Soporte #885
permisos directorios usuarios
#1 Actualizado por Arturo Martin hace alrededor de 7 años
Hola Pablo!!!
A priori, como tu dices, la política "por defecto" de Ubuntu de conceder permisos 755 a los HOME de los usuarios puede ser un problema en el caso de que se haga un uso multiusuario del equipo (nosotros no solemos tener ese problema ya que en los centros donde hay Vitalinux, los usuarios que acceden al sistema son siempre o "profesor" o "alumno" dependiendo del uso que le dan al equipo).
De manera local, entendemos que la solución pasa por simplemente ejecutar un: "chmod 750 /home/nombre-usuario" (no hace falta que sea recursivo, con restringir los permisos a nivel de HOME el resto de usuarios ya no podrán acceder al resto). Eso nosotros te lo podemos configurar mediante migasfree para que sólo puedan acceder a su HOME su propietario y nadie más (y el root, claro).
En relación al dominio, entendemos que el "perfíl del usuario es móvil", y que por tanto esta almacenado en el lado del servidor, por lo que habrá que restringir los permisos del directorio HOME en el lado del servidor.
¿Te estamos contestando? Ya nos dirás!!!
Hablando sobre este asunto con Nacho nos ha venido a la mente que tenemos pendiente el hacer todo tipo de pruebas contra un controlador de dominio Windows ... hemos decidido (esperamos que se así) que a la vuelta de los pilares nos ponemos con ello, ya que ahora mismo tenemos otros frentes abiertos que deberíamos atacar cuanto antes.
Seguimos en contacto Pablo!!! Gracias por la confianza depositada en nosotros!!!
#2 Actualizado por Pablo Barrabes Elrio hace alrededor de 7 años
Hola Arturo:
Muchas gracias por la respuesta.
Los perfiles de usuario no los hago móviles, es demasiado trafico para lo que necesitamos. Las MV lo liarían mucho. Ademas normalmente se sientan en el mismo equipo y sus documentos los guardamos en el drive asociado a su correo de pirámide. Los perfiles están almacenados en local en una carpeta denominada piramide.local en la carpeta home.
Lo que me vendría bien es si se pudiera configurar para todos los equipos que solo cada usuario pudiera acceder a su Home. El problema es que por defecto los usuarios de dominio comparten grupo principal, por tanto supongo que debería hacer un "chmod 700 /home/PIRAMIDE.LOCAL/*" lo pruebo en uno y si funciona os aviso.
#3 Actualizado por Pablo Barrabes Elrio hace alrededor de 7 años
Ya he probado chmod 700 /home/PIRAMIDE.LOCAL/* se ajustan los permisos como a mi me gusta, lo de 700 es para evitar que todos los del mismo grupo accedan. En este caso "Usuarios del Dominio" es el grupo principal de todos los usuarios de dominio.
El problema del perfil que no se crea bien se soluciona al reiniciar. No se el motivo. Pero rula por lo que no me preocupo mas.
Os pongo el enlace de como he unido al dominio la maquina en la que estoy probando. No he seguido los pasos del manual de ubuntu (que funciona) por usar un método mas directo.
Lo he tomado del sitio https://www.boscolopez.com/integrar-ubuntu-16-04-con-active-directory/
Los pasos finales no los he realizado por que no me hacia falta restringir usuarios y en vitalinux el lightdm no hace falta apañarlo. El resto tal cual sin mas que cambiar los datos a mi dominio. Para la vuelta del Pilar voy a intentar meterlo todo en un script para unir mas rápido a los equipos, ya os contare. Si va os mando los pasos exactos que realizo.
Cuando podáis me vendría bien que añadierais el "chmod 700 /home/PIRAMIDE.LOCAL/* de forma automática así cuando en algún equipo se cree un home nuevo ya se ajustan solos. También para evitar el mismo efecto en los usuarios locales un "chmod 700 /home/*".
También tengo impresora nueva en sala de profesores, pero eso os lo pongo en incidencia nueva que sera mas organizado el tema.
#4 Actualizado por Arturo Martin hace alrededor de 7 años
Hola de nuevo Pablo!!!
Ya te he configurado los permisos tal como los has solicitado para los HOME de los usuarios. De esta forma, cualquier equipo de tu centro etiquetado como SEC-PIRAMIDE se le asignarán los permisos 700 a todo lo que cuelga del /home.
Respecto al script de agregar un Vitalinux al dominio, en cuanto lo tengas nos lo pasas (si te parece bien), ya que si no es interactivo (que entiendo que no lo será), podemos automatizarlo a través de migasfree, de tal forma que podemos decirle a migasfree que todo equipo que tenga etiqueta que tu nos indiques sea agregado automáticamente al dominio ejecutando el script correspondiente. En el caso de que tenga parte interactiva, porque pueda pedir datos del dominio, IP del controlador, etc ... tan sólo habría que saber que fichero acaba configurando y hacerlo nosotros "por debajo". Es decir, que cuando lo tengas, si no consigues que sea "desatendido", nos lo puedes pasar, nosotros lo inspeccionaremos y trataremos de convertirlo de interactivo en desatendido.
Respecto a las impresoras, cuando quieras nos volvemos a conectar en remoto y configuramos lo que haga falta!!
Seguimos en contacto!!! Disfruta del puente!!!
#5 Actualizado por Pablo Barrabes Elrio hace alrededor de 7 años
Hola Arturo:
Podrías poner despues también un chmod 700 /home/PIRAMIDE.LOCAL/*
con el chmod 700 /home/* se me cascan los permisos de los usuarios de dominio, de momento solo a mi que soy el que lo esta probando.
Otra opción seria hacer que los home de usuarios de dominio colgaran de home directamente, pero si no es mucho problema prefiero tenerlos diferenciados.
En los equipos que aun no están en el dominio va perfecto.
Un saludo
#6 Actualizado por Arturo Martin hace alrededor de 7 años
Hola Pablo!!!
Ya te he añadido lo que me has solicitado: chmod 700 /home/PIRAMIDE.LOCAL/*
Entiendo por lo que me dices que el chmod 700 /home/* lo dejo, no??? Ya me dirás!! Si es necesario hablamos un rato por teléfono para ajustar lo que necesites.
Seguimos en contacto!!
#7 Actualizado por Pablo Barrabes Elrio hace alrededor de 7 años
Hola Arturo:
Igual te llamo mañana ya que aun no queda bien lo de los permisos. Pero quiero probar yo antes para tener claro que funciona.
¿A que hora te puedo llamar mañana?.
De todas formas casi me corre mas prisa lo de la impresora. Quería probar en un equipo a cambiar la IP solo, ya que parece (al menos en windows) que tragan las RIcoh con un driver generico.
#8 Actualizado por Arturo Martin hace alrededor de 7 años
Hola Pablo!!
Creo que tienes mi teléfono personal, pero por si acaso: 635-61-31-87. Me puedes llamar cuando quieras!!!
Te miro lo de la impresora. Hablamos!!
#9 Actualizado por Arturo Martin hace alrededor de 7 años
Hola Pablo!!
Tal como hemos comentado vía telefónica te ajusto los permisos de la siguiente forma en todos tus equipos:
#!/bin/bash
if test -d /home ; then
chmod 700 /home/[^P]* //Modifica los permisos de todo lo que cuelga del "/home" a excepción de aquello que empiece por "P" mayúscula, que entiendo que únicamente es el directorio del dominio
fi
if test -d /home/PIRAMIDE.LOCAL ; then
chmod 777 /home/PIRAMIDE.LOCAL //Todos los permisos para que se puedan crear/guardar los perfiles de los usuarios
chmod 700 /home/PIRAMIDE.LOCAL/* //Restringimos los permisos de acceso a los perfiles de los usuarios para que sólamente puedan acceder sus propietarios
fi
Ya me dirás si te funciona y lo ves bien!!
Seguimos en contacto!!
#10 Actualizado por Pablo Barrabes Elrio hace alrededor de 7 años
De momento parece que va perfecto. Llevo un rato trabajando con un usuario y no noto nada raro.
Muchas gracias
#11 Actualizado por Arturo Martin hace alrededor de 7 años
Hola de nuevo Pablo!!
Cierro la incidencia entonces, aunque ya sabes que si lo crees conveniente la puedes reabrir cuando quieras, o abrir una nueva.
Saludos!!
Descripción
Hola:
Estoy con el tema de usuarios de AD en Vitalinux. Ya funciona relativamente bien (a falta de probarlo un poco mas). He utilizado un paquete denominado pbis-open en lugar de los pasos que indica ubuntu en su guía. Con este paquete se reducen las tareas a realizar y es mas rápido el unir un equipo al dominio.
El único aspecto que no sé resolver es el de los permisos de los home de cada usuario. Ni para los de dominio ni para los locales. Por defecto el contenido de los directorios de cada usuario es demasiado accesible para el resto de usuarios.
En el caso de los usuarios de dominio he intentado restringir esto siendo mas estricto en el umask con el que se crea el perfil . Pero entonces ocurre que el menú de inicio de vitalinux desaparece ya que no se crea en el perfil.
Si en el /etc/pam.d/common-session pongo la siguiente linea funciona todo bien al crear el home, pero el perfil es accesible para todos los usuarios de dominio.
session required pam_mkhomedir.so umask=0022 skel=/etc/skel.
Pero si modifico el umask para ser mas restrictivo. Por ejemplo quito los permisos al grupo y a otros 0077, entonces el perfil queda protegido, pero el menú de inicio de vitalinux no aparece.
No se si se os ocurre como ajustar esto de los permisos, también para los usuarios locales.
Un saludo
Pablo Barrabes