реализация файлового сервера astra linux

[GoldNuts]

HQ-SRV:
Создаём директории для общих папок:
Sudo mkdir /opt/{branch,network,admin}
Задаём права на созданные директории:
Sudo chmod 777 /opt/{branch,network,admin}
Задать владельцев на созданные папки соответствующих названию доменных пользователей: sudo chown admin:admin /opt/admin
sudo chown branch_admin: branch_admin /opt/ branch
sudo chown network_admin: network_admin /opt/ branch
Если при инициализации сервера (реплики) FreeIPA не была применена опция установки и настройки samba, то это можно сделать после инициализации:
Получить для суперпользователя билет Kerberos администратора домена:
sudo kinit admin Ввести пароль от пользователя домена admin -P@ssw0rd
Действуя с правами суперпользователя выполнить установку:
sudo ipa-adtrust-install --add-sids --add-agents
Зайти в конфигурационный файл samba sudo nano /etc/samba/smb.conf
заменить "config backend = registry" на "include = registry".
Cоздать общие папки: Branch_Files, Network, Admin_Files в виде тестовых файлов: sudo nano Branch_Files.txt
[Branch_Files]
path = /opt/branch
writable = yes
read only = no
valid users = branch_admin
sudo nano Network.txt
[Network]
path = /opt/network
writable = yes
read only = no
valid users = network _admin
sudo nano Admin_Files.txt
[Admin_Files]
path = /opt/admin
writable = yes
read only = no
valid users = admin
Импортировать созданные описания ресурсов в конфигурацию samba:
sudo net conf import share.txt share
BR-SRV:
nano /etc/resolv.conf добавить Nameserver 8.8.8.8
Так как общие ресурсы реализованы, через smb (CIFS) - установим пакет cifs-utils: sudo apt install cifs-utils
Устанавливаем pam_mount: sudo apt install libpam-mount
Устанавливаем правило монтирования ресурса в файле /etc/security/pam_mount.conf.xml: sudo nano /etc/security/pam_mount.conf.xml

В строках <volume uid=“admin” я указывал учётную запись доменного пользователя. Строка
fstype=”cifs” общая для всех разделов, так же как и строка options=”sec=krb5i,cruid=%(USERUID),nounix,uid=%(U SERUID),gid=%(USERUID), file_mode=0770,dir_mode=0770”/>
path="" — имя файлового ресурса;
server="hq-srv.hopin.sa" — имя сервера с ресурсом;
mountpoint="/mnt/All_files" — путь монтирования.
Проверка:
Зайти из под пользователей admin, branch_admin,network_admin и ввести команду:
Df – будет выведен список примонтированных папок. В случае правильной настройки среди примонтированных папок для пользователя branch_admin будет ресурс:

Для других пользователей network_admin и admin должен быть перемонтирован соответствующий ресурс. Для администратора, у меня это user, ничего не должно отображаться: