-config disable</code> | |||
|<big>''Для запуска команды требуются права администратора.''</big> | |||
<big>Выключает подсистему авторизации mos-auth, при этом выполняются следующие действия:</big> | |||
<big>- возвращается тема SDDM, которая была настроена до включения подсистемы авторизации,</big> | |||
<big>- выключается PAM-механизм автоочистки профиля гостя,</big> | |||
<big>- выключается DBus-служба для гостя,</big> | |||
<big>- выключается поддержка сетевых папок,</big> | |||
<big>- выключается DBus-служба в SDDM</big> | |||
|- | |||
|<code>mos-auth-config status</code> | |||
|<big>Выводит текущий статус авторизации через mos.ru в системе</big> | |||
|- | |||
|<code>mos-auth-config edit</code> | |||
|<big>''Для запуска команды требуются права администратора.''</big> | |||
<big>Позволяет редактировать конфигурационный файл</big> | |||
|- | |||
|<code>mos-auth-config help</code> | |||
|<big>Вызывает справку</big> | |||
|} | |||
==<big>Возможность входа через шину DBus</big>== | |||
<big>Существует возможность неинтерактивного (без взаимодействия с GUI) входа в систему, например, для авторизации в <code>sddm</code> через терминал по SSH. | |||
Если у вас установлен пакет <code>mos-auth-dbus-conf</code>, то при включении подсистемы авторизации mos-auth, активируется DBus-служба в SDDM, которая позволяет осуществить вход в систему в SDDM через терминал. | |||
Сервис активен только на момент, пока активна тема SDDM (пока активен QML плагин <code>org.mos.auth</code>, который вызван процессом <code>sddm-greeter</code>). | |||
Если пользователь уже вошел в систему и SDDM неактивен, то команда сообщит, что такого сервиса в шине DBus не существует. | |||
С точки зрения безопасности - сервис может быть создан только пользователем <code>sddm</code>, а для запуска команд требуются права администратора <code>root</code>.</big> | |||
<big>Примеры команд:</big> | |||
<syntaxhighlight lang="bash"> | |||
qdbus --system org.mos.auth / login user 123 | |||
</syntaxhighlight> | |||
<big>Для гостя (отсутствие второго аргумента с паролем в команде трактуется как пустой пароль):</big> | |||
<syntaxhighlight lang="bash"> | |||
qdbus --system org.mos.auth / login guest | |||
</syntaxhighlight> | |||
==<big>Настройка авторизации через mos.ru с помощью Admin Tweaker</big>== | |||
<big>Включить и настроить авторизацию в системе через mos.ru можно в приложении '''Admin Tweaker'''.</big> | |||
<big>Во вкладке '''"Авторизация через MOS.RU"''' доступны следующие пакеты для установки:</big> | |||
*<big>'''mos-auth-core -''' установка данного пакета позволяет реализовать возможность авторизации через mos.ru, войти гостем, настроить логин командой через ssh и остальные базовые функции;</big> | |||
[[Файл:Авторизация через mos.ru (3.6).png|500x500пкс|Вкладка "Авторизация через mos.ru"]] | |||
*<big>'''mos-auth-folders''' - установка данного пакета позволяет получать доступ к сетевым папкам (если такая возможность поддерживается в вашем школьном здании);</big> | |||
*<big>'''mos-auth-dbus-conf''' - установка данного пакета позволяет компьютерам принимать запрос по ssh для залогинивания;</big> | |||
*<big>'''mos-auth-roles''' - установка данного пакета позволяет настраивать на компьютерах роли (''mos-teacher,'' ''mos-student''). Данный пакет устанавливается автоматически вместе с '''mos-auth-core'''.</big> | |||
<big>После установки пакета '''mos-auth-core''' появляется возможность включить авторизацию через mos.ru. После выбора опции '''«Включена»''' нажмите '''«Применить»,''' что приведет к активации следующих настроек: кнопка входа через mos.ru, гостевая учетная запись, монтирование домашней папки гостя в tmpfs, выбор способа отображения логинов на экране авторизации. При выключении авторизации через mos.ru остальные настройки на данной вкладке будут выключены автоматически.</big> | |||
<big>Опция '''«Удалить файл конфига»''' в разделе '''«Способ отображения логинов на экране авторизации»''' позволяет удалить созданный данной утилитой файл, в котором записан способ отображения авторизации через mos.ru. При удалении данного файла авторизация будет отображаться по умолчанию согласно настройкам системы.</big> | |||
[[Файл:Авторизация через mos.ru (версия 3.6).png|764x764пкс|Настройки авторизации через mos.ru]] | |||
==<big>Возможности для пользователей, авторизованных через mos.ru</big>== | |||
===<big>Сетевые папки для пользователей, авторизованных через mos.ru</big>=== | |||
<big>Доступ к сетевым папкам, расположенным на сервере МЭШ корпуса, в домашнем каталоге и на рабочем столе: | |||
#Общая папка - общая для всех пользователей; | |||
#Персональная папка - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука.</big> | |||
<big>Папки организованы путем создания <code>glusterfs</code> на сервере 10.xxx.xxx.20 общей папки с именем share без пароля. | |||
В папке расположены подпапки с именами пользователей и общая подпапка public. | |||
На ПК монтируется общая папка share c правами, не допускающими ее чтение всеми пользователями, и создаются ссылки на нужные подпапки из каталога и с рабочего стола пользователя. | |||
Администратор с правами root может видеть все папки пользователей в каталоге <code>/run/media/glusterfs/</code> | |||
Автомонтирование папок происходит в двух случаях: подключение к сети или авторизация в систему (при наличие сети). | |||
При обрыве сети папка перестает быть доступна, восстановление должно произойти при восстановление сети. Если этого не произошло, попробуйте перезайти в учетную запись пользователя.</big> | |||
===<big>Настройка прав доступа sudo для учителей (пользователи группы mos-teacher)</big>=== | |||
<big>Права доступа sudo дают учителю права администратора. | |||
В настройках sudoers можно выставить права для mos-teacher (все учителя входят в эту группу), аналогично настройкам для группы wheel. | |||
Для этого необходимо создать файл <code>/etc/sudoers.d/mos-teacher</code> с таким содержимым:</big> | |||
<syntaxhighlight lang="bash"> | |||
%mos-teacher ALL=(ALL) ALL | |||
</syntaxhighlight> | </syntaxhighlight> | ||
==== Для | <big>Данная настройка даст права sudo <u>всем</u> учителям. Если нужно изменить настройки доступа для одного учителя, следует добавить его в группу wheel (c помощью <code>gpasswd -a логин wheel</code>).</big> | ||
==<big>Вход с логином teacher/student без отключения возможности авторизации через mos.ru</big>== | |||
<big>Для реализации данной возможности следует:</big> | |||
*<big>установить в файле '''''/etc/sddm.conf''''' минимальный id 500;</big> | |||
*<big>прописать учетную запись guest в <code>HideUsers=</code> в '''''/etc/sddm.conf.d/kde_settings.conf'''.''</big> | |||
<big>ИЛИ</big> | |||
<big>сделать автологин (''вход в пространство пользователя без пароля'') для пользователя '''student/teacher''' в '''''/etc/sddm.conf.d/kde_settings.conf'''''.</big> | |||
===<big>Настройки автологина</big>=== | |||
* <big>Для установки автологина можно ввести в консоли:</big> | |||
<big>py-ini-config set /etc/sddm.conf.d/kde_settings.conf Autologin User имяпользователя</big> | |||
<big>Также автологин можно установить через '''Вход в систему (SDDM)'''.</big> | |||
*<big>Зайдите в '''Главное меню''' -> '''Параметры системы''' -> '''Запуск и завершение''' -> '''Вход в систему (SDDM)''';</big> | |||
*<big>Нажмите кнопку '''Поведение''';</big> | |||
[[Файл:SDDM. Вход.png|800x800пкс|Настройка автологина]] | |||
*<big>Установите галочку напротив '''"Автоматически входить в систему"''' и выберите имя пользователя;</big> | |||
*<big>Нажмите кнопку '''Применить'''.</big> | |||
[[Файл:SDDM. Выбор пользователя.png|800px|SDDM. Выбор пользователя]] | |||
*<big>Для отключения автологина введите в консоли следующую команду:</big> | |||
< | |||
< | <big>py-ini-config del /etc/sddm.conf.d/kde_settings.conf Autologin User</big> | ||
<big>Вводить команды для установки и отключения автологина необходимо от пользователя с повышенными привилегиями (через ''sudo'' или от ''root'').</big> | |||
==<big>Решение проблем с авторизацией</big>== | |||
<big>Некоторые проблемы могут решаться с помощью перезапуска, для этого введите в консоли:</big> | |||
<big>sudo mos-auth-config disable | |||
sudo mos-auth-config enable</big> | |||
[[Категория:МОС12]] | [[Категория:МОС12]] | ||
{{DEFAULTSORT:Авторизация_в_МОС12_через_mos.ru.}} | |||
Текущая версия от 13:01, 27 февраля 2026
Ознакомиться с наиболее подробным и актуальным описанием авторизации через mos.ru можно при вводе в консоли:
man mos-auth.conf
Установка и активация
По умолчанию авторизация включена в дистрибутивах для компьютеров и ноутбуков.
Для включения введите в консоли (после чего перезагрузите компьютер):
sudo dnf install mos-auth-core mos-auth-folders
sudo mos-auth-config enable
Дезактивация и удаление
Для отключения авторизации введите в консоли:
sudo mos-auth-config disable
Для удаления введите в консоли:
sudo dnf remove mos-auth-core mos-auth-folders
Алгоритм работы конфигурации
Конфигурация загружается из всех файлов в каталогах конфигурации в следующем порядке:
/usr/lib/mos-auth/mos-auth.conf.d/*.conf - системные конфигурационные "drop-in" файлы;
/etc/mos-auth/mos-auth.conf - основной конфигурационный файл;
/etc/mos-auth/mos-auth.conf.d/*.conf - локальные конфигурационные "drop-in" файлы.
Эти файлы настраивают различные параметры подсистемы авторизации mos-auth. В случае отсутствия файла конфигурации используются стандартные значения.
Таким образом, в дополнение к "основному" файлу конфигурации считываются дополнительные фрагменты конфигурации ("drop-in" файлы) из каталогов conf.d/.
- Системные конфигурационные "drop-in" файлы считываются раньше, чем основной файл конфигурации и предназначены для конфигурационных файлов, устанавливаемых пакетами дистрибутива.
- Локальные конфигурационные "drop-in" файлы имеют более высокий приоритет и переопределяют основной файл конфигурации.
- Файлы в подкаталогах конфигурации conf.d/ сортируются по их именам по алфавиту.
- Если в нескольких файлах указан один и тот же параметр, приоритет имеет параметр из того файла, который был загружен последним.
Способы создания локальной конфигурации
Первый способ (рекомендуемый) - создание "drop-in" файлов в подкаталоге conf.d/;
Второй способ - изменение файла /etc/mos-auth/mos-auth.conf.
Внимание! Первый способ является более предпочтительным, так как основной файл конфигурации '/etc/mos-auth/mos-auth.conf' хранит закомментированные значения по умолчанию и может изменяться при обновлении mos-auth.
Настройки авторизации
В секции sddm представлены следующие параметры для экрана входа авторизации:
| Параметр | Значение по
умолчанию |
Описание включенного
параметра |
|---|---|---|
guest-enabled
|
true | Отображается кнопка Войти как гость |
guest-home-tmpfs
|
false | Домашняя папка гостя примонтирована через tmpfs |
guest-dbus-service
|
true | Автоматически загруженная DBus-служба у гостя |
guest-skel-directory
|
отсутствует | Переопределение директории skel для формирования профиля гостя |
mos-auth-btn-enabled
|
true | Отображается кнопка Авторизация через mos.ru |
login-lowercase-only
|
false | Запрет ввода символов верхнего регистра в поле логина |
wifi-eap-enabled
|
false | Включение возможности входа в EAP (корпоративный) Wi-Fi на экране входа |
wifi-eap-domain
|
отсутствует | Опциональный параметр, задающий домен для корпоративного Wi-Fi |
wifi-eap-ssid
|
отсутствует | Если этот параметр указан, то включается автоматическое временное подключение к Wi-Fi на экране входа при вводе логина и пароля от доменной УЗ |
Настройки гостя
Профиль гостя автоматически очищается при перезагрузке. Также набор файлов в профиле гостя может быть изменен с помощью изменения файлов в папке /etc/skel.
Профиль гостя и tmpfs
При включенном параметре guest-home-tmpfs все файлы в домашней папке гостя будут располагаться в ОЗУ.
Данный параметр повышает безопасность и скорость создания (очистки) профиля гостя при входе в учетную запись гостя.
Но требует достаточного объема оперативной памяти для комфортной работы в таком профиле.
D-Bus служба гостя
DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя.
Например, можно выполнять либо команду (run), либо запускать команду без прикрепления к терминалу (runDetach):
sudo qdbus --system org.mos.auth.guest / run "zenity --calendar"
sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh"
По умолчанию, время ожидания D-Bus шины ответа при выполнении команды примерно равно 50 секундам.
Если вам нужно указать свое время ожидания, к примеру 10 минут, следует использовать команду следующую команду:
sudo dbus-send --system --print-reply=literal --reply-timeout=600000 --dest=org.mos.auth.guest / org.mos.auth.guest.run string:"zenity --calendar"`
Переопределение skel для гостя
- Сначала считывается значение новой опции из конфига
guest-skel-directory - Если оно отсутствует, тогда считывается стандартное значение для новых пользователей из
/etc/default/useraddиз переменнойSKEL - Если оно отсутствует, тогда используется путь
/etc/skel
Указанные директории в guest-skel-directory или /etc/default/useradd в переменной SKEL являются корректными только тогда, когда не равны пустому значению (""), и когда указанная директория действительно существует.
При необходимости переопределения папки у гостя следует создать файл конфигурации /etc/mos-auth/mos-auth.conf.d/skel-guest-override.conf и прописать в нем:
[sddm]
guest-skel-directory=/etc/2skel
Общий вид стандартного файла конфига
[sddm]
guest-enabled=true
guest-home-tmpfs=false
guest-dbus-service=true
guest-skel-directory=
mos-auth-btn-enabled=true
login-lowercase-only=false
wifi-eap-enabled=false
wifi-eap-domain=
wifi-eap-ssid=
Консольная версия управления авторизацией через mos.ru
mos-auth-config - консольная утилита для управления подсистемой авторизации mos-auth, которая позволяет включать и отключать вход в систему через учетную запись на mos.ru.
В данной утилите доступны следующие команды:
| Название | Описание |
|---|---|
mos-auth-config enable
|
Для запуска команды требуются права администратора.
- устанавливается тема mos-auth в SDDM, - устанавливается PAM-механизм автоочистки профиля гостя, - активируется DBus-служба для гостя, - включается поддержка сетевых папок (если установлен пакет mos-auth-folders), - активируется DBus-служба в SDDM для возможности входа в систему через терминал (если установлен пакет mos-auth-dbus-conf) |
mos-auth-config disable
|
Для запуска команды требуются права администратора.
- возвращается тема SDDM, которая была настроена до включения подсистемы авторизации, - выключается PAM-механизм автоочистки профиля гостя, - выключается DBus-служба для гостя, - выключается поддержка сетевых папок, - выключается DBus-служба в SDDM |
mos-auth-config status
|
Выводит текущий статус авторизации через mos.ru в системе |
mos-auth-config edit
|
Для запуска команды требуются права администратора.
|
mos-auth-config help
|
Вызывает справку |
Возможность входа через шину DBus
Существует возможность неинтерактивного (без взаимодействия с GUI) входа в систему, например, для авторизации в sddm через терминал по SSH.
Если у вас установлен пакет mos-auth-dbus-conf, то при включении подсистемы авторизации mos-auth, активируется DBus-служба в SDDM, которая позволяет осуществить вход в систему в SDDM через терминал.
Сервис активен только на момент, пока активна тема SDDM (пока активен QML плагин org.mos.auth, который вызван процессом sddm-greeter).
Если пользователь уже вошел в систему и SDDM неактивен, то команда сообщит, что такого сервиса в шине DBus не существует.
С точки зрения безопасности - сервис может быть создан только пользователем sddm, а для запуска команд требуются права администратора root.
Примеры команд:
qdbus --system org.mos.auth / login user 123
Для гостя (отсутствие второго аргумента с паролем в команде трактуется как пустой пароль):
qdbus --system org.mos.auth / login guest
Настройка авторизации через mos.ru с помощью Admin Tweaker
Включить и настроить авторизацию в системе через mos.ru можно в приложении Admin Tweaker.
Во вкладке "Авторизация через MOS.RU" доступны следующие пакеты для установки:
- mos-auth-core - установка данного пакета позволяет реализовать возможность авторизации через mos.ru, войти гостем, настроить логин командой через ssh и остальные базовые функции;
.png)
- mos-auth-folders - установка данного пакета позволяет получать доступ к сетевым папкам (если такая возможность поддерживается в вашем школьном здании);
- mos-auth-dbus-conf - установка данного пакета позволяет компьютерам принимать запрос по ssh для залогинивания;
- mos-auth-roles - установка данного пакета позволяет настраивать на компьютерах роли (mos-teacher, mos-student). Данный пакет устанавливается автоматически вместе с mos-auth-core.
После установки пакета mos-auth-core появляется возможность включить авторизацию через mos.ru. После выбора опции «Включена» нажмите «Применить», что приведет к активации следующих настроек: кнопка входа через mos.ru, гостевая учетная запись, монтирование домашней папки гостя в tmpfs, выбор способа отображения логинов на экране авторизации. При выключении авторизации через mos.ru остальные настройки на данной вкладке будут выключены автоматически.
Опция «Удалить файл конфига» в разделе «Способ отображения логинов на экране авторизации» позволяет удалить созданный данной утилитой файл, в котором записан способ отображения авторизации через mos.ru. При удалении данного файла авторизация будет отображаться по умолчанию согласно настройкам системы.
.png)
Возможности для пользователей, авторизованных через mos.ru
Сетевые папки для пользователей, авторизованных через mos.ru
Доступ к сетевым папкам, расположенным на сервере МЭШ корпуса, в домашнем каталоге и на рабочем столе:
- Общая папка - общая для всех пользователей;
- Персональная папка - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука.
Папки организованы путем создания glusterfs на сервере 10.xxx.xxx.20 общей папки с именем share без пароля.
В папке расположены подпапки с именами пользователей и общая подпапка public.
На ПК монтируется общая папка share c правами, не допускающими ее чтение всеми пользователями, и создаются ссылки на нужные подпапки из каталога и с рабочего стола пользователя.
Администратор с правами root может видеть все папки пользователей в каталоге /run/media/glusterfs/
Автомонтирование папок происходит в двух случаях: подключение к сети или авторизация в систему (при наличие сети).
При обрыве сети папка перестает быть доступна, восстановление должно произойти при восстановление сети. Если этого не произошло, попробуйте перезайти в учетную запись пользователя.
Настройка прав доступа sudo для учителей (пользователи группы mos-teacher)
Права доступа sudo дают учителю права администратора.
В настройках sudoers можно выставить права для mos-teacher (все учителя входят в эту группу), аналогично настройкам для группы wheel.
Для этого необходимо создать файл /etc/sudoers.d/mos-teacher с таким содержимым:
%mos-teacher ALL=(ALL) ALL
Данная настройка даст права sudo всем учителям. Если нужно изменить настройки доступа для одного учителя, следует добавить его в группу wheel (c помощью gpasswd -a логин wheel).
Вход с логином teacher/student без отключения возможности авторизации через mos.ru
Для реализации данной возможности следует:
- установить в файле /etc/sddm.conf минимальный id 500;
- прописать учетную запись guest в
HideUsers=в /etc/sddm.conf.d/kde_settings.conf.
ИЛИ
сделать автологин (вход в пространство пользователя без пароля) для пользователя student/teacher в /etc/sddm.conf.d/kde_settings.conf.
Настройки автологина
- Для установки автологина можно ввести в консоли:
py-ini-config set /etc/sddm.conf.d/kde_settings.conf Autologin User имяпользователя
Также автологин можно установить через Вход в систему (SDDM).
- Зайдите в Главное меню -> Параметры системы -> Запуск и завершение -> Вход в систему (SDDM);
- Нажмите кнопку Поведение;
- Установите галочку напротив "Автоматически входить в систему" и выберите имя пользователя;
- Нажмите кнопку Применить.
- Для отключения автологина введите в консоли следующую команду:
py-ini-config del /etc/sddm.conf.d/kde_settings.conf Autologin User
Вводить команды для установки и отключения автологина необходимо от пользователя с повышенными привилегиями (через sudo или от root).
Решение проблем с авторизацией
Некоторые проблемы могут решаться с помощью перезапуска, для этого введите в консоли:
sudo mos-auth-config disable sudo mos-auth-config enable
