LINUX.ORG.RU
ФорумAdmin

Автомонтирование сетевых ресурсов на многоюзерской рабочей станции

 , , , pam-mount


1

2

Привет, ЛОР.
Топик создаю, чтобы формализовать и более-менее серьезно обсудить вопрос из соседней темы, в которой по причине отсутствия читаемой формулировки вопроса закономерно образовался зоопарк, шапито и варьете с гопаком.

Итак. У нас есть сеть. В сети есть ряд (обязательно более одной!) файлопомоек, протокол, допустим, не имеет значения. Есть сервер каталога, авторизующий юзеров.

Юзеры в организации слоняются между рабочими местами туда-сюда совершенно непредсказуемым образом (допустим, это магазин с продавцами, которые постоянно друг друга подменяют, работают по гибкому графику и увольняются раз в неделю, плюс к ним иногда вламывается кто-то из менеджеров и сидит на первом попавшемся компе). Это суровая данность, и никуда от нее не деться.

В каталоге юзеры аккуратно рассованы по некоторому количеству групп.

Допустим, мы хотим, чтобы каждый юзер, в зависимости от членства в группе, получал свой набор смонтированных сетевых ресурсов, прозрачно, не совершая никаких дополнительных действий, сразу после успешного логина.

Как бы вы организовали подобное, чтобы с минимумом действий и максимальной простотой внесения изменений? Очень прошу мало-мальски развернуть ответ, а не тупо скопипастить какой-нибудь из тегов, например.

ЗЫ. А что, теги с нижним подчеркиванием нельзя? Ну и будет теперь дурацкий pam-mount, раз такое дело.

★★★★★

Последнее исправление: thesis (всего исправлений: 2)
Ответ на: комментарий от sdio

А вдруг «еще одна» окажется ващеваще идеально подходящей для. А я такой сижу и не знаю про ее существование.

thesis ★★★★★
() автор топика
Ответ на: комментарий от ivanlex

А чего было «хотеть» и «намекать» - бери да пиши.

thesis ★★★★★
() автор топика
Ответ на: комментарий от thesis

Но ведь это велосипед.

Весь Линукс из велосипедов состоит. Один велосипед только прыгает. Другой ездить только в право, третий только назад. Если тебе не подходит готовый велосипед из поставки, переделываешь один из существующих или пишешь собственный.

В этом и прелесть Линукса. Все для нужд каждого предугадать нельзя. Так что, это корректное решение.

Я тебе еще в прошлом треде такое предлагал. Можно написать красивейший скрипт, который будет стучаться в службу каталогов, спрашивать что за юзер меня запустил, в какой он группе и какие каталоги ему нужны, и монтировать их.

Красота в том, что написав шаблонные файлы ответов, и сложив их на сервер, ты можешь потом всем рулить из одного места.

--------------------------------------------------------------

А можно просто настроить самбу, что бы она определенным группам показывала только определенные каталоги. Дать в самбе на эти каталоги полный доступ, и правами рулить средствами ФС.

Тогда и скрипты писать не надо. Выложить на раб стол кнопки, открывающие содержимое шар в файловом диспетчере. Остается только настроить, что бы пользователю не выдавался повторный запрос доменного пароля в течении одной сессии.

Результат, на всех ПК на раб столах значки: «Сервер1, Сервер2, Сервер3».
Залогинился пользователь ПетровВМ, открывает Сервер1, а там на него шары смотрят: «Для Петрова», «Отчеты Петрова», «Заспоряжения Петрова»; открывает Сервер2, а там ничего, потому что делать ему там нечего.
Залогинилась пользователь ИвановаСМ, и у нее на всех Серверах свои шары. Залогинился их начальник КозловСВ, и на всех серверах все шары.

Чем не вариант? Пробуй.

Вариант Эдди тоже кошерен. Скрипт куда угодно засунуть можно, хоть в автозагрузку DE. Если его грамотно написать, им потом удобно рулить можно. При наличии одного скрипта, не нужно захламлять рабочий стол значками. Монтировать нужно однозначно в fuse, но не обязательно nfs использовать, можно использовать любой протокол. Исключи только те, которые не сможешь поднять на файловых серверах. Одна из заповедей админа — однообразие. Не очень грамотно, когда у тебя один сервер по sshfs, другой по nfs, третий по webdav, да еще парочка smb в придачу. Выбери оптимальный.

Удачи!

ivanlex ★★★★★
()
Ответ на: комментарий от emulek

Юзеры в организации слоняются между рабочими местами

1. это бардак

У нас есть целый зал, где юзеры мотаются между ПК. Бывают необходимости, без которых не обойтись. Увы. Нужно как то к этому приспосабливаться. Для того мы и айтишники, что бы в самый невероятных условиях эксплуатации, все работало как надо.

ivanlex ★★★★★
()
Ответ на: комментарий от sin_a

А если у тебя user1 садится на все машины по очереди и на каждой имеет разную историю браузера, разные настройки программ, разные файлы (кроме сетевых), то этот пользователь несчастен. А несчастный пользователь это неправильно организованная рабочая среда.

В некоторых организациях, пользакам шатунам запрещено (просто нет доступа), сохранять файлы локально (корпоративные ресурсы на что?), и история браузера очищается при разлогине.

В Линухах такую ситуацию легко разрулить сетевыми профилями, а вот масдайным доступен только перемещаемый профиль, который пол дня загружается, перемещаясь на рабочую станцию, и еще пол ночи перемещается назад.

ivanlex ★★★★★
()
Ответ на: комментарий от emulek

засунуть туда(в локальных хомяк) ssh ключ дворника.

Так вот почему ты так любишь ssh. Но ведь это небезопасно. ssh из локального хомяка могут спереть и использовать злоумышленники.

Но сама идея шикарна, если исключить возникновение локальных хомяков. В этой идее идеальными будут сетевые хомяки на отдельном сервере, подключаемые шары на отдельных файловых серверах и много много машинок, на которых даже hdd после этого можно снять.

ivanlex ★★★★★
()
Ответ на: комментарий от thesis

Я вот тоже ищу такую «ваще-ваще» вещь. Только в другой области. Но похоже, придется пользоваться тухлым фруктом, потому, что ничего другого и нет.

ivanlex ★★★★★
()
Ответ на: комментарий от sdio

Если пользователей, скажем сотни 3, и ПК так же сотни 3. И сегодня картина одна, а завтра другая, то не реально все ручками делать каждый раз. В этом я с ТС согласен.

Нужно придумать некий хитрый план, что бы все бралось и рулилось из одного места. Можно придумывать все с нуля, а можно взять готовое решение, которое придумали до тебя и адаптировать под себя.

Проблема у ТС в том, что он пока просто не может определиться с реализацией. Смешно, что он у нас спрашивает совет. А ведь один из нас пробовал одну реализацию, и будет хвалить ее, другой пробовал другую.

В общем и этот тред не даст ТС ничего. Потому, как специально для него, никто допиливать не будет. А сам он не пробует. Во всяком случае, отписок, что дескать этот вариант попробовал, не катит — нет.

Вот если бы он пробовал, или отвергал, с конструктивным вердиктом, дескать это не подходит, потому-то и потому-то, а это не работает, потому-то; вот тогда это был бы интересный тред. Можно было бы дать конкретный совет, указать направление, увидеть ошибки ТС, запомнить их, и не допустить в будущем самому.

Но здесь только обсусоливание и нытьё.

ivanlex ★★★★★
()
Последнее исправление: ivanlex (всего исправлений: 1)
Ответ на: комментарий от ivanlex

Без конкретного ТЗ и нечего начинать тут что-то придумывать, зная ЛОР, задание и условия будут меняться каждые 5 минут.

sdio ★★★★★
()
Последнее исправление: sdio (всего исправлений: 1)
Ответ на: комментарий от sdio

ТС не хочет ТЗ, ведь за реализацию ТЗ, с него USD просят.

ivanlex ★★★★★
()
Ответ на: комментарий от thesis

Я про клиентов, умеющих монтировать шары, не знаю.

openldap AFAIK. Хотя с клиентами ситуация действительно туманная, даже с openssh и то проще.

emulek
()
Ответ на: комментарий от sin_a

ну я тут ещё одну схему придумал:

1. раздаём всем сотрудникам по флешке, с /.ssh/ и небольшим скриптом

2. делаем на каждом компе гостевую учётку с доступом только в свой хомячок.

3. сотрудник втыкает флешку, и запускает с неё скрипт. Скрипт создаёт симлинк ~/.ssh/, и каталог ~/my/, куда и монтирует по sshfs каталог с сервера(используя свой ключ)

4. сотрудник работает со своими документами в ~/my/

5. в конце сотрудник размонтирует ~/my/, вынимает флешку, и уходит.

В принципе тут нужно всего 3 клика на сеанс:

1. монтируем флешку
2. запускаем скрипт
3. запускаем размонтирующий скрипт.

Что скажите на данный вариант?

emulek
()
Ответ на: комментарий от ivanlex

Так вот почему ты так любишь ssh. Но ведь это небезопасно. ssh из локального хомяка могут спереть и использовать злоумышленники.

1. ключ ты можешь таскать с собой, и сувать в чужой хомяк только симлинк

2. на ключ можно повесить пассфразу, которую знают только дворники.

Но сама идея шикарна, если исключить возникновение локальных хомяков. В этой идее идеальными будут сетевые хомяки на отдельном сервере, подключаемые шары на отдельных файловых серверах и много много машинок, на которых даже hdd после этого можно снять.

да. У меня нетбук так работает. Хомяк в tmpfs. Расшифровывается на загрузке из флешки. HDD/SSD отсутствует. В принципе можно вообще сделать всё на сервере, проблема только в интернете, который существует не везде(впрочем, это вопрос времени. У меня в Питере, в центре, вероятность открытого wifi составляет около 50%. Т.е. это уже не проблема — достаточно сесть на другую скамейку). Очевидно, для стационарной техники это уже давно вопрос решённый.

PS: сейчас вот пилю сетевую ФС, дабы эти HDD не простаивали, а работали как один глобальный. А то сегодняшние решения мне тоже не по нраву — вылетает центральный сервер, и всё накрывается ЖПП. Это тем более обыдно, когда у нас Over9000 компов с HDD простаивают.

emulek
()
Ответ на: комментарий от ivanlex

Нужно придумать некий хитрый план, что бы все бралось и рулилось из одного места.

нинужно.

Ибо когда твой центральный сервер даст сбой, ВСЕ твои компы превратятся в тыкву.

emulek
()
Ответ на: комментарий от sdio

Без конкретного ТЗ и нечего начинать

да. Потому я буду пилить своё ТЗ, а на мнение ТСа мне насрать. Пусть обижается, но он даже составить ТЗ ниасилил.

emulek
()
Ответ на: комментарий от ivanlex

Мне кажется, что ТС не оценит. Для него затратно. Флешки, они же денег стоят.

на всё про всё хватит 20К. Такой объём есть в самом дешёвом Fly TS107, за 1300руб. Там 1100К без SDфлешки.

emulek
()
Ответ на: комментарий от emulek

Если бы у ТС было 20к на реализацию поставленной задачи, он бы не ныл тут. Давно бы уже в job запостил, хотя возможно жаба душит сильнее.

ivanlex ★★★★★
()
Ответ на: комментарий от emulek

сейчас вот пилю сетевую ФС, дабы эти HDD не простаивали, а работали как один глобальный.

Так вроде бы уже было такое у кого-то, кажется даже у Бобер Корп. Там даже вроде с избыточностью, что если половина серверов помрет, все равно все работать будет. Погугли, авось найдешь, зачем второй раз писать уже написанное.

ivanlex ★★★★★
()
Ответ на: комментарий от emulek

Ибо когда твой центральный сервер даст сбой

А вот в этом и состоит задача айтишника, следить за оборудованием, бэкапить важное и быстро-быстро разворачивать, когда что-то даст сбой.

А что бы сбоя не было, нужно сервер дублировать. Всегда должен быть резервный сервер. Что если первый отрубится, то для пользаков ничего не изменится.

ivanlex ★★★★★
()
Ответ на: комментарий от ivanlex

Если бы у ТС было 20к на реализацию поставленной задачи, он бы не ныл тут. Давно бы уже в job запостил, хотя возможно жаба душит сильнее.

я имел ввиду 20килобайт, которые есть в телефоне любого бомжа.

emulek
()
Ответ на: комментарий от ivanlex

Так вроде бы уже было такое у кого-то, кажется даже у Бобер Корп. Там даже вроде с избыточностью, что если половина серверов помрет, все равно все работать будет. Погугли, авось найдешь, зачем второй раз писать уже написанное.

та я в курсе. У меня лучше будет. Несколько другая идея принципиально.

emulek
()
Ответ на: комментарий от ivanlex

Если бы у ТС было 20к на реализацию поставленной задачи, он бы не ныл тут.

Ты такой трогательный, чувак :)

thesis ★★★★★
() автор топика
Ответ на: комментарий от ivanlex

А что бы сбоя не было, нужно сервер дублировать. Всегда должен быть резервный сервер. Что если первый отрубится, то для пользаков ничего не изменится.

больно расточительно. Два сервера стоят вдвое дороже, а работают как один. А ещё к ним нужно два независимых канала связи. Да и должны они быть в разных ДЦ, а лучше — в разных странах. Лучше распилить инфу на куски и раскидать по рандомным клиентам. Тогда центральный сервер просто не нужен.

emulek
()
Ответ на: комментарий от emulek

В твоем случае, вывод части машин приведет к потере информации. Раз уж ты отвергаешь необходимую избыточность.

ivanlex ★★★★★
()
Ответ на: комментарий от emulek

Ибо когда твой центральный сервер даст сбой, ВСЕ твои компы превратятся в тыкву.

А redundancy, репликация и прочие фишки - это всё красивые слова, в реальности ничего этого нет, да-да-да.

*посмотрел на свой маленький кластер из 3 нод для виртуалок

Pinkbyte ★★★★★
()
Ответ на: комментарий от ivanlex

Раз уж ты отвергаешь необходимую избыточность.

нет конечно!

1. естественно будет применяться RS код Который позволит записывать 146..200% информации, а извлекать 100%.

2. вероятность хранения блока в одном из N хранилищ будет не 1/N, а x/N, где x>1.

3. выбитый узел сети будет автоматически затягиваться, его функциональность ложится на соседние. Т.е. потерянные данные буду восстанавливаться окрестностью.

emulek
()
Ответ на: комментарий от Pinkbyte

Я просто оставлю это здесь, на правах регулярного пользователя данной фичи - http://code.google.com/p/openssh-lpk/

спасибо. Я как раз ждал такого пользователя как ты.

emulek
()
Ответ на: комментарий от Pinkbyte

А redundancy, репликация и прочие фишки - это всё красивые слова, в реальности ничего этого нет, да-да-да.

есть конечно. Я же не отрицаю... Как раз наоборот. Если ты не понял, я против топологии «звезда», в которой есть какой-то отдельный главный сервер, на который ВСЁ и завязано.

emulek
()
Ответ на: комментарий от ivanlex

Проблема в том, что pam_mount.conf.xml работающий пока в дебиане, центосе 5 ветки. убунте 10,04 не пашет на upstart и systemd...

erzent ☆☆
()
Ответ на: комментарий от erzent

Тогда у тебя 2 варианта, или помунять дистрибутив на клиентских машинах, или использовать другую технологию, которая будет работать везде.

ivanlex ★★★★★
()
Ответ на: комментарий от erzent

Специально сейчас поставил на виртуалку ubuntu 13.10 и... все работает. Да и как вообще может быть связана система инициализации с работой pam модулей?

menzoberronzan
()
Ответ на: комментарий от ivanlex

вот в том и вопрос, что эта за технология, которую одобрит СБ, тк скриптовелосипеды они не приемлют, по понятным причинам, а сидеть на старом софте в десктопе не вариант.

erzent ☆☆
()
Ответ на: комментарий от erzent

Я тебя не совсем понял, но у меня это выглядит так:
Имеем 3 шары //fileserver1/share, //fileserver2/share, //fileserver3/share.
На каждой шаре есть куча директорий, каждая из которой принадлежит какой-то группе в AD.
В pam_mount.conf.xml прописаны след строки:

<volume fstype="cifs" server="fileserver1.domain" path="share" mountpoint="/home/DOMAIN/%(USER)/Desktop/share на fileserver1" options="user=%(USER),iocharset=utf8,rw" />
<volume fstype="cifs" server="fileserver2.domain" path="share" mountpoint="/home/DOMAIN/%(USER)/Desktop/share на fileserver2" options="user=%(USER),iocharset=utf8,rw" />
<volume fstype="cifs" server="fileserver3.domain" path="share" mountpoint="/home/DOMAIN/%(USER)/Desktop/share на fileserver3" options="user=%(USER),iocharset=utf8,rw" />
После того как пользователь залогинился - он на рабочем столе видит 3 шары и в каждой шаре — директории к которым он имеет доступ

menzoberronzan
()
Ответ на: комментарий от emulek

Если смотреть с точки зрения пользователя то флешка это:

  • лишнее действие (физическое и логическое),
  • возможность утраты (повреждения или утери),
  • возможность утечки,
  • возможность перепутать флешки разных пользователей (случайная или намеренная).

В общем, решение может иметь место, но мне не очень нравится.

sin_a ★★★★★
()
Ответ на: комментарий от emulek

Ибо когда твой центральный сервер даст сбой,

Он будет тут же заменён дублирующим, на время восстановления мастера.

Как не было дублирующего?

sin_a ★★★★★
()

Мне самому интересен ответ на этот вопрос. Действительно непонятно, как это сделать. Мне лично нужно ещё, чтобы и selinux метки нормально пробрасывались. Я раньше очень полагался на эту технологию, но постепенно изучаю её и понимаю, что это не то.

Наш главный админ придерживается идеи использовать sshfs с авторизацией по ключам, автомонтирование прописать в .bashrc или .bashprofile.

vitalyisaev2
()
Ответ на: комментарий от emulek

И что ты будешь делать когда пользователь протеряет/поломает флешку с нужными документами? Как предлагаешь бэкапить весь этот зоопарк?

user_undefined
()
Ответ на: комментарий от erzent

Пиши скрипты на компилируемом языки и собирай бинарники. Бинарники то почему не одобрят? Боятся, что кто-то левый скрипты подправит? Собирай бинари, пользователи бинари править точно не будут.

ivanlex ★★★★★
()
Последнее исправление: ivanlex (всего исправлений: 1)
Ответ на: комментарий от ivanlex

Если бы у ТС было 20к на реализацию поставленной задачи, он бы не ныл тут.

Как вы можете с серьёзными рожами что либо обсуждать если после двух тредов и явного разжевывания thesis'ом не понимаете, что это тема jff, просто потрындеть.

J ★★★★★
()
Ответ на: комментарий от J

Как ты можешь с таким умным видом не понимать, что мы всё понимаем и, собственно, показали что все инструменты в наличие, осталось только реализовать jff или для profit, кому что ближе.

sdio ★★★★★
()
Последнее исправление: sdio (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.