Авторизация в МОС12 через school.mos.ru: различия между версиями

Материал из IT в школе
Перейти к навигацииПерейти к поиску
ВизуальныйВики-текст
мНет описания правки
(→‎Возможности для пользователей, авторизованных через mos.ru: дополнение информацией и исправление форматирования текста)
Метки: mobile web edit mobile edit
 
(не показано 10 промежуточных версий 3 участников)
Строка 1: Строка 1:




Строка 57: Строка 56:


==<big>Настройки авторизации</big>==
==<big>Настройки авторизации</big>==
<big>В '''секции sddm''' представлены следующие параметры для экрана входа а</big><big>'''<nowiki/>'''</big><big>'''<nowiki/>'''</big><big>вторизации:</big>
<big>В '''секции sddm''' представлены следующие параметры для экрана входа а</big><big>'''<nowiki/>'''</big><big>'''<nowiki/>'''</big><big>'''<nowiki/>'''</big><big>вторизации:</big>
{| class="wikitable"
{| class="wikitable"
|+
|+
Строка 77: Строка 76:
|<big>true</big>
|<big>true</big>
|<big>Автоматически загруженная DBus-служба у гостя</big>
|<big>Автоматически загруженная DBus-служба у гостя</big>
|-
|<big><code>guest-skel-directory</code></big>
|<big>отсутствует</big>
|<big>Переопределение директории skel для формирования профиля гостя</big>
|-
|-
|<big><code>mos-auth-btn-enabled</code></big>
|<big><code>mos-auth-btn-enabled</code></big>
|<big>true</big>
|<big>true</big>
|<big>Отображается кнопка '''Авторизация через mos.ru'''.</big>
|<big>Отображается кнопка '''Авторизация через mos.ru'''</big>
|-
|<big><code>login-lowercase-only</code></big>
|<big>false</big>
|<big>Запрет ввода символов верхнего регистра в поле логина</big>
|-
|<big><code>wifi-eap-enabled</code></big>
|<big>false</big>
|<big>Включение возможности входа в EAP (корпоративный) Wi-Fi на экране входа</big>
|-
|<big><code>wifi-eap-domain</code></big>
|<big>отсутствует</big>
|<big>Опциональный параметр, задающий домен для корпоративного Wi-Fi</big>
|-
|<big><code>wifi-eap-ssid</code></big>
|<big>отсутствует</big>
|<big>Если этот параметр указан, то включается автоматическое временное подключение к Wi-Fi на экране входа при вводе логина и пароля от доменной УЗ</big>
|}  
|}  


*<big>При включенном параметре</big> <big><code>guest-home-tmpfs</code> все файлы в домашней папке гостя будут располагаться в ОЗУ.</big> <big>Данный параметр повышает безопасность и скорость создания/ очистки профиля гостя при входе в учетную запись гостя.</big>
===<big>Настройки гостя</big>===
*<big>Профиль гостя автоматически очищается при перезагрузке. Также профиль гостя может быть кастомизирован с помощью '''/etc/skel'''.</big>
 
<big>Профиль гостя автоматически очищается при перезагрузке. Также набор файлов в профиле гостя может быть изменен с помощью изменения файлов в папке <code>/etc/skel</code>.</big>
 
====<big>Профиль гостя и tmpfs</big>====
 
<big>При включенном параметре <code>guest-home-tmpfs</code> все файлы в домашней папке гостя будут располагаться в ОЗУ.
 
Данный параметр повышает безопасность и скорость создания (очистки) профиля гостя при входе в учетную запись гостя.
 
Но требует достаточного объема оперативной памяти для комфортной работы в таком профиле.</big>
 
====<big>D-Bus служба гостя</big>====
 
<big>DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя.
 
Например, можно выполнять либо команду (<code>run</code>), либо запускать команду без прикрепления к терминалу (<code>runDetach</code>):</big>
 
<syntaxhighlight lang="bash">
sudo qdbus --system org.mos.auth.guest / run "zenity --calendar"
sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh"
</syntaxhighlight>


* <big>DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя.</big>
<big>По умолчанию, время ожидания D-Bus шины ответа при выполнении команды примерно равно 50 секундам.


<big>Например, можно выполнять либо команду (run), либо запускать команду без прикрепления к терминалу (runDetach):</big>
Если вам нужно указать свое время ожидания, к примеру 10 минут, следует использовать команду следующую команду:</big>


<big> <code>sudo qdbus --system org.mos.auth.guest / run "zenity --calendar"</code></big>
<syntaxhighlight lang="bash">
sudo dbus-send --system --print-reply=literal --reply-timeout=600000 --dest=org.mos.auth.guest / org.mos.auth.guest.run string:"zenity --calendar"`
</syntaxhighlight>


<big> <code>sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh"</code></big>
====<big>Переопределение skel для гостя</big>====


#<big>Сначала считывается значение новой опции из конфига <code>guest-skel-directory</code></big>
#<big>Если оно отсутствует, тогда считывается стандартное значение для новых пользователей из <code>/etc/default/useradd</code> из переменной <code>SKEL</code></big>
#<big>Если оно отсутствует, тогда используется путь <code>/etc/skel</code></big>


<big>'''Общий вид файла конфига'''</big>
<big>Указанные директории в <code>guest-skel-directory</code> или <code>/etc/default/useradd</code> в переменной <code>SKEL</code> являются корректными только тогда, когда не равны пустому значению (""), и когда указанная директория действительно существует.</big>


<big>[sddm]
<big>При необходимости переопределения папки у гостя следует создать файл конфигурации <code>/etc/mos-auth/mos-auth.conf.d/skel-guest-override.conf</code> и прописать в нем:</big>
#guest-enabled=true
#guest-home-tmpfs=false
#guest-dbus-service=true
#mos-auth-btn-enabled=true</big>


== <big>Консольная версия управления авторизацией через mos.ru</big> ==
<syntaxhighlight lang="bash">
[sddm]
guest-skel-directory=/etc/2skel
</syntaxhighlight>
 
===<big>Общий вид стандартного файла конфига</big>===
 
<syntaxhighlight lang="bash">
[sddm]
guest-enabled=true
guest-home-tmpfs=false
guest-dbus-service=true
guest-skel-directory=
mos-auth-btn-enabled=true
login-lowercase-only=false
wifi-eap-enabled=false
wifi-eap-domain=
wifi-eap-ssid=
</syntaxhighlight>
 
==<big>Консольная версия управления авторизацией через mos.ru</big>==
<big>'''mos-auth-config''' - консольная утилита для управления подсистемой авторизации mos-auth, которая позволяет включать и отключать вход в систему через учетную запись на mos.ru.</big>
<big>'''mos-auth-config''' - консольная утилита для управления подсистемой авторизации mos-auth, которая позволяет включать и отключать вход в систему через учетную запись на mos.ru.</big>


Строка 155: Строка 215:
|<code>mos-auth-config help</code>
|<code>mos-auth-config help</code>
|<big>Вызывает справку</big>
|<big>Вызывает справку</big>
|}
|}


== <big>Возможность входа через шину DBus</big> ==
==<big>Возможность входа через шину DBus</big>==
<big>Существует возможность неинтерактивного (без взаимодействия с GUI) входа в систему, например, для авторизации в <code>sddm</code> через терминал по SSH.</big>


<big>Существует возможность неинтерактивного (без взаимодействия с GUI) входа в систему, например, для авторизации в <code>sddm</code> через терминал по SSH.


<big>При включении подсистемы авторизации mos-auth, активируется DBus-служба в SDDM, которая позволяет осуществить вход в систему в SDDM через терминал, если установлен пакет '''mos-auth-dbus-conf.'''</big>


<big>Сервис активен только на момент, пока активна тема SDDM (пока активен QML плагин <code>org.mos.auth</code>, который вызван процессом <code>sddm-greeter</code>). Если пользователь уже вошел в систему и SDDM неактивен, то команда сообщит, что такого сервиса в шине DBus не существует.</big>
Если у вас установлен пакет <code>mos-auth-dbus-conf</code>, то при включении подсистемы авторизации mos-auth, активируется DBus-служба в SDDM, которая позволяет осуществить вход в систему в SDDM через терминал.


<big>Сервис может быть создан только пользователем <code>sddm</code>, для запуска команд требуются права администратора '''root'''.</big>  
Сервис активен только на момент, пока активна тема SDDM (пока активен QML плагин <code>org.mos.auth</code>, который вызван процессом <code>sddm-greeter</code>).
 
Если пользователь уже вошел в систему и SDDM неактивен, то команда сообщит, что такого сервиса в шине DBus не существует.
 
 
С точки зрения безопасности - сервис может быть создан только пользователем <code>sddm</code>, а для запуска команд требуются права администратора <code>root</code>.</big>  




<big>Примеры команд:</big>
<big>Примеры команд:</big>


<code>qdbus --system org.mos.auth / login user 123</code>
<syntaxhighlight lang="bash">
qdbus --system org.mos.auth / login user 123
</syntaxhighlight>


<big>Для гостя (отсутствие второго аргумента с паролем в команде трактуется как пустой пароль):</big>
<big>Для гостя (отсутствие второго аргумента с паролем в команде трактуется как пустой пароль):</big>


<code>qdbus --system org.mos.auth / login guest</code>
<syntaxhighlight lang="bash">
qdbus --system org.mos.auth / login guest
</syntaxhighlight>
 
==<big>Настройка авторизации через mos.ru  с помощью Admin Tweaker</big>==
<big>Включить и настроить авторизацию в системе через mos.ru можно в приложении '''Admin Tweaker'''.</big>


== <big>Возможности для пользователей, авторизованных через mos.ru</big> ==
<big>Во вкладке '''"Авторизация через MOS.RU"''' доступны следующие пакеты для установки:</big>
<big>Доступ к сетевым папкам, расположенным на сервере МЭШ корпуса, в домашнем каталоге и на рабочем столе:</big>


<big>Общая папка - общая для всех пользователей;</big>
*<big>'''mos-auth-core -''' установка данного пакета позволяет реализовать возможность авторизации через mos.ru, войти гостем, настроить логин командой через ssh и остальные базовые функции;</big>


<big>Персональная папка - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука.</big>
[[Файл:Авторизация через mos.ru (3.6).png|500x500пкс|Вкладка "Авторизация через mos.ru"]]


<big><br />Папки организованы путем создания glusterfs на сервере 10.xxx.xxx.20 общей папки с именем share без пароля. В папке расположены подпапки с именами пользователей и общая подпапка public.</big>
*<big>'''mos-auth-folders''' - установка данного пакета позволяет получать доступ к сетевым папкам (если такая возможность поддерживается в вашем школьном здании);</big>


<big>На ПК монтируется общая папка share c правами, не допускающими ее чтение всеми пользователями, и создаются ссылки на нужные подпапки из каталога и с рабочего стола пользователя.</big>
*<big>'''mos-auth-dbus-conf''' - установка данного пакета позволяет компьютерам принимать запрос по ssh для залогинивания;</big>


<big>При обрыве сети папка отваливается (перестает быть доступна), восстановление происходит только путем выхода и входа пользователя.</big>
*<big>'''mos-auth-roles''' - установка данного пакета позволяет настраивать на компьютерах роли (''mos-teacher,'' ''mos-student''). Данный пакет устанавливается автоматически вместе с '''mos-auth-core'''.</big>


<big>Администратор с правами root может видеть все папки пользователей в каталоге '''/run/media/glusterfs/'''.</big>


<big>После установки пакета '''mos-auth-core''' появляется возможность включить авторизацию через mos.ru. После выбора опции '''«Включена»''' нажмите '''«Применить»,''' что приведет к активации следующих настроек: кнопка входа через mos.ru, гостевая учетная запись, монтирование домашней папки гостя в tmpfs, выбор способа отображения логинов на экране авторизации. При выключении авторизации через mos.ru остальные настройки на данной вкладке будут выключены автоматически.</big>


'''<big>Настройка прав доступа sudo для учителей</big>'''
<big>Опция '''«Удалить файл конфига»''' в разделе '''«Способ отображения логинов на экране авторизации»''' позволяет удалить созданный данной утилитой файл, в котором записан способ отображения авторизации через mos.ru. При удалении данного файла авторизация будет отображаться по умолчанию согласно настройкам системы.</big>


<big>Права доступа sudo дают учителю права администратора. Для этого необходимо в настройках sudo выставить права для mos-teacher (все учителя входят в эту группу) в '''''/etc/sudoers''''' (аналогично настройкам для группы wheel).</big>
[[Файл:Авторизация через mos.ru (версия 3.6).png|764x764пкс|Настройки авторизации через mos.ru]]


<big>Данная настройка даст права sudo <u>всем</u> учителям. Если нужно изменить настройки доступа для одного учителя, следует добавить его в группу wheel (c помощью редактирования файла '''''/etc/group''''').</big>
==<big>Возможности для пользователей, авторизованных через mos.ru</big>==


== <big>Вход с логином teacher/student без отключения возможности авторизации через mos.ru</big> ==
===<big>Сетевые папки для пользователей, авторизованных через mos.ru</big>===
 
<big>Доступ к сетевым папкам, расположенным на сервере МЭШ корпуса, в домашнем каталоге и на рабочем столе:
 
#Общая папка - общая для всех пользователей;
#Персональная папка - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука.</big>
 
 
<big>Папки организованы путем создания <code>glusterfs</code> на сервере 10.xxx.xxx.20 общей папки с именем share без пароля.
 
В папке расположены подпапки с именами пользователей и общая подпапка public.
 
На ПК монтируется общая папка share c правами, не допускающими ее чтение всеми пользователями, и создаются ссылки на нужные подпапки из каталога и с рабочего стола пользователя.
 
Администратор с правами root может видеть все папки пользователей в каталоге <code>/run/media/glusterfs/</code>
 
 
Автомонтирование папок происходит в двух случаях: подключение к сети или авторизация в систему (при наличие сети).
 
При обрыве сети папка перестает быть доступна, восстановление должно произойти при восстановление сети. Если этого не произошло, попробуйте перезайти в учетную запись пользователя.</big>
 
===<big>Настройка прав доступа sudo для учителей (пользователи группы mos-teacher)</big>===
 
<big>Права доступа sudo дают учителю права администратора.
 
 
В настройках sudoers можно выставить права для mos-teacher (все учителя входят в эту группу), аналогично настройкам для группы wheel.
 
 
Для этого необходимо создать файл <code>/etc/sudoers.d/mos-teacher</code> с таким содержимым:</big>
 
<syntaxhighlight lang="bash">
%mos-teacher  ALL=(ALL)      ALL
</syntaxhighlight>
 
<big>Данная настройка даст права sudo <u>всем</u> учителям. Если нужно изменить настройки доступа для одного учителя, следует добавить его в группу wheel (c помощью <code>gpasswd -a логин wheel</code>).</big>
 
==<big>Вход с логином teacher/student без отключения возможности авторизации через mos.ru</big>==
<big>Для реализации данной возможности следует:</big>  
<big>Для реализации данной возможности следует:</big>  


Строка 208: Строка 317:
<big>сделать автологин (''вход в пространство пользователя без пароля'') для пользователя '''student/teacher''' в '''''/etc/sddm.conf.d/kde_settings.conf'''''.</big>
<big>сделать автологин (''вход в пространство пользователя без пароля'') для пользователя '''student/teacher''' в '''''/etc/sddm.conf.d/kde_settings.conf'''''.</big>


=== <big>Настройки автологина</big> ===
===<big>Настройки автологина</big>===
*<big>Для установки автологина можно ввести в консоли:</big>
* <big>Для установки автологина можно ввести в консоли:</big>


  <big>py-ini-config set /etc/sddm.conf.d/kde_settings.conf Autologin User имяпользователя</big>
  <big>py-ini-config set /etc/sddm.conf.d/kde_settings.conf Autologin User имяпользователя</big>
Строка 216: Строка 325:
<big>Также автологин можно установить через '''Вход в систему (SDDM)'''.</big>
<big>Также автологин можно установить через '''Вход в систему (SDDM)'''.</big>


* <big>Зайдите в '''Главное меню''' -> '''Параметры системы''' -> '''Запуск и завершение''' -> '''Вход в систему (SDDM)''';</big>
*<big>Зайдите в '''Главное меню''' -> '''Параметры системы''' -> '''Запуск и завершение''' -> '''Вход в систему (SDDM)''';</big>
* <big>Нажмите кнопку '''Поведение''';</big>
*<big>Нажмите кнопку '''Поведение''';</big>
* <big>Установите галочку напротив '''"Автоматически входить в систему"''' и выберите имя пользователя;</big>
 
* <big>Нажмите кнопку '''Применить'''.</big>
[[Файл:SDDM. Вход.png|800x800пкс|Настройка автологина]]


[[Файл:SDDM.png|800px|Настройка автологина]]
*<big>Установите галочку напротив '''"Автоматически входить в систему"''' и выберите имя пользователя;</big>
*<big>Нажмите кнопку '''Применить'''.</big>


[[Файл:SDDM. Выбор пользователя.png|800px|SDDM. Выбор пользователя]]


*<big>Для отключения автологина введите в консоли следующую команду:</big>
*<big>Для отключения автологина введите в консоли следующую команду:</big>
Строка 230: Строка 341:
<big>Вводить команды для установки и отключения автологина необходимо от пользователя с повышенными привилегиями (через ''sudo'' или от ''root'').</big>
<big>Вводить команды для установки и отключения автологина необходимо от пользователя с повышенными привилегиями (через ''sudo'' или от ''root'').</big>


== <big>Решение проблем с авторизацией</big> ==
==<big>Решение проблем с авторизацией</big>==
<big>Некоторые проблемы могут решаться с помощью перезапуска, для этого введите в консоли:</big>  
<big>Некоторые проблемы могут решаться с помощью перезапуска, для этого введите в консоли:</big>  


  <big>sudo mos-auth-config disable
  <big>sudo mos-auth-config disable
  sudo mos-auth-config enable</big>
  sudo mos-auth-config enable</big>  
[[Категория:МОС12]]
[[Категория:МОС12]]
{{DEFAULTSORT:Авторизация_в_МОС12_через_mos.ru.}}
{{DEFAULTSORT:Авторизация_в_МОС12_через_mos.ru.}}

Текущая версия от 13:01, 27 февраля 2026


Ознакомиться с наиболее подробным и актуальным описанием авторизации через mos.ru можно при вводе в консоли:

man mos-auth.conf

Установка и активация

По умолчанию авторизация включена в дистрибутивах для компьютеров и ноутбуков.


Для включения введите в консоли (после чего перезагрузите компьютер): 

sudo dnf install mos-auth-core mos-auth-folders
sudo mos-auth-config enable

Дезактивация и удаление

Для отключения авторизации введите в консоли:

sudo mos-auth-config disable


Для удаления введите в консоли: 

sudo dnf remove mos-auth-core mos-auth-folders

Алгоритм работы конфигурации

Конфигурация загружается из всех файлов в каталогах конфигурации в следующем порядке:

/usr/lib/mos-auth/mos-auth.conf.d/*.conf - системные конфигурационные "drop-in" файлы;

/etc/mos-auth/mos-auth.conf - основной конфигурационный файл;

/etc/mos-auth/mos-auth.conf.d/*.conf - локальные конфигурационные "drop-in" файлы.

Эти файлы настраивают различные параметры подсистемы авторизации mos-auth. В случае отсутствия файла конфигурации используются стандартные значения.


Таким образом, в дополнение к "основному" файлу конфигурации считываются дополнительные фрагменты конфигурации ("drop-in" файлы) из каталогов conf.d/.

  • Системные конфигурационные "drop-in" файлы считываются раньше, чем основной файл конфигурации и предназначены для конфигурационных файлов, устанавливаемых пакетами дистрибутива.
  • Локальные конфигурационные "drop-in" файлы имеют более высокий приоритет и переопределяют основной файл конфигурации.
  • Файлы в подкаталогах конфигурации conf.d/ сортируются по их именам по алфавиту.
  • Если в нескольких файлах указан один и тот же параметр, приоритет имеет параметр из того файла, который был загружен последним.

Способы создания локальной конфигурации

Первый способ (рекомендуемый) - создание "drop-in" файлов в подкаталоге conf.d/;

Второй способ - изменение файла /etc/mos-auth/mos-auth.conf.

Внимание! Первый способ является более предпочтительным, так как основной файл конфигурации '/etc/mos-auth/mos-auth.conf' хранит закомментированные значения по умолчанию и может изменяться при обновлении mos-auth.

Настройки авторизации

В секции sddm представлены следующие параметры для экрана входа авторизации:

Параметр Значение по

умолчанию

Описание включенного

параметра

guest-enabled true Отображается кнопка Войти как гость
guest-home-tmpfs false Домашняя папка гостя примонтирована через tmpfs
guest-dbus-service true Автоматически загруженная DBus-служба у гостя
guest-skel-directory отсутствует Переопределение директории skel для формирования профиля гостя
mos-auth-btn-enabled true Отображается кнопка Авторизация через mos.ru
login-lowercase-only false Запрет ввода символов верхнего регистра в поле логина
wifi-eap-enabled false Включение возможности входа в EAP (корпоративный) Wi-Fi на экране входа
wifi-eap-domain отсутствует Опциональный параметр, задающий домен для корпоративного Wi-Fi
wifi-eap-ssid отсутствует Если этот параметр указан, то включается автоматическое временное подключение к Wi-Fi на экране входа при вводе логина и пароля от доменной УЗ

Настройки гостя

Профиль гостя автоматически очищается при перезагрузке. Также набор файлов в профиле гостя может быть изменен с помощью изменения файлов в папке /etc/skel.

Профиль гостя и tmpfs

При включенном параметре guest-home-tmpfs все файлы в домашней папке гостя будут располагаться в ОЗУ.

Данный параметр повышает безопасность и скорость создания (очистки) профиля гостя при входе в учетную запись гостя.

Но требует достаточного объема оперативной памяти для комфортной работы в таком профиле.

D-Bus служба гостя

DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя.

Например, можно выполнять либо команду (run), либо запускать команду без прикрепления к терминалу (runDetach): 

sudo qdbus --system org.mos.auth.guest / run "zenity --calendar"
sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh"

По умолчанию, время ожидания D-Bus шины ответа при выполнении команды примерно равно 50 секундам.

Если вам нужно указать свое время ожидания, к примеру 10 минут, следует использовать команду следующую команду: 

sudo dbus-send --system --print-reply=literal --reply-timeout=600000 --dest=org.mos.auth.guest / org.mos.auth.guest.run string:"zenity --calendar"`

Переопределение skel для гостя

  1. Сначала считывается значение новой опции из конфига guest-skel-directory
  2. Если оно отсутствует, тогда считывается стандартное значение для новых пользователей из /etc/default/useradd из переменной SKEL
  3. Если оно отсутствует, тогда используется путь /etc/skel

Указанные директории в guest-skel-directory или /etc/default/useradd в переменной SKEL являются корректными только тогда, когда не равны пустому значению (""), и когда указанная директория действительно существует.

При необходимости переопределения папки у гостя следует создать файл конфигурации /etc/mos-auth/mos-auth.conf.d/skel-guest-override.conf и прописать в нем: 

[sddm]
guest-skel-directory=/etc/2skel

Общий вид стандартного файла конфига

[sddm]
guest-enabled=true
guest-home-tmpfs=false
guest-dbus-service=true
guest-skel-directory=
mos-auth-btn-enabled=true
login-lowercase-only=false
wifi-eap-enabled=false
wifi-eap-domain=
wifi-eap-ssid=

Консольная версия управления авторизацией через mos.ru

mos-auth-config - консольная утилита для управления подсистемой авторизации mos-auth, которая позволяет включать и отключать вход в систему через учетную запись на mos.ru.

В данной утилите доступны следующие команды:

Название Описание
mos-auth-config enable Для запуска команды требуются права администратора.


Включает подсистему авторизации mos-auth, при этом выполняются следующие действия:

- устанавливается тема mos-auth в SDDM,

- устанавливается PAM-механизм автоочистки профиля гостя,

- активируется DBus-служба для гостя,

- включается поддержка сетевых папок (если установлен пакет mos-auth-folders),

- активируется DBus-служба в SDDM для возможности входа в систему через терминал (если установлен пакет mos-auth-dbus-conf)

mos-auth-config disable Для запуска команды требуются права администратора.


Выключает подсистему авторизации mos-auth, при этом выполняются следующие действия:

- возвращается тема SDDM, которая была настроена до включения подсистемы авторизации,

- выключается PAM-механизм автоочистки профиля гостя,

- выключается DBus-служба для гостя,

- выключается поддержка сетевых папок,

- выключается DBus-служба в SDDM

mos-auth-config status Выводит текущий статус авторизации через mos.ru в системе
mos-auth-config edit Для запуска команды требуются права администратора.


Позволяет редактировать конфигурационный файл

mos-auth-config help Вызывает справку

Возможность входа через шину DBus

Существует возможность неинтерактивного (без взаимодействия с GUI) входа в систему, например, для авторизации в sddm через терминал по SSH.


Если у вас установлен пакет mos-auth-dbus-conf, то при включении подсистемы авторизации mos-auth, активируется DBus-служба в SDDM, которая позволяет осуществить вход в систему в SDDM через терминал.

Сервис активен только на момент, пока активна тема SDDM (пока активен QML плагин org.mos.auth, который вызван процессом sddm-greeter).

Если пользователь уже вошел в систему и SDDM неактивен, то команда сообщит, что такого сервиса в шине DBus не существует.


С точки зрения безопасности - сервис может быть создан только пользователем sddm, а для запуска команд требуются права администратора root.


Примеры команд: 

qdbus --system org.mos.auth / login user 123

Для гостя (отсутствие второго аргумента с паролем в команде трактуется как пустой пароль): 

qdbus --system org.mos.auth / login guest

Настройка авторизации через mos.ru с помощью Admin Tweaker

Включить и настроить авторизацию в системе через mos.ru можно в приложении Admin Tweaker.

Во вкладке "Авторизация через MOS.RU" доступны следующие пакеты для установки:

  • mos-auth-core - установка данного пакета позволяет реализовать возможность авторизации через mos.ru, войти гостем, настроить логин командой через ssh и остальные базовые функции;

Вкладка "Авторизация через mos.ru"

  • mos-auth-folders - установка данного пакета позволяет получать доступ к сетевым папкам (если такая возможность поддерживается в вашем школьном здании);
  • mos-auth-dbus-conf - установка данного пакета позволяет компьютерам принимать запрос по ssh для залогинивания;
  • mos-auth-roles - установка данного пакета позволяет настраивать на компьютерах роли (mos-teacher, mos-student). Данный пакет устанавливается автоматически вместе с mos-auth-core.


После установки пакета mos-auth-core появляется возможность включить авторизацию через mos.ru. После выбора опции «Включена» нажмите «Применить», что приведет к активации следующих настроек: кнопка входа через mos.ru, гостевая учетная запись, монтирование домашней папки гостя в tmpfs, выбор способа отображения логинов на экране авторизации. При выключении авторизации через mos.ru остальные настройки на данной вкладке будут выключены автоматически.


Опция «Удалить файл конфига» в разделе «Способ отображения логинов на экране авторизации» позволяет удалить созданный данной утилитой файл, в котором записан способ отображения авторизации через mos.ru. При удалении данного файла авторизация будет отображаться по умолчанию согласно настройкам системы.

Настройки авторизации через mos.ru

Возможности для пользователей, авторизованных через mos.ru

Сетевые папки для пользователей, авторизованных через mos.ru

Доступ к сетевым папкам, расположенным на сервере МЭШ корпуса, в домашнем каталоге и на рабочем столе:

  1. Общая папка - общая для всех пользователей;
  2. Персональная папка - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука.


Папки организованы путем создания glusterfs на сервере 10.xxx.xxx.20 общей папки с именем share без пароля.

В папке расположены подпапки с именами пользователей и общая подпапка public.

На ПК монтируется общая папка share c правами, не допускающими ее чтение всеми пользователями, и создаются ссылки на нужные подпапки из каталога и с рабочего стола пользователя.

Администратор с правами root может видеть все папки пользователей в каталоге /run/media/glusterfs/


Автомонтирование папок происходит в двух случаях: подключение к сети или авторизация в систему (при наличие сети).

При обрыве сети папка перестает быть доступна, восстановление должно произойти при восстановление сети. Если этого не произошло, попробуйте перезайти в учетную запись пользователя.

Настройка прав доступа sudo для учителей (пользователи группы mos-teacher)

Права доступа sudo дают учителю права администратора.


В настройках sudoers можно выставить права для mos-teacher (все учителя входят в эту группу), аналогично настройкам для группы wheel.


Для этого необходимо создать файл /etc/sudoers.d/mos-teacher с таким содержимым: 

%mos-teacher  ALL=(ALL)       ALL

Данная настройка даст права sudo всем учителям. Если нужно изменить настройки доступа для одного учителя, следует добавить его в группу wheel (c помощью gpasswd -a логин wheel).

Вход с логином teacher/student без отключения возможности авторизации через mos.ru

Для реализации данной возможности следует:

  • установить в файле /etc/sddm.conf минимальный id 500;
  • прописать учетную запись guest в HideUsers= в /etc/sddm.conf.d/kde_settings.conf.

ИЛИ

сделать автологин (вход в пространство пользователя без пароля) для пользователя student/teacher в /etc/sddm.conf.d/kde_settings.conf.

Настройки автологина

  • Для установки автологина можно ввести в консоли:
py-ini-config set /etc/sddm.conf.d/kde_settings.conf Autologin User имяпользователя


Также автологин можно установить через Вход в систему (SDDM).

  • Зайдите в Главное меню -> Параметры системы -> Запуск и завершение -> Вход в систему (SDDM);
  • Нажмите кнопку Поведение;

Настройка автологина

  • Установите галочку напротив "Автоматически входить в систему" и выберите имя пользователя;
  • Нажмите кнопку Применить.

SDDM. Выбор пользователя

  • Для отключения автологина введите в консоли следующую команду:
py-ini-config del /etc/sddm.conf.d/kde_settings.conf Autologin User

Вводить команды для установки и отключения автологина необходимо от пользователя с повышенными привилегиями (через sudo или от root).

Решение проблем с авторизацией

Некоторые проблемы могут решаться с помощью перезапуска, для этого введите в консоли: 

sudo mos-auth-config disable
sudo mos-auth-config enable
Источник — https://it-help-school.ru/index.php?title=Авторизация_в_МОС12_через_school.mos.ru&oldid=2683