Пума Тайланд, я имею ввиду в моём случае это не дефолтный тимплейт.
предлагаете в этом выключить мониторинг cpu, прицепить дефолтный и там выключить мониторинг всего кроме загрузки cpu?
Сергей Тарасов, так ведь права sudoers это вроде как только про консоль, разве нет?
и они у меня настроены, с точки зрения выдача судошных права доменным пользователям
а мне надо polkit'ом как-то централизованно рулить
Сергей Тарасов, пока смог завести так
---------
[Do anything you want]
Identity=unix-group:*
Action=*
ResultAny=yes
ResultInactive=yes
ResultActive=yes
Эти манипуляции с полиси я знаю, но мне не очень подходит под каждый запрос делать своё полиси(специфика в сотни vm и в каждой править, это так себе), я нашел более радикальный способ вообще избавиться от этих запросов вот но там всё упирается, как я писал выше в группы, по логике AD группа, это же не unix группа, всё упирается в синтаксис, если вообще это можно реализовать в рамках НЕ локальной группы......простые варианты в виде unix-group:* я пробовал, толку- нет
accountnujen, цитата- "VDI, или виртуализация рабочих мест, — это концепция, в которой данные с ПК сотрудника хранятся централизованно, а у каждого сотрудника ПК виртуальный."
У нас у компании удалёнка и сотрудникам выдаются эти самые VDI, только пока на виндах, я готовлю образ на линуксах)
есть ман самописный, надо поделюсь)
ЗЫ тормозов у меня нет точно, да чуть хромает плавность по сравнению с виндовым RDP, но это не критично
Алексей Харченко, буду изучать эту тему, просто выше я предложил сходу рабочий вариант без "страданий" ))
Вам Алексей спасибо за вовремя подсказанное направление! )
Алексей Харченко, с локальными пользователями я так понимаю это взлетает без проблем, но у меня пользователи из AD, физически они не созданы на хосте и следовательно надо прикрутить доменную группу, с этим я думаю у меня проблемы связаны
расскажу о своём решении, оно не совсем верно с точки зрения безопасности, но она работает с AD пользователями!
Что удалось узнать и решить
1. За приложухи и права в гуях отвечает polkit и его политики, у меня в deb дистрибе Mint они хранятся тут /usr/share/polkit-1/actions
2. Сделал резервную копию всех файлов на всякий
3. Стуация как на скрине
spoiler
4.Находим файл с похожим именем, в нашем случае ищем org.opensuse.cupspkhelper.mechanism.devices-get(как на скрине), но файла именно с таким именем может не быть, в нашем случае есть файл org.opensuse.cupspkhelper.mechanism.policy заходим внутрь и видим, что там куча политик для подключений принтеров, внутри ищем нужную нам org.opensuse.cupspkhelper.mechanism.devices-get
spoiler
5. Нашли, мотаем вниз данной политики до строк как на скрине ниже и меняем значение в строке allow_anyauth_adminallow_any на yes сохраняем файл и можно сразу проверить будет ли приложение просить рутовый права(перезагружаться и перелогиниваться не надо, применяются на лету)
spoiler
После тестов с данной схемой, AD пользователи без рутовых прав могут нормально выполнять базовые вещи, по аналогии правятся и другие политики. Что из не правильного, как я понял из многочисленной документации и читки гугла, так править неверно, верно создавать новые политики в папке /usr/share/polkit-1/rules.d там создавать файлы вида 01-my_policy.rules и уже внутри писать такого вида полиси
где if (action.id == "org.opensuse.cupspkhelper.mechanism.devices-get" имя политики которой нужно дать права в переменной return polkit.Result.YES;
но я это завести так и не смог, особенно не совсем ясно как прописывать доменные группы.
Adamos, хм, я же написал пользователи из AD(Active Directory) система указана ОС-Mint/Ubuntu
права рутовы- попробуйте без них добавить принтер
не понятно, что Вам не понятно из описания?
