Авторизация в МОС12 через school.mos.ru: различия между версиями

Материал из IT в школе
Перейти к навигацииПерейти к поиску
ВизуальныйВики-текст
Нет описания правки
(→‎Возможности для пользователей, авторизованных через mos.ru: дополнение информацией и исправление форматирования текста)
Метки: mobile web edit mobile edit
 
(не показаны 24 промежуточные версии 4 участников)
Строка 1: Строка 1:
По умолчанию авторизация включена в дистрибутивах для компьютеров и ноутбуков.


Но можно включить и самостоятельно:
 
 
<big>Ознакомиться с наиболее подробным и актуальным описанием авторизации через mos.ru можно при вводе в консоли:</big>
 
<big><code>man mos-auth.conf</code></big>
 
==<big>Установка и активация</big>==
<big>По умолчанию авторизация включена в дистрибутивах для компьютеров и ноутбуков.</big>
 
 
<big>Для включения введите в консоли (после чего перезагрузите компьютер):</big>


<syntaxhighlight lang="bash">
<syntaxhighlight lang="bash">
sudo dnf install mos-auth-core mos-auth-folders
sudo dnf install mos-auth-core mos-auth-folders
sudo mos-auth-config enable
sudo mos-auth-config enable
reboot
 
</syntaxhighlight>
 
==<big>Дезактивация и удаление</big>==
<big>Для отключения авторизации введите в консоли:</big><syntaxhighlight lang="bash">
sudo mos-auth-config disable
 
</syntaxhighlight>
</syntaxhighlight>


Если решили удалить пакеты авторизации, не забудьте сначала отключить:
 
<big>Для удаления введите в консоли:</big>
 
<syntaxhighlight lang="bash">sudo dnf remove mos-auth-core mos-auth-folders</syntaxhighlight>
 
==<big>Алгоритм работы конфигурации</big>==
<big>Конфигурация загружается из всех файлов в каталогах конфигурации в следующем порядке:</big>
 
<big>'''''/usr/lib/mos-auth/mos-auth.conf.d/*.conf''''' - системные конфигурационные "drop-in" файлы;</big>
 
<big>'''''/etc/mos-auth/mos-auth.conf''''' - основной конфигурационный файл;</big>
 
<big>'''''/etc/mos-auth/mos-auth.conf.d/*.conf''''' - локальные конфигурационные "drop-in" файлы.</big>
 
<big>Эти файлы настраивают различные параметры подсистемы авторизации mos-auth. В случае отсутствия файла конфигурации используются стандартные значения.</big>
 
 
<big>Таким образом, в дополнение к "основному" файлу конфигурации считываются дополнительные фрагменты конфигурации ("drop-in" файлы) из каталогов conf.d/.</big>
 
*<big>''Системные конфигурационные "drop-in" файлы'' считываются раньше, чем основной файл конфигурации и предназначены для конфигурационных файлов, устанавливаемых пакетами дистрибутива.</big>
*<big>''Локальные конфигурационные "drop-in" файлы'' имеют более высокий приоритет и переопределяют основной файл конфигурации.</big>
*<big>''Файлы в подкаталогах конфигурации conf.d/'' сортируются по их именам по алфавиту.</big>
*<big>Если в нескольких файлах указан один и тот же параметр, приоритет имеет параметр из того файла, который был загружен последним.</big>
 
===<big>Способы создания локальной конфигурации</big>===
<big>Первый способ (<u>'''рекомендуемый'''</u>) - создание "drop-in" файлов в подкаталоге conf.d/;</big>
 
<big>Второй способ - изменение файла '''/etc/mos-auth/mos-auth.conf.'''</big>
 
<big>'''Внимание!''' Первый способ является более предпочтительным, так как основной файл конфигурации '''<nowiki/>'/etc/mos-auth/mos-auth.conf'''' хранит закомментированные значения по умолчанию и может изменяться при обновлении mos-auth.</big>
 
==<big>Настройки авторизации</big>==
<big>В '''секции sddm''' представлены следующие параметры для экрана входа а</big><big>'''<nowiki/>'''</big><big>'''<nowiki/>'''</big><big>'''<nowiki/>'''</big><big>вторизации:</big>
{| class="wikitable"
|+
!Параметр
!Значение по
умолчанию
!Описание включенного
параметра
|-
|<big><code>guest-enabled</code></big>
|<big>true</big>
|<big>Отображается кнопка '''Войти как гость'''</big>
|-
|<big><code>guest-home-tmpfs</code></big>
|<big>false</big>
|<big>Домашняя папка гостя примонтирована через tmpfs</big>
|-
|<big><code>guest-dbus-service</code></big>
|<big>true</big>
|<big>Автоматически загруженная DBus-служба у гостя</big>
|-
|<big><code>guest-skel-directory</code></big>
|<big>отсутствует</big>
|<big>Переопределение директории skel для формирования профиля гостя</big>
|-
|<big><code>mos-auth-btn-enabled</code></big>
|<big>true</big>
|<big>Отображается кнопка '''Авторизация через mos.ru'''</big>
|-
|<big><code>login-lowercase-only</code></big>
|<big>false</big>
|<big>Запрет ввода символов верхнего регистра в поле логина</big>
|-
|<big><code>wifi-eap-enabled</code></big>
|<big>false</big>
|<big>Включение возможности входа в EAP (корпоративный) Wi-Fi на экране входа</big>
|-
|<big><code>wifi-eap-domain</code></big>
|<big>отсутствует</big>
|<big>Опциональный параметр, задающий домен для корпоративного Wi-Fi</big>
|-
|<big><code>wifi-eap-ssid</code></big>
|<big>отсутствует</big>
|<big>Если этот параметр указан, то включается автоматическое временное подключение к Wi-Fi на экране входа при вводе логина и пароля от доменной УЗ</big>
|}
 
===<big>Настройки гостя</big>===
 
<big>Профиль гостя автоматически очищается при перезагрузке. Также набор файлов в профиле гостя может быть изменен с помощью изменения файлов в папке <code>/etc/skel</code>.</big>
 
====<big>Профиль гостя и tmpfs</big>====
 
<big>При включенном параметре <code>guest-home-tmpfs</code> все файлы в домашней папке гостя будут располагаться в ОЗУ.
 
Данный параметр повышает безопасность и скорость создания (очистки) профиля гостя при входе в учетную запись гостя.
 
Но требует достаточного объема оперативной памяти для комфортной работы в таком профиле.</big>
 
====<big>D-Bus служба гостя</big>====
 
<big>DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя.
 
Например, можно выполнять либо команду (<code>run</code>), либо запускать команду без прикрепления к терминалу (<code>runDetach</code>):</big>
 
<syntaxhighlight lang="bash">
sudo qdbus --system org.mos.auth.guest / run "zenity --calendar"
sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh"
</syntaxhighlight>
 
<big>По умолчанию, время ожидания D-Bus шины ответа при выполнении команды примерно равно 50 секундам.
 
Если вам нужно указать свое время ожидания, к примеру 10 минут, следует использовать команду следующую команду:</big>


<syntaxhighlight lang="bash">
<syntaxhighlight lang="bash">
sudo mos-auth-config disable
sudo dbus-send --system --print-reply=literal --reply-timeout=600000 --dest=org.mos.auth.guest / org.mos.auth.guest.run string:"zenity --calendar"`
</syntaxhighlight>
</syntaxhighlight>


У авторизации есть настройки в файле /etc/mos-auth/auth.conf
====<big>Переопределение skel для гостя</big>====


<syntaxhighlight lang="ini">
#<big>Сначала считывается значение новой опции из конфига <code>guest-skel-directory</code></big>
# В секции sddm представлены параметры для экрана входа авторизации.
#<big>Если оно отсутствует, тогда считывается стандартное значение для новых пользователей из <code>/etc/default/useradd</code> из переменной <code>SKEL</code></big>
#
#<big>Если оно отсутствует, тогда используется путь <code>/etc/skel</code></big>
# guest-enabled - Значение по умолчанию: true
# Параметр отвечает за отображение кнопки входа в учётную запись гостя.
#
# guest-home-tmpfs - Значение по умолчанию: false
# Параметр отвечает за монтирование домашней папки гостя в tmpfs.


<big>Указанные директории в <code>guest-skel-directory</code> или <code>/etc/default/useradd</code> в переменной <code>SKEL</code> являются корректными только тогда, когда не равны пустому значению (""), и когда указанная директория действительно существует.</big>
<big>При необходимости переопределения папки у гостя следует создать файл конфигурации <code>/etc/mos-auth/mos-auth.conf.d/skel-guest-override.conf</code> и прописать в нем:</big>
<syntaxhighlight lang="bash">
[sddm]
[sddm]
#guest-enabled=true
guest-skel-directory=/etc/2skel
#guest-home-tmpfs=false
</syntaxhighlight>
</syntaxhighlight>


==== Для пользователей, авторизованных через МОС становятся доступны в домашнем каталоге и на рабочем столе сетевые папки, расположенные на сервере МЭШ корпуса ====
===<big>Общий вид стандартного файла конфига</big>===
Общая -  общая для всех


Персональная - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука
<syntaxhighlight lang="bash">
[sddm]
guest-enabled=true
guest-home-tmpfs=false
guest-dbus-service=true
guest-skel-directory=
mos-auth-btn-enabled=true
login-lowercase-only=false
wifi-eap-enabled=false
wifi-eap-domain=
wifi-eap-ssid=
</syntaxhighlight>
 
==<big>Консольная версия управления авторизацией через mos.ru</big>==
<big>'''mos-auth-config''' - консольная утилита для управления подсистемой авторизации mos-auth, которая позволяет включать и отключать вход в систему через учетную запись на mos.ru.</big>


<big>В данной утилите доступны следующие команды:</big>
{| class="wikitable"
|+
!Название
!Описание
|-
|<code>mos-auth-config enable</code>
|<big>''Для запуска команды требуются права администратора.''</big>




Папки организованы путем создания glusterfs на сервере 10.xxx.xxx.20 общей папки с именеи share без пароля. В папке расположены подпапки с именами пользователей и общая подпапка public.
<big>Включает подсистему авторизации mos-auth, при этом выполняются следующие действия:</big>
 
<big>- устанавливается тема mos-auth в SDDM,</big>
 
<big>- устанавливается PAM-механизм автоочистки профиля гостя,</big>
 
<big>- активируется DBus-служба для гостя,</big>
 
<big>- включается поддержка сетевых папок (если установлен пакет mos-auth-folders),</big>
 
<big>- активируется DBus-служба в SDDM для возможности входа в систему через терминал (если установлен пакет mos-auth-dbus-conf)</big>
|-
|<code>mos-auth-config disable</code>
|<big>''Для запуска команды требуются права администратора.''</big>
 
 
<big>Выключает подсистему авторизации mos-auth, при этом выполняются следующие действия:</big>
 
<big>- возвращается тема SDDM, которая была настроена до включения подсистемы авторизации,</big>
 
<big>- выключается PAM-механизм автоочистки профиля гостя,</big>
 
<big>- выключается DBus-служба для гостя,</big>
 
<big>- выключается поддержка сетевых папок,</big>
 
<big>- выключается DBus-служба в SDDM</big>
|-
|<code>mos-auth-config status</code>
|<big>Выводит текущий статус авторизации через mos.ru в системе</big>
|-
|<code>mos-auth-config edit</code>
|<big>''Для запуска команды требуются права администратора.''</big>
 
 
<big>Позволяет редактировать конфигурационный файл</big>
|-
|<code>mos-auth-config help</code>
|<big>Вызывает справку</big>
 
|}
 
==<big>Возможность входа через шину DBus</big>==
 
<big>Существует возможность неинтерактивного (без взаимодействия с GUI) входа в систему, например, для авторизации в <code>sddm</code> через терминал по SSH.
 
 
Если у вас установлен пакет <code>mos-auth-dbus-conf</code>, то при включении подсистемы авторизации mos-auth, активируется DBus-служба в SDDM, которая позволяет осуществить вход в систему в SDDM через терминал.
 
Сервис активен только на момент, пока активна тема SDDM (пока активен QML плагин <code>org.mos.auth</code>, который вызван процессом <code>sddm-greeter</code>).
 
Если пользователь уже вошел в систему и SDDM неактивен, то команда сообщит, что такого сервиса в шине DBus не существует.
 
 
С точки зрения безопасности - сервис может быть создан только пользователем <code>sddm</code>, а для запуска команд требуются права администратора <code>root</code>.</big>
 
 
<big>Примеры команд:</big>
 
<syntaxhighlight lang="bash">
qdbus --system org.mos.auth / login user 123
</syntaxhighlight>
 
<big>Для гостя (отсутствие второго аргумента с паролем в команде трактуется как пустой пароль):</big>
 
<syntaxhighlight lang="bash">
qdbus --system org.mos.auth / login guest
</syntaxhighlight>
 
==<big>Настройка авторизации через mos.ru  с помощью Admin Tweaker</big>==
<big>Включить и настроить авторизацию в системе через mos.ru можно в приложении '''Admin Tweaker'''.</big>
 
<big>Во вкладке '''"Авторизация через MOS.RU"''' доступны следующие пакеты для установки:</big>
 
*<big>'''mos-auth-core -''' установка данного пакета позволяет реализовать возможность авторизации через mos.ru, войти гостем, настроить логин командой через ssh и остальные базовые функции;</big>
 
[[Файл:Авторизация через mos.ru (3.6).png|500x500пкс|Вкладка "Авторизация через mos.ru"]]
 
*<big>'''mos-auth-folders''' - установка данного пакета позволяет получать доступ к сетевым папкам (если такая возможность поддерживается в вашем школьном здании);</big>
 
*<big>'''mos-auth-dbus-conf''' - установка данного пакета позволяет компьютерам принимать запрос по ssh для залогинивания;</big>
 
*<big>'''mos-auth-roles''' - установка данного пакета позволяет настраивать на компьютерах роли (''mos-teacher,'' ''mos-student''). Данный пакет устанавливается автоматически вместе с '''mos-auth-core'''.</big>
 
 
<big>После установки пакета '''mos-auth-core''' появляется возможность включить авторизацию через mos.ru. После выбора опции '''«Включена»''' нажмите '''«Применить»,''' что приведет к активации следующих настроек: кнопка входа через mos.ru, гостевая учетная запись, монтирование домашней папки гостя в tmpfs, выбор способа отображения логинов на экране авторизации. При выключении авторизации через mos.ru остальные настройки на данной вкладке будут выключены автоматически.</big>
 
<big>Опция '''«Удалить файл конфига»''' в разделе '''«Способ отображения логинов на экране авторизации»''' позволяет удалить созданный данной утилитой файл, в котором записан способ отображения авторизации через mos.ru. При удалении данного файла авторизация будет отображаться по умолчанию согласно настройкам системы.</big>
 
[[Файл:Авторизация через mos.ru (версия 3.6).png|764x764пкс|Настройки авторизации через mos.ru]]
 
==<big>Возможности для пользователей, авторизованных через mos.ru</big>==
 
===<big>Сетевые папки для пользователей, авторизованных через mos.ru</big>===
 
<big>Доступ к сетевым папкам, расположенным на сервере МЭШ корпуса, в домашнем каталоге и на рабочем столе:
 
#Общая папка - общая для всех пользователей;
#Персональная папка - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука.</big>
 
 
<big>Папки организованы путем создания <code>glusterfs</code> на сервере 10.xxx.xxx.20 общей папки с именем share без пароля.  
 
В папке расположены подпапки с именами пользователей и общая подпапка public.
 
На ПК монтируется общая папка share c правами, не допускающими ее чтение всеми пользователями, и создаются ссылки на нужные подпапки из каталога и с рабочего стола пользователя.
 
Администратор с правами root может видеть все папки пользователей в каталоге <code>/run/media/glusterfs/</code>
 
 
Автомонтирование папок происходит в двух случаях: подключение к сети или авторизация в систему (при наличие сети).
 
При обрыве сети папка перестает быть доступна, восстановление должно произойти при восстановление сети. Если этого не произошло, попробуйте перезайти в учетную запись пользователя.</big>
 
===<big>Настройка прав доступа sudo для учителей (пользователи группы mos-teacher)</big>===
 
<big>Права доступа sudo дают учителю права администратора.
 
 
В настройках sudoers можно выставить права для mos-teacher (все учителя входят в эту группу), аналогично настройкам для группы wheel.
 
 
Для этого необходимо создать файл <code>/etc/sudoers.d/mos-teacher</code> с таким содержимым:</big>
 
<syntaxhighlight lang="bash">
%mos-teacher  ALL=(ALL)      ALL
</syntaxhighlight>


На ПК монтируестя общая папка share c правами, не допускающими ее чтение всеми пользователями и делается на нужные подпапки линки из каталога и с рабочего стола пользователя.
<big>Данная настройка даст права sudo <u>всем</u> учителям. Если нужно изменить настройки доступа для одного учителя, следует добавить его в группу wheel (c помощью <code>gpasswd -a логин wheel</code>).</big>


При обрыве сети папка отваливается, восстановление происходит только путем выхода и входа пользователя (ИМХО это жирный минус - стоило сделать автовосстановление)
==<big>Вход с логином teacher/student без отключения возможности авторизации через mos.ru</big>==
<big>Для реализации данной возможности следует:</big>


размер общей папки у меня 1ТБ
*<big>установить в файле '''''/etc/sddm.conf''''' минимальный id 500;</big>
*<big>прописать учетную запись guest в <code>HideUsers=</code> в '''''/etc/sddm.conf.d/kde_settings.conf'''.''</big>


<big>ИЛИ</big>


<big>сделать автологин (''вход в пространство пользователя без пароля'') для пользователя '''student/teacher''' в '''''/etc/sddm.conf.d/kde_settings.conf'''''.</big>


Администратор с правами root может видеть все папки пользователей в каталоге /run/media/glusterfs/
===<big>Настройки автологина</big>===
* <big>Для установки автологина можно ввести в консоли:</big>


==== Чтобы учителя имели права sudo (стать администратором) ====
<big>py-ini-config set /etc/sddm.conf.d/kde_settings.conf Autologin User имяпользователя</big>
Нужно в настройках sudo выставить права для mos-teacer (все учителя входят в эту группу) в /etc/sudoers


посмотрите как это сделано для группы wheel и сделайте также


это даст права ВСЕМ учителям. Одному учителю можно дать права, просто включив его в группу wheel
<big>Также автологин можно установить через '''Вход в систему (SDDM)'''.</big>


максимально просто это делается редактированием файла /etc/group
*<big>Зайдите в '''Главное меню''' -> '''Параметры системы''' -> '''Запуск и завершение''' -> '''Вход в систему (SDDM)''';</big>
*<big>Нажмите кнопку '''Поведение''';</big>


==== Чтобы можно было войти с логином teacher и student без отключения возможности авторизации через МОС надо ====
[[Файл:SDDM. Вход.png|800x800пкс|Настройка автологина]]
<code>в /etc/sddm.conf</code> минимальный id 500


<code/etc/sddm.conf.d/50-default.conf</code> прописываем учётку guest в <code>HideUsers=</code>
*<big>Установите галочку напротив '''"Автоматически входить в систему"''' и выберите имя пользователя;</big>
*<big>Нажмите кнопку '''Применить'''.</big>


ИЛИ
[[Файл:SDDM. Выбор пользователя.png|800px|SDDM. Выбор пользователя]]


просто сделать автологин для пользователя student в <code>/etc/sddm.conf.d/50-default.conf</code>
*<big>Для отключения автологина введите в консоли следующую команду:</big>


==== Автологин (действует не только с MOS авторизацией, но и без нее) ====
  <big>py-ini-config del /etc/sddm.conf.d/kde_settings.conf Autologin User</big>
то есть вход сразу в пространство пользователя без пароля
  py-ini-config set /etc/sddm.conf Autologin User имяпользователя


чтобы отключить вводим тоже самое , но имя должно быть пустым
<big>Вводить команды для установки и отключения автологина необходимо от пользователя с повышенными привилегиями (через ''sudo'' или от ''root'').</big>


==== Лечение проблем ====
==<big>Решение проблем с авторизацией</big>==
Некоторые проблемы решаются перезапуском, а именно
<big>Некоторые проблемы могут решаться с помощью перезапуска, для этого введите в консоли:</big>


  sudo mos-auth-config disable
  <big>sudo mos-auth-config disable
  sudo mos-auth-config enable
  sudo mos-auth-config enable</big>
[[Категория:МОС12]]
[[Категория:МОС12]]
{{DEFAULTSORT:Авторизация_в_МОС12_через_mos.ru.}}

Текущая версия от 13:01, 27 февраля 2026


Ознакомиться с наиболее подробным и актуальным описанием авторизации через mos.ru можно при вводе в консоли:

man mos-auth.conf

Установка и активация

По умолчанию авторизация включена в дистрибутивах для компьютеров и ноутбуков.


Для включения введите в консоли (после чего перезагрузите компьютер): 

sudo dnf install mos-auth-core mos-auth-folders
sudo mos-auth-config enable

Дезактивация и удаление

Для отключения авторизации введите в консоли:

sudo mos-auth-config disable


Для удаления введите в консоли: 

sudo dnf remove mos-auth-core mos-auth-folders

Алгоритм работы конфигурации

Конфигурация загружается из всех файлов в каталогах конфигурации в следующем порядке:

/usr/lib/mos-auth/mos-auth.conf.d/*.conf - системные конфигурационные "drop-in" файлы;

/etc/mos-auth/mos-auth.conf - основной конфигурационный файл;

/etc/mos-auth/mos-auth.conf.d/*.conf - локальные конфигурационные "drop-in" файлы.

Эти файлы настраивают различные параметры подсистемы авторизации mos-auth. В случае отсутствия файла конфигурации используются стандартные значения.


Таким образом, в дополнение к "основному" файлу конфигурации считываются дополнительные фрагменты конфигурации ("drop-in" файлы) из каталогов conf.d/.

  • Системные конфигурационные "drop-in" файлы считываются раньше, чем основной файл конфигурации и предназначены для конфигурационных файлов, устанавливаемых пакетами дистрибутива.
  • Локальные конфигурационные "drop-in" файлы имеют более высокий приоритет и переопределяют основной файл конфигурации.
  • Файлы в подкаталогах конфигурации conf.d/ сортируются по их именам по алфавиту.
  • Если в нескольких файлах указан один и тот же параметр, приоритет имеет параметр из того файла, который был загружен последним.

Способы создания локальной конфигурации

Первый способ (рекомендуемый) - создание "drop-in" файлов в подкаталоге conf.d/;

Второй способ - изменение файла /etc/mos-auth/mos-auth.conf.

Внимание! Первый способ является более предпочтительным, так как основной файл конфигурации '/etc/mos-auth/mos-auth.conf' хранит закомментированные значения по умолчанию и может изменяться при обновлении mos-auth.

Настройки авторизации

В секции sddm представлены следующие параметры для экрана входа авторизации:

Параметр Значение по

умолчанию

Описание включенного

параметра

guest-enabled true Отображается кнопка Войти как гость
guest-home-tmpfs false Домашняя папка гостя примонтирована через tmpfs
guest-dbus-service true Автоматически загруженная DBus-служба у гостя
guest-skel-directory отсутствует Переопределение директории skel для формирования профиля гостя
mos-auth-btn-enabled true Отображается кнопка Авторизация через mos.ru
login-lowercase-only false Запрет ввода символов верхнего регистра в поле логина
wifi-eap-enabled false Включение возможности входа в EAP (корпоративный) Wi-Fi на экране входа
wifi-eap-domain отсутствует Опциональный параметр, задающий домен для корпоративного Wi-Fi
wifi-eap-ssid отсутствует Если этот параметр указан, то включается автоматическое временное подключение к Wi-Fi на экране входа при вводе логина и пароля от доменной УЗ

Настройки гостя

Профиль гостя автоматически очищается при перезагрузке. Также набор файлов в профиле гостя может быть изменен с помощью изменения файлов в папке /etc/skel.

Профиль гостя и tmpfs

При включенном параметре guest-home-tmpfs все файлы в домашней папке гостя будут располагаться в ОЗУ.

Данный параметр повышает безопасность и скорость создания (очистки) профиля гостя при входе в учетную запись гостя.

Но требует достаточного объема оперативной памяти для комфортной работы в таком профиле.

D-Bus служба гостя

DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя.

Например, можно выполнять либо команду (run), либо запускать команду без прикрепления к терминалу (runDetach): 

sudo qdbus --system org.mos.auth.guest / run "zenity --calendar"
sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh"

По умолчанию, время ожидания D-Bus шины ответа при выполнении команды примерно равно 50 секундам.

Если вам нужно указать свое время ожидания, к примеру 10 минут, следует использовать команду следующую команду: 

sudo dbus-send --system --print-reply=literal --reply-timeout=600000 --dest=org.mos.auth.guest / org.mos.auth.guest.run string:"zenity --calendar"`

Переопределение skel для гостя

  1. Сначала считывается значение новой опции из конфига guest-skel-directory
  2. Если оно отсутствует, тогда считывается стандартное значение для новых пользователей из /etc/default/useradd из переменной SKEL
  3. Если оно отсутствует, тогда используется путь /etc/skel

Указанные директории в guest-skel-directory или /etc/default/useradd в переменной SKEL являются корректными только тогда, когда не равны пустому значению (""), и когда указанная директория действительно существует.

При необходимости переопределения папки у гостя следует создать файл конфигурации /etc/mos-auth/mos-auth.conf.d/skel-guest-override.conf и прописать в нем: 

[sddm]
guest-skel-directory=/etc/2skel

Общий вид стандартного файла конфига

[sddm]
guest-enabled=true
guest-home-tmpfs=false
guest-dbus-service=true
guest-skel-directory=
mos-auth-btn-enabled=true
login-lowercase-only=false
wifi-eap-enabled=false
wifi-eap-domain=
wifi-eap-ssid=

Консольная версия управления авторизацией через mos.ru

mos-auth-config - консольная утилита для управления подсистемой авторизации mos-auth, которая позволяет включать и отключать вход в систему через учетную запись на mos.ru.

В данной утилите доступны следующие команды:

Название Описание
mos-auth-config enable Для запуска команды требуются права администратора.


Включает подсистему авторизации mos-auth, при этом выполняются следующие действия:

- устанавливается тема mos-auth в SDDM,

- устанавливается PAM-механизм автоочистки профиля гостя,

- активируется DBus-служба для гостя,

- включается поддержка сетевых папок (если установлен пакет mos-auth-folders),

- активируется DBus-служба в SDDM для возможности входа в систему через терминал (если установлен пакет mos-auth-dbus-conf)

mos-auth-config disable Для запуска команды требуются права администратора.


Выключает подсистему авторизации mos-auth, при этом выполняются следующие действия:

- возвращается тема SDDM, которая была настроена до включения подсистемы авторизации,

- выключается PAM-механизм автоочистки профиля гостя,

- выключается DBus-служба для гостя,

- выключается поддержка сетевых папок,

- выключается DBus-служба в SDDM

mos-auth-config status Выводит текущий статус авторизации через mos.ru в системе
mos-auth-config edit Для запуска команды требуются права администратора.


Позволяет редактировать конфигурационный файл

mos-auth-config help Вызывает справку

Возможность входа через шину DBus

Существует возможность неинтерактивного (без взаимодействия с GUI) входа в систему, например, для авторизации в sddm через терминал по SSH.


Если у вас установлен пакет mos-auth-dbus-conf, то при включении подсистемы авторизации mos-auth, активируется DBus-служба в SDDM, которая позволяет осуществить вход в систему в SDDM через терминал.

Сервис активен только на момент, пока активна тема SDDM (пока активен QML плагин org.mos.auth, который вызван процессом sddm-greeter).

Если пользователь уже вошел в систему и SDDM неактивен, то команда сообщит, что такого сервиса в шине DBus не существует.


С точки зрения безопасности - сервис может быть создан только пользователем sddm, а для запуска команд требуются права администратора root.


Примеры команд: 

qdbus --system org.mos.auth / login user 123

Для гостя (отсутствие второго аргумента с паролем в команде трактуется как пустой пароль): 

qdbus --system org.mos.auth / login guest

Настройка авторизации через mos.ru с помощью Admin Tweaker

Включить и настроить авторизацию в системе через mos.ru можно в приложении Admin Tweaker.

Во вкладке "Авторизация через MOS.RU" доступны следующие пакеты для установки:

  • mos-auth-core - установка данного пакета позволяет реализовать возможность авторизации через mos.ru, войти гостем, настроить логин командой через ssh и остальные базовые функции;

Вкладка "Авторизация через mos.ru"

  • mos-auth-folders - установка данного пакета позволяет получать доступ к сетевым папкам (если такая возможность поддерживается в вашем школьном здании);
  • mos-auth-dbus-conf - установка данного пакета позволяет компьютерам принимать запрос по ssh для залогинивания;
  • mos-auth-roles - установка данного пакета позволяет настраивать на компьютерах роли (mos-teacher, mos-student). Данный пакет устанавливается автоматически вместе с mos-auth-core.


После установки пакета mos-auth-core появляется возможность включить авторизацию через mos.ru. После выбора опции «Включена» нажмите «Применить», что приведет к активации следующих настроек: кнопка входа через mos.ru, гостевая учетная запись, монтирование домашней папки гостя в tmpfs, выбор способа отображения логинов на экране авторизации. При выключении авторизации через mos.ru остальные настройки на данной вкладке будут выключены автоматически.


Опция «Удалить файл конфига» в разделе «Способ отображения логинов на экране авторизации» позволяет удалить созданный данной утилитой файл, в котором записан способ отображения авторизации через mos.ru. При удалении данного файла авторизация будет отображаться по умолчанию согласно настройкам системы.

Настройки авторизации через mos.ru

Возможности для пользователей, авторизованных через mos.ru

Сетевые папки для пользователей, авторизованных через mos.ru

Доступ к сетевым папкам, расположенным на сервере МЭШ корпуса, в домашнем каталоге и на рабочем столе:

  1. Общая папка - общая для всех пользователей;
  2. Персональная папка - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука.


Папки организованы путем создания glusterfs на сервере 10.xxx.xxx.20 общей папки с именем share без пароля.

В папке расположены подпапки с именами пользователей и общая подпапка public.

На ПК монтируется общая папка share c правами, не допускающими ее чтение всеми пользователями, и создаются ссылки на нужные подпапки из каталога и с рабочего стола пользователя.

Администратор с правами root может видеть все папки пользователей в каталоге /run/media/glusterfs/


Автомонтирование папок происходит в двух случаях: подключение к сети или авторизация в систему (при наличие сети).

При обрыве сети папка перестает быть доступна, восстановление должно произойти при восстановление сети. Если этого не произошло, попробуйте перезайти в учетную запись пользователя.

Настройка прав доступа sudo для учителей (пользователи группы mos-teacher)

Права доступа sudo дают учителю права администратора.


В настройках sudoers можно выставить права для mos-teacher (все учителя входят в эту группу), аналогично настройкам для группы wheel.


Для этого необходимо создать файл /etc/sudoers.d/mos-teacher с таким содержимым: 

%mos-teacher  ALL=(ALL)       ALL

Данная настройка даст права sudo всем учителям. Если нужно изменить настройки доступа для одного учителя, следует добавить его в группу wheel (c помощью gpasswd -a логин wheel).

Вход с логином teacher/student без отключения возможности авторизации через mos.ru

Для реализации данной возможности следует:

  • установить в файле /etc/sddm.conf минимальный id 500;
  • прописать учетную запись guest в HideUsers= в /etc/sddm.conf.d/kde_settings.conf.

ИЛИ

сделать автологин (вход в пространство пользователя без пароля) для пользователя student/teacher в /etc/sddm.conf.d/kde_settings.conf.

Настройки автологина

  • Для установки автологина можно ввести в консоли:
py-ini-config set /etc/sddm.conf.d/kde_settings.conf Autologin User имяпользователя


Также автологин можно установить через Вход в систему (SDDM).

  • Зайдите в Главное меню -> Параметры системы -> Запуск и завершение -> Вход в систему (SDDM);
  • Нажмите кнопку Поведение;

Настройка автологина

  • Установите галочку напротив "Автоматически входить в систему" и выберите имя пользователя;
  • Нажмите кнопку Применить.

SDDM. Выбор пользователя

  • Для отключения автологина введите в консоли следующую команду:
py-ini-config del /etc/sddm.conf.d/kde_settings.conf Autologin User

Вводить команды для установки и отключения автологина необходимо от пользователя с повышенными привилегиями (через sudo или от root).

Решение проблем с авторизацией

Некоторые проблемы могут решаться с помощью перезапуска, для этого введите в консоли: 

sudo mos-auth-config disable
sudo mos-auth-config enable
Источник — https://it-help-school.ru/index.php?title=Авторизация_в_МОС12_через_school.mos.ru&oldid=2683