Авторизация в МОС12 через school.mos.ru: различия между версиями

Материал из IT в школе
Перейти к навигацииПерейти к поиску
ВизуальныйВики-текст
мНет описания правки
(→‎Возможности для пользователей, авторизованных через mos.ru: дополнение информацией и исправление форматирования текста)
Метки: mobile web edit mobile edit
 
(не показано 13 промежуточных версий 3 участников)
Строка 2: Строка 2:




<big>Ознакомиться с наиболее подробным и актуальным описанием авторизации через mos.ru. можно при вводе в консоли:</big>
<big>Ознакомиться с наиболее подробным и актуальным описанием авторизации через mos.ru можно при вводе в консоли:</big>


<big><code>man mos-auth.conf</code></big>  
<big><code>man mos-auth.conf</code></big>  


== <big>Установка и активация</big> ==
==<big>Установка и активация</big>==
<big>По умолчанию авторизация включена в дистрибутивах для компьютеров и ноутбуков.</big>
<big>По умолчанию авторизация включена в дистрибутивах для компьютеров и ноутбуков.</big>


Строка 18: Строка 18:
</syntaxhighlight>
</syntaxhighlight>


== <big>Дезактивация и удаление</big> ==
==<big>Дезактивация и удаление</big>==
<big>Для отключения авторизации введите в консоли:</big><syntaxhighlight lang="bash">
<big>Для отключения авторизации введите в консоли:</big><syntaxhighlight lang="bash">
sudo mos-auth-config disable  
sudo mos-auth-config disable  
Строка 29: Строка 29:
<syntaxhighlight lang="bash">sudo dnf remove mos-auth-core mos-auth-folders</syntaxhighlight>
<syntaxhighlight lang="bash">sudo dnf remove mos-auth-core mos-auth-folders</syntaxhighlight>


== <big>Алгоритм работы конфигурации</big> ==
==<big>Алгоритм работы конфигурации</big>==
<big>Конфигурация загружается из всех файлов в каталогах конфигурации в следующем порядке:</big>
<big>Конфигурация загружается из всех файлов в каталогах конфигурации в следующем порядке:</big>


Строка 40: Строка 40:
<big>Эти файлы настраивают различные параметры подсистемы авторизации mos-auth. В случае отсутствия файла конфигурации используются стандартные значения.</big>
<big>Эти файлы настраивают различные параметры подсистемы авторизации mos-auth. В случае отсутствия файла конфигурации используются стандартные значения.</big>


<big>Таким образом, в дополнение к "основному" файлу конфигурации считываются дополнительные фрагменты конфигурации ("drop-in" файлы) из каталогов conf.d/.</big>


* <big>''Системные конфигурационные "drop-in" файлы'' считываются раньше, чем основной файл конфигурации и предназначены для конфигурационных файлов, устанавливаемых пакетами дистрибутива.</big>
<big>Таким образом, в дополнение к "основному" файлу конфигурации считываются дополнительные фрагменты конфигурации ("drop-in" файлы) из каталогов conf.d/.</big>  
* <big>''Локальные конфигурационные "drop-in" файлы'' имеют более высокий приоритет и переопределяют основной файл конфигурации.</big>
* <big>''Файлы в подкаталогах конфигурации conf.d/'' сортируются по их именам по алфавиту.</big>
* <big>Если в нескольких файлах указан один и тот же параметр, приоритет имеет параметр из того файла, который был загружен последним.</big>


=== <big>Способы создания локальной конфигурации</big> ===
*<big>''Системные конфигурационные "drop-in" файлы'' считываются раньше, чем основной файл конфигурации и предназначены для конфигурационных файлов, устанавливаемых пакетами дистрибутива.</big>
*<big>''Локальные конфигурационные "drop-in" файлы'' имеют более высокий приоритет и переопределяют основной файл конфигурации.</big>
*<big>''Файлы в подкаталогах конфигурации conf.d/'' сортируются по их именам по алфавиту.</big>
*<big>Если в нескольких файлах указан один и тот же параметр, приоритет имеет параметр из того файла, который был загружен последним.</big>
 
===<big>Способы создания локальной конфигурации</big>===
<big>Первый способ (<u>'''рекомендуемый'''</u>) - создание "drop-in" файлов в подкаталоге conf.d/;</big>
<big>Первый способ (<u>'''рекомендуемый'''</u>) - создание "drop-in" файлов в подкаталоге conf.d/;</big>


Строка 54: Строка 55:
<big>'''Внимание!''' Первый способ является более предпочтительным, так как основной файл конфигурации '''<nowiki/>'/etc/mos-auth/mos-auth.conf'''' хранит закомментированные значения по умолчанию и может изменяться при обновлении mos-auth.</big>
<big>'''Внимание!''' Первый способ является более предпочтительным, так как основной файл конфигурации '''<nowiki/>'/etc/mos-auth/mos-auth.conf'''' хранит закомментированные значения по умолчанию и может изменяться при обновлении mos-auth.</big>


== <big>Настройки авторизации</big> ==
==<big>Настройки авторизации</big>==
<big>В '''секции sddm''' представлены следующие параметры для экрана входа авторизации:</big>
<big>В '''секции sddm''' представлены следующие параметры для экрана входа а</big><big>'''<nowiki/>'''</big><big>'''<nowiki/>'''</big><big>'''<nowiki/>'''</big><big>вторизации:</big>
{| class="wikitable"
{| class="wikitable"
|+
|+
Строка 64: Строка 65:
параметра
параметра
|-
|-
|<big><code>guest-enabled=</code></big>
|<big><code>guest-enabled</code></big>
|<big>true</big>
|<big>true</big>
|<big>Отображается кнопка '''Войти как гость'''</big>
|<big>Отображается кнопка '''Войти как гость'''</big>
|-
|-
|<big><code>guest-home-tmpfs=</code></big>
|<big><code>guest-home-tmpfs</code></big>
|<big>false</big>
|<big>false</big>
|<big>Домашняя папка гостя примонтирована через tmpfs</big>
|<big>Домашняя папка гостя примонтирована через tmpfs</big>
|-
|-
|<big><code>guest-dbus-service=</code></big>
|<big><code>guest-dbus-service</code></big>
|<big>true</big>
|<big>true</big>
|<big>Автоматически загруженная DBus-служба у гостя</big>
|<big>Автоматически загруженная DBus-служба у гостя</big>
|-
|-
|<big><code>mos-auth-btn-enabled=</code></big>
|<big><code>guest-skel-directory</code></big>
|<big>отсутствует</big>
|<big>Переопределение директории skel для формирования профиля гостя</big>
|-
|<big><code>mos-auth-btn-enabled</code></big>
|<big>true</big>
|<big>true</big>
|<big>Отображается кнопка '''Авторизация через mos.ru'''.</big>
|<big>Отображается кнопка '''Авторизация через mos.ru'''</big>
|-
|<big><code>login-lowercase-only</code></big>
|<big>false</big>
|<big>Запрет ввода символов верхнего регистра в поле логина</big>
|-
|<big><code>wifi-eap-enabled</code></big>
|<big>false</big>
|<big>Включение возможности входа в EAP (корпоративный) Wi-Fi на экране входа</big>
|-
|<big><code>wifi-eap-domain</code></big>
|<big>отсутствует</big>
|<big>Опциональный параметр, задающий домен для корпоративного Wi-Fi</big>
|-
|<big><code>wifi-eap-ssid</code></big>
|<big>отсутствует</big>
|<big>Если этот параметр указан, то включается автоматическое временное подключение к Wi-Fi на экране входа при вводе логина и пароля от доменной УЗ</big>
|}
 
===<big>Настройки гостя</big>===
 
<big>Профиль гостя автоматически очищается при перезагрузке. Также набор файлов в профиле гостя может быть изменен с помощью изменения файлов в папке <code>/etc/skel</code>.</big>
 
====<big>Профиль гостя и tmpfs</big>====
 
<big>При включенном параметре <code>guest-home-tmpfs</code> все файлы в домашней папке гостя будут располагаться в ОЗУ.
 
Данный параметр повышает безопасность и скорость создания (очистки) профиля гостя при входе в учетную запись гостя.
 
Но требует достаточного объема оперативной памяти для комфортной работы в таком профиле.</big>
 
====<big>D-Bus служба гостя</big>====
 
<big>DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя.
 
Например, можно выполнять либо команду (<code>run</code>), либо запускать команду без прикрепления к терминалу (<code>runDetach</code>):</big>
 
<syntaxhighlight lang="bash">
sudo qdbus --system org.mos.auth.guest / run "zenity --calendar"
sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh"
</syntaxhighlight>
 
<big>По умолчанию, время ожидания D-Bus шины ответа при выполнении команды примерно равно 50 секундам.
 
Если вам нужно указать свое время ожидания, к примеру 10 минут, следует использовать команду следующую команду:</big>
 
<syntaxhighlight lang="bash">
sudo dbus-send --system --print-reply=literal --reply-timeout=600000 --dest=org.mos.auth.guest / org.mos.auth.guest.run string:"zenity --calendar"`
</syntaxhighlight>
 
====<big>Переопределение skel для гостя</big>====
 
#<big>Сначала считывается значение новой опции из конфига <code>guest-skel-directory</code></big>
#<big>Если оно отсутствует, тогда считывается стандартное значение для новых пользователей из <code>/etc/default/useradd</code> из переменной <code>SKEL</code></big>
#<big>Если оно отсутствует, тогда используется путь <code>/etc/skel</code></big>
 
<big>Указанные директории в <code>guest-skel-directory</code> или <code>/etc/default/useradd</code> в переменной <code>SKEL</code> являются корректными только тогда, когда не равны пустому значению (""), и когда указанная директория действительно существует.</big>
 
<big>При необходимости переопределения папки у гостя следует создать файл конфигурации <code>/etc/mos-auth/mos-auth.conf.d/skel-guest-override.conf</code> и прописать в нем:</big>
 
<syntaxhighlight lang="bash">
[sddm]
guest-skel-directory=/etc/2skel
</syntaxhighlight>
 
===<big>Общий вид стандартного файла конфига</big>===
 
<syntaxhighlight lang="bash">
[sddm]
guest-enabled=true
guest-home-tmpfs=false
guest-dbus-service=true
guest-skel-directory=
mos-auth-btn-enabled=true
login-lowercase-only=false
wifi-eap-enabled=false
wifi-eap-domain=
wifi-eap-ssid=
</syntaxhighlight>
 
==<big>Консольная версия управления авторизацией через mos.ru</big>==
<big>'''mos-auth-config''' - консольная утилита для управления подсистемой авторизации mos-auth, которая позволяет включать и отключать вход в систему через учетную запись на mos.ru.</big>
 
<big>В данной утилите доступны следующие команды:</big>
{| class="wikitable"
|+
!Название
!Описание
|-
|<code>mos-auth-config enable</code>
|<big>''Для запуска команды требуются права администратора.''</big>
 
 
<big>Включает подсистему авторизации mos-auth, при этом выполняются следующие действия:</big>
 
<big>- устанавливается тема mos-auth в SDDM,</big>
 
<big>- устанавливается PAM-механизм автоочистки профиля гостя,</big>
 
<big>- активируется DBus-служба для гостя,</big>
 
<big>- включается поддержка сетевых папок (если установлен пакет mos-auth-folders),</big>
 
<big>- активируется DBus-служба в SDDM для возможности входа в систему через терминал (если установлен пакет mos-auth-dbus-conf)</big>
|-
|<code>mos-auth-config disable</code>
|<big>''Для запуска команды требуются права администратора.''</big>
 
 
<big>Выключает подсистему авторизации mos-auth, при этом выполняются следующие действия:</big>
 
<big>- возвращается тема SDDM, которая была настроена до включения подсистемы авторизации,</big>
 
<big>- выключается PAM-механизм автоочистки профиля гостя,</big>
 
<big>- выключается DBus-служба для гостя,</big>
 
<big>- выключается поддержка сетевых папок,</big>
 
<big>- выключается DBus-служба в SDDM</big>
|-
|<code>mos-auth-config status</code>
|<big>Выводит текущий статус авторизации через mos.ru в системе</big>
|-
|<code>mos-auth-config edit</code>
|<big>''Для запуска команды требуются права администратора.''</big>
 
 
<big>Позволяет редактировать конфигурационный файл</big>
|-
|<code>mos-auth-config help</code>
|<big>Вызывает справку</big>
 
|}
|}


* <big>При включенном параметре</big> <big><code>guest-home-tmpfs=</code> все файлы в домашней папке гостя будут располагаться в ОЗУ.</big> <big>Данный параметр повышает безопасность (профиль гостя будет очищаться автоматически при перезагрузке) и скорость создания / очистки профиля гостя при входе в учетную запись гостя.</big>
==<big>Возможность входа через шину DBus</big>==
 
<big>Существует возможность неинтерактивного (без взаимодействия с GUI) входа в систему, например, для авторизации в <code>sddm</code> через терминал по SSH.
 
 
Если у вас установлен пакет <code>mos-auth-dbus-conf</code>, то при включении подсистемы авторизации mos-auth, активируется DBus-служба в SDDM, которая позволяет осуществить вход в систему в SDDM через терминал.
 
Сервис активен только на момент, пока активна тема SDDM (пока активен QML плагин <code>org.mos.auth</code>, который вызван процессом <code>sddm-greeter</code>).
 
Если пользователь уже вошел в систему и SDDM неактивен, то команда сообщит, что такого сервиса в шине DBus не существует.
 
 
С точки зрения безопасности - сервис может быть создан только пользователем <code>sddm</code>, а для запуска команд требуются права администратора <code>root</code>.</big>
 
 
<big>Примеры команд:</big>
 
<syntaxhighlight lang="bash">
qdbus --system org.mos.auth / login user 123
</syntaxhighlight>
 
<big>Для гостя (отсутствие второго аргумента с паролем в команде трактуется как пустой пароль):</big>
 
<syntaxhighlight lang="bash">
qdbus --system org.mos.auth / login guest
</syntaxhighlight>
 
==<big>Настройка авторизации через mos.ru  с помощью Admin Tweaker</big>==
<big>Включить и настроить авторизацию в системе через mos.ru можно в приложении '''Admin Tweaker'''.</big>
 
<big>Во вкладке '''"Авторизация через MOS.RU"''' доступны следующие пакеты для установки:</big>
 
*<big>'''mos-auth-core -''' установка данного пакета позволяет реализовать возможность авторизации через mos.ru, войти гостем, настроить логин командой через ssh и остальные базовые функции;</big>
 
[[Файл:Авторизация через mos.ru (3.6).png|500x500пкс|Вкладка "Авторизация через mos.ru"]]
 
*<big>'''mos-auth-folders''' - установка данного пакета позволяет получать доступ к сетевым папкам (если такая возможность поддерживается в вашем школьном здании);</big>
 
*<big>'''mos-auth-dbus-conf''' - установка данного пакета позволяет компьютерам принимать запрос по ssh для залогинивания;</big>
 
*<big>'''mos-auth-roles''' - установка данного пакета позволяет настраивать на компьютерах роли (''mos-teacher,'' ''mos-student''). Данный пакет устанавливается автоматически вместе с '''mos-auth-core'''.</big>
 


* <big>DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя.</big>  
<big>После установки пакета '''mos-auth-core''' появляется возможность включить авторизацию через mos.ru. После выбора опции '''«Включена»''' нажмите '''«Применить»,''' что приведет к активации следующих настроек: кнопка входа через mos.ru, гостевая учетная запись, монтирование домашней папки гостя в tmpfs, выбор способа отображения логинов на экране авторизации. При выключении авторизации через mos.ru остальные настройки на данной вкладке будут выключены автоматически.</big>


<big>Например, можно выполнять либо команду (run), либо запускать команду без прикрепления к терминалу (runDetach):</big>
<big>Опция '''«Удалить файл конфига»''' в разделе '''«Способ отображения логинов на экране авторизации»''' позволяет удалить созданный данной утилитой файл, в котором записан способ отображения авторизации через mos.ru. При удалении данного файла авторизация будет отображаться по умолчанию согласно настройкам системы.</big>


<big> <code>sudo qdbus --system org.mos.auth.guest / run "zenity --calendar"</code></big>
[[Файл:Авторизация через mos.ru (версия 3.6).png|764x764пкс|Настройки авторизации через mos.ru]]


<big> <code>sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh"</code></big>
==<big>Возможности для пользователей, авторизованных через mos.ru</big>==


===<big>Сетевые папки для пользователей, авторизованных через mos.ru</big>===


<big>'''Общий вид файла конфига'''</big>
<big>Доступ к сетевым папкам, расположенным на сервере МЭШ корпуса, в домашнем каталоге и на рабочем столе:


<big>#guest-enabled=true
#Общая папка - общая для всех пользователей;
#guest-home-tmpfs=false
#Персональная папка - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука.</big>
#guest-dbus-service=true
#mos-auth-btn-enabled=true</big>




'''<big>Возможности для пользователей, авторизованных через mos.ru</big>'''
<big>Папки организованы путем создания <code>glusterfs</code> на сервере 10.xxx.xxx.20 общей папки с именем share без пароля.


<big>Доступ к сетевым папкам, расположенным на сервере МЭШ корпуса, в домашнем каталоге и на рабочем столе:</big>
В папке расположены подпапки с именами пользователей и общая подпапка public.


<big>Общая папка - общая для всех пользователей;</big>
На ПК монтируется общая папка share c правами, не допускающими ее чтение всеми пользователями, и создаются ссылки на нужные подпапки из каталога и с рабочего стола пользователя.


<big>Персональная папка - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука.</big>
Администратор с правами root может видеть все папки пользователей в каталоге <code>/run/media/glusterfs/</code>


<big><br />Папки организованы путем создания glusterfs на сервере 10.xxx.xxx.20 общей папки с именем share без пароля. В папке расположены подпапки с именами пользователей и общая подпапка public.</big>


<big>На ПК монтируется общая папка share c правами, не допускающими ее чтение всеми пользователями, и создаются ссылки на нужные подпапки из каталога и с рабочего стола пользователя.</big>
Автомонтирование папок происходит в двух случаях: подключение к сети или авторизация в систему (при наличие сети).


<big>При обрыве сети папка отваливается (перестает быть доступна), восстановление происходит только путем выхода и входа пользователя.</big>
При обрыве сети папка перестает быть доступна, восстановление должно произойти при восстановление сети. Если этого не произошло, попробуйте перезайти в учетную запись пользователя.</big>


<big>Администратор с правами root может видеть все папки пользователей в каталоге '''/run/media/glusterfs/'''.</big>
===<big>Настройка прав доступа sudo для учителей (пользователи группы mos-teacher)</big>===


<big>Права доступа sudo дают учителю права администратора.


'''<big>Настройка прав доступа sudo для учителей</big>'''


<big>Права доступа sudo дают учителю права администратора. Для этого необходимо в настройках sudo выставить права для mos-teacher (все учителя входят в эту группу) в '''''/etc/sudoers''''' (аналогично настройкам для группы wheel).</big>
В настройках sudoers можно выставить права для mos-teacher (все учителя входят в эту группу), аналогично настройкам для группы wheel.


<big>Данная настройка даст права sudo <u>всем</u> учителям. Если нужно изменить настройки доступа для одного учителя, следует добавить его в группу wheel (c помощью редактирования файла '''''/etc/group''''').</big>   


Для этого необходимо создать файл <code>/etc/sudoers.d/mos-teacher</code> с таким содержимым:</big>
<syntaxhighlight lang="bash">
%mos-teacher  ALL=(ALL)      ALL
</syntaxhighlight>


'''<big>Вход с логином teacher/student без отключения возможности авторизации через mos.ru.</big>'''
<big>Данная настройка даст права sudo <u>всем</u> учителям. Если нужно изменить настройки доступа для одного учителя, следует добавить его в группу wheel (c помощью <code>gpasswd -a логин wheel</code>).</big>


==<big>Вход с логином teacher/student без отключения возможности авторизации через mos.ru</big>==
<big>Для реализации данной возможности следует:</big>  
<big>Для реализации данной возможности следует:</big>  


* <big>установить в файле '''''/etc/sddm.conf''''' минимальный id 500;</big>  
*<big>установить в файле '''''/etc/sddm.conf''''' минимальный id 500;</big>
* <big>прописать учетную запись guest в <code>HideUsers=</code> в '''''/etc/sddm.conf.d/50-default.conf'''.''</big>  
*<big>прописать учетную запись guest в <code>HideUsers=</code> в '''''/etc/sddm.conf.d/kde_settings.conf'''.''</big>


<big>ИЛИ</big>  
<big>ИЛИ</big>  


<big>сделать автологин (''вход в пространство пользователя без пароля'') для пользователя '''student/teacher''' в '''''/etc/sddm.conf.d/50-default.conf'''''.</big>
<big>сделать автологин (''вход в пространство пользователя без пароля'') для пользователя '''student/teacher''' в '''''/etc/sddm.conf.d/kde_settings.conf'''''.</big>
 
===<big>Настройки автологина</big>===
* <big>Для установки автологина можно ввести в консоли:</big>
 
<big>py-ini-config set /etc/sddm.conf.d/kde_settings.conf Autologin User имяпользователя</big>
 
 
<big>Также автологин можно установить через '''Вход в систему (SDDM)'''.</big>
 
*<big>Зайдите в '''Главное меню''' -> '''Параметры системы''' -> '''Запуск и завершение''' -> '''Вход в систему (SDDM)''';</big>
*<big>Нажмите кнопку '''Поведение''';</big>
 
[[Файл:SDDM. Вход.png|800x800пкс|Настройка автологина]]


<big>Для установки автологина также можно ввести в консоли:</big>  
*<big>Установите галочку напротив '''"Автоматически входить в систему"''' и выберите имя пользователя;</big>
<big>py-ini-config set /etc/sddm.conf.d/50-default.conf Autologin User имяпользователя</big>
*<big>Нажмите кнопку '''Применить'''.</big>


<big>Для отключения автологина введите в консоли следующую команду:</big>
[[Файл:SDDM. Выбор пользователя.png|800px|SDDM. Выбор пользователя]]
<big>py-ini-config del /etc/sddm.conf.d/50-default.conf Autologin User</big>


<big>Вводить команды для установки и отключения автологина необходимо от пользователя с повышенными привилегиями (через ''sudo'' или от ''root'').</big>
*<big>Для отключения автологина введите в консоли следующую команду:</big>


<big>py-ini-config del /etc/sddm.conf.d/kde_settings.conf Autologin User</big>


'''<big>Решение проблем с авторизацией</big>'''
<big>Вводить команды для установки и отключения автологина необходимо от пользователя с повышенными привилегиями (через ''sudo'' или от ''root'').</big>


==<big>Решение проблем с авторизацией</big>==
<big>Некоторые проблемы могут решаться с помощью перезапуска, для этого введите в консоли:</big>  
<big>Некоторые проблемы могут решаться с помощью перезапуска, для этого введите в консоли:</big>  


  <big>sudo mos-auth-config disable
  <big>sudo mos-auth-config disable
  sudo mos-auth-config enable</big>
  sudo mos-auth-config enable</big>  
[[Категория:МОС12]]
[[Категория:МОС12]]
{{DEFAULTSORT:Авторизация_в_МОС12_через_mos.ru.}}
{{DEFAULTSORT:Авторизация_в_МОС12_через_mos.ru.}}

Текущая версия от 13:01, 27 февраля 2026


Ознакомиться с наиболее подробным и актуальным описанием авторизации через mos.ru можно при вводе в консоли:

man mos-auth.conf

Установка и активация

По умолчанию авторизация включена в дистрибутивах для компьютеров и ноутбуков.


Для включения введите в консоли (после чего перезагрузите компьютер): 

sudo dnf install mos-auth-core mos-auth-folders
sudo mos-auth-config enable

Дезактивация и удаление

Для отключения авторизации введите в консоли:

sudo mos-auth-config disable


Для удаления введите в консоли: 

sudo dnf remove mos-auth-core mos-auth-folders

Алгоритм работы конфигурации

Конфигурация загружается из всех файлов в каталогах конфигурации в следующем порядке:

/usr/lib/mos-auth/mos-auth.conf.d/*.conf - системные конфигурационные "drop-in" файлы;

/etc/mos-auth/mos-auth.conf - основной конфигурационный файл;

/etc/mos-auth/mos-auth.conf.d/*.conf - локальные конфигурационные "drop-in" файлы.

Эти файлы настраивают различные параметры подсистемы авторизации mos-auth. В случае отсутствия файла конфигурации используются стандартные значения.


Таким образом, в дополнение к "основному" файлу конфигурации считываются дополнительные фрагменты конфигурации ("drop-in" файлы) из каталогов conf.d/.

  • Системные конфигурационные "drop-in" файлы считываются раньше, чем основной файл конфигурации и предназначены для конфигурационных файлов, устанавливаемых пакетами дистрибутива.
  • Локальные конфигурационные "drop-in" файлы имеют более высокий приоритет и переопределяют основной файл конфигурации.
  • Файлы в подкаталогах конфигурации conf.d/ сортируются по их именам по алфавиту.
  • Если в нескольких файлах указан один и тот же параметр, приоритет имеет параметр из того файла, который был загружен последним.

Способы создания локальной конфигурации

Первый способ (рекомендуемый) - создание "drop-in" файлов в подкаталоге conf.d/;

Второй способ - изменение файла /etc/mos-auth/mos-auth.conf.

Внимание! Первый способ является более предпочтительным, так как основной файл конфигурации '/etc/mos-auth/mos-auth.conf' хранит закомментированные значения по умолчанию и может изменяться при обновлении mos-auth.

Настройки авторизации

В секции sddm представлены следующие параметры для экрана входа авторизации:

Параметр Значение по

умолчанию

Описание включенного

параметра

guest-enabled true Отображается кнопка Войти как гость
guest-home-tmpfs false Домашняя папка гостя примонтирована через tmpfs
guest-dbus-service true Автоматически загруженная DBus-служба у гостя
guest-skel-directory отсутствует Переопределение директории skel для формирования профиля гостя
mos-auth-btn-enabled true Отображается кнопка Авторизация через mos.ru
login-lowercase-only false Запрет ввода символов верхнего регистра в поле логина
wifi-eap-enabled false Включение возможности входа в EAP (корпоративный) Wi-Fi на экране входа
wifi-eap-domain отсутствует Опциональный параметр, задающий домен для корпоративного Wi-Fi
wifi-eap-ssid отсутствует Если этот параметр указан, то включается автоматическое временное подключение к Wi-Fi на экране входа при вводе логина и пароля от доменной УЗ

Настройки гостя

Профиль гостя автоматически очищается при перезагрузке. Также набор файлов в профиле гостя может быть изменен с помощью изменения файлов в папке /etc/skel.

Профиль гостя и tmpfs

При включенном параметре guest-home-tmpfs все файлы в домашней папке гостя будут располагаться в ОЗУ.

Данный параметр повышает безопасность и скорость создания (очистки) профиля гостя при входе в учетную запись гостя.

Но требует достаточного объема оперативной памяти для комфортной работы в таком профиле.

D-Bus служба гостя

DBus-служба позволяет администратору (root) посылать команды на выполнение от имени гостя.

Например, можно выполнять либо команду (run), либо запускать команду без прикрепления к терминалу (runDetach): 

sudo qdbus --system org.mos.auth.guest / run "zenity --calendar"
sudo qdbus --system org.mos.auth.guest / runDetach "/tmp/script.sh"

По умолчанию, время ожидания D-Bus шины ответа при выполнении команды примерно равно 50 секундам.

Если вам нужно указать свое время ожидания, к примеру 10 минут, следует использовать команду следующую команду: 

sudo dbus-send --system --print-reply=literal --reply-timeout=600000 --dest=org.mos.auth.guest / org.mos.auth.guest.run string:"zenity --calendar"`

Переопределение skel для гостя

  1. Сначала считывается значение новой опции из конфига guest-skel-directory
  2. Если оно отсутствует, тогда считывается стандартное значение для новых пользователей из /etc/default/useradd из переменной SKEL
  3. Если оно отсутствует, тогда используется путь /etc/skel

Указанные директории в guest-skel-directory или /etc/default/useradd в переменной SKEL являются корректными только тогда, когда не равны пустому значению (""), и когда указанная директория действительно существует.

При необходимости переопределения папки у гостя следует создать файл конфигурации /etc/mos-auth/mos-auth.conf.d/skel-guest-override.conf и прописать в нем: 

[sddm]
guest-skel-directory=/etc/2skel

Общий вид стандартного файла конфига

[sddm]
guest-enabled=true
guest-home-tmpfs=false
guest-dbus-service=true
guest-skel-directory=
mos-auth-btn-enabled=true
login-lowercase-only=false
wifi-eap-enabled=false
wifi-eap-domain=
wifi-eap-ssid=

Консольная версия управления авторизацией через mos.ru

mos-auth-config - консольная утилита для управления подсистемой авторизации mos-auth, которая позволяет включать и отключать вход в систему через учетную запись на mos.ru.

В данной утилите доступны следующие команды:

Название Описание
mos-auth-config enable Для запуска команды требуются права администратора.


Включает подсистему авторизации mos-auth, при этом выполняются следующие действия:

- устанавливается тема mos-auth в SDDM,

- устанавливается PAM-механизм автоочистки профиля гостя,

- активируется DBus-служба для гостя,

- включается поддержка сетевых папок (если установлен пакет mos-auth-folders),

- активируется DBus-служба в SDDM для возможности входа в систему через терминал (если установлен пакет mos-auth-dbus-conf)

mos-auth-config disable Для запуска команды требуются права администратора.


Выключает подсистему авторизации mos-auth, при этом выполняются следующие действия:

- возвращается тема SDDM, которая была настроена до включения подсистемы авторизации,

- выключается PAM-механизм автоочистки профиля гостя,

- выключается DBus-служба для гостя,

- выключается поддержка сетевых папок,

- выключается DBus-служба в SDDM

mos-auth-config status Выводит текущий статус авторизации через mos.ru в системе
mos-auth-config edit Для запуска команды требуются права администратора.


Позволяет редактировать конфигурационный файл

mos-auth-config help Вызывает справку

Возможность входа через шину DBus

Существует возможность неинтерактивного (без взаимодействия с GUI) входа в систему, например, для авторизации в sddm через терминал по SSH.


Если у вас установлен пакет mos-auth-dbus-conf, то при включении подсистемы авторизации mos-auth, активируется DBus-служба в SDDM, которая позволяет осуществить вход в систему в SDDM через терминал.

Сервис активен только на момент, пока активна тема SDDM (пока активен QML плагин org.mos.auth, который вызван процессом sddm-greeter).

Если пользователь уже вошел в систему и SDDM неактивен, то команда сообщит, что такого сервиса в шине DBus не существует.


С точки зрения безопасности - сервис может быть создан только пользователем sddm, а для запуска команд требуются права администратора root.


Примеры команд: 

qdbus --system org.mos.auth / login user 123

Для гостя (отсутствие второго аргумента с паролем в команде трактуется как пустой пароль): 

qdbus --system org.mos.auth / login guest

Настройка авторизации через mos.ru с помощью Admin Tweaker

Включить и настроить авторизацию в системе через mos.ru можно в приложении Admin Tweaker.

Во вкладке "Авторизация через MOS.RU" доступны следующие пакеты для установки:

  • mos-auth-core - установка данного пакета позволяет реализовать возможность авторизации через mos.ru, войти гостем, настроить логин командой через ssh и остальные базовые функции;

Вкладка "Авторизация через mos.ru"

  • mos-auth-folders - установка данного пакета позволяет получать доступ к сетевым папкам (если такая возможность поддерживается в вашем школьном здании);
  • mos-auth-dbus-conf - установка данного пакета позволяет компьютерам принимать запрос по ssh для залогинивания;
  • mos-auth-roles - установка данного пакета позволяет настраивать на компьютерах роли (mos-teacher, mos-student). Данный пакет устанавливается автоматически вместе с mos-auth-core.


После установки пакета mos-auth-core появляется возможность включить авторизацию через mos.ru. После выбора опции «Включена» нажмите «Применить», что приведет к активации следующих настроек: кнопка входа через mos.ru, гостевая учетная запись, монтирование домашней папки гостя в tmpfs, выбор способа отображения логинов на экране авторизации. При выключении авторизации через mos.ru остальные настройки на данной вкладке будут выключены автоматически.


Опция «Удалить файл конфига» в разделе «Способ отображения логинов на экране авторизации» позволяет удалить созданный данной утилитой файл, в котором записан способ отображения авторизации через mos.ru. При удалении данного файла авторизация будет отображаться по умолчанию согласно настройкам системы.

Настройки авторизации через mos.ru

Возможности для пользователей, авторизованных через mos.ru

Сетевые папки для пользователей, авторизованных через mos.ru

Доступ к сетевым папкам, расположенным на сервере МЭШ корпуса, в домашнем каталоге и на рабочем столе:

  1. Общая папка - общая для всех пользователей;
  2. Персональная папка - общая для всех устройств, вошедших под одним аккаунтом, например для доски и ноутбука.


Папки организованы путем создания glusterfs на сервере 10.xxx.xxx.20 общей папки с именем share без пароля.

В папке расположены подпапки с именами пользователей и общая подпапка public.

На ПК монтируется общая папка share c правами, не допускающими ее чтение всеми пользователями, и создаются ссылки на нужные подпапки из каталога и с рабочего стола пользователя.

Администратор с правами root может видеть все папки пользователей в каталоге /run/media/glusterfs/


Автомонтирование папок происходит в двух случаях: подключение к сети или авторизация в систему (при наличие сети).

При обрыве сети папка перестает быть доступна, восстановление должно произойти при восстановление сети. Если этого не произошло, попробуйте перезайти в учетную запись пользователя.

Настройка прав доступа sudo для учителей (пользователи группы mos-teacher)

Права доступа sudo дают учителю права администратора.


В настройках sudoers можно выставить права для mos-teacher (все учителя входят в эту группу), аналогично настройкам для группы wheel.


Для этого необходимо создать файл /etc/sudoers.d/mos-teacher с таким содержимым: 

%mos-teacher  ALL=(ALL)       ALL

Данная настройка даст права sudo всем учителям. Если нужно изменить настройки доступа для одного учителя, следует добавить его в группу wheel (c помощью gpasswd -a логин wheel).

Вход с логином teacher/student без отключения возможности авторизации через mos.ru

Для реализации данной возможности следует:

  • установить в файле /etc/sddm.conf минимальный id 500;
  • прописать учетную запись guest в HideUsers= в /etc/sddm.conf.d/kde_settings.conf.

ИЛИ

сделать автологин (вход в пространство пользователя без пароля) для пользователя student/teacher в /etc/sddm.conf.d/kde_settings.conf.

Настройки автологина

  • Для установки автологина можно ввести в консоли:
py-ini-config set /etc/sddm.conf.d/kde_settings.conf Autologin User имяпользователя


Также автологин можно установить через Вход в систему (SDDM).

  • Зайдите в Главное меню -> Параметры системы -> Запуск и завершение -> Вход в систему (SDDM);
  • Нажмите кнопку Поведение;

Настройка автологина

  • Установите галочку напротив "Автоматически входить в систему" и выберите имя пользователя;
  • Нажмите кнопку Применить.

SDDM. Выбор пользователя

  • Для отключения автологина введите в консоли следующую команду:
py-ini-config del /etc/sddm.conf.d/kde_settings.conf Autologin User

Вводить команды для установки и отключения автологина необходимо от пользователя с повышенными привилегиями (через sudo или от root).

Решение проблем с авторизацией

Некоторые проблемы могут решаться с помощью перезапуска, для этого введите в консоли: 

sudo mos-auth-config disable
sudo mos-auth-config enable
Источник — https://it-help-school.ru/index.php?title=Авторизация_в_МОС12_через_school.mos.ru&oldid=2683