Создание доменного правила регистрации

съемных устройств хранения данных

Регистрация съемных носителей съемных устройств в домене FreeIPA осуществляется из web-интерфейса управления контроллера домена путем создания доменных правил для носителейустройств. Для регистрации носителя необходимоустройств необходимо:

1. Открыть web-интерфейс управления доменом;
2. Выбрать раздел "Политика" → "Политика PARSEC";
3. Выбрать в выпадающем списке "Учтенные устройства" ("Registered devices"):
   
4. Задать удобное имя регистрируемого носителяустройства, а также права доступа для пользователя и группы:
   
5. Значение параметра "Device attributes" необходимо скопировать из графической утилиты "Политика безопасности". Для этого выполнить следующие действия:
   1. Запустить утилиту "Политика безопасности": "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности".
      Предупреждение о том, что компьютер находится под управлением домена можно игнорировать;
   2. Выбрать раздел "Устройства и правила" → "Устройства", затем нажать кнопку добавления устройства и следовать подсказкам мастера:
      

   3. При запросе мастера подключить устройство и выбрать появившееся устройство:
      

      Примечание
      Обращаем внимание, что необходимо прервать создание локального правила в  "Политика безопасности" (fly-admin-smc) без сохранения изменений.

      
      

   4. Скопировать значение правила определения устройства:
      

   5. Перейти в web-интерфейс FreeIPA и вставить скопированное правило определения устройства:

      Предупреждение
      Служебная доменная группа ipausers не является полноценной группой (POSIX-группой), не имеет числового идентификатора (GID), и поэтому неприменима при учете устройств. Для учета устройств рекомендуется создать отдельные доменные POSIX-группы (группы, имеющие GID).

      
      

   6. Выставить чек-бокс "Device is ON" и сохранить правило.

Подготовка

устройств хранения данных для работы

Сценарий подготовки

файловых систем ext4/xfs для работы c несколькими различными классификационными метками

Для подготовки USB-носителя файловой системы к работе с несколькими различными классификационными метками можно использовать следующий сценарий:

#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#multilevel
pdpl-file 3:0:-1:ccnr /media/usb/
mkdir /media/usb/{0,1,2,3}
pdpl-file 0:0:0:0 /media/usb/0
pdpl-file 1:0:0:0 /media/usb/1
pdpl-file 2:0:0:0 /media/usb/2
pdpl-file 3:0:0:0 /media/usb/3
chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3}
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

Для подготовки носителяфайловой системы:

1. Сохранить сценарий в файле multilevel.sh;
2. Откорректировать значение переменной USERNAME, указав имя пользователя, для которого подготавливается носительустройство;
3. Откорректировать значение переменной DEVICE, указав имя устройства;
4. По необходимости откорректировать значения назначаемых классификационных меток;

5. Сделать сценарий исполняемым выполнив команду:

   Блок кода
   $ sudo chmod +x multilevel.sh

   
   

6. Запустить сценарий от имени суперпользователя (суперпользователя с высоким уровнем целостности при включенном МКЦ):

   Command
   sudo ./multilevel.sh

   
   

7. Создать глобальные правила в web-интерфейсе управления доменом для каждого из созданных уровней:

Сценарий подготовки  USB

накопителей ext4/

xfs для работы с одной классификационной меткой

Для подготовки USB-носителя для накопителя для работы на одном (например, втором) уровне конфиденциальности можно использовать следующий сценарий:

#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
PDPLABEL="2:0:0:0"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#one level
pdpl-file $PDPLABEL /media/usb/
chown -R ${USERNAME}:${USERNAME} /media/usb/
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

Для подготовки носителяфайловой системы:

1. Сохранить сценарий в файле singlelevel.sh;
2. Откорректировать значение переменной USERNAME, указав имя пользователя, для которого подготавливается носительустройство;
3. Откорректировать значение переменной DEVICE, указав имя устройства;
4. Откорректировать значение переменной PDPLABEL, указав назначаемую классификационную метку;

5. Сделать сценарий исполняемым выполнив команду:

   Блок кода
   $ sudo chmod +x singlelevel.sh

   
   

6. Запустить сценарий от имени суперпользователя (суперпользователя с высоким уровнем целостности при включенном МКЦ):

   Command
   sudo ./singlelevel.sh

   
   

7. Создать глобальные правила учета устройства в web-интерфейсе управления доменом для необходимого уровня по методике описанной ранее.

Создание доменной группы пользователей для разрешения полуавтоматического монтирования

Для создания доменной группы пользователей, участие в которой разрешает пользователям полуавтоматическое монтирование (см. Съемные устройства хранения данных в Astra Linux):

1. Создать доменную группу с именем floppy и номером 25. Это можно сделать в графическом web-интерфейсе FreeIPA или при наличии билета Kerberos администратора домена командой:

   Command
   ipa group-add floppy --gid=25

   
   

2. Включить пользователей, которым должна быть предоставлена возможность полуавтоматического монтирования, в созданную группу.  Это можно сделать в графическом web-интерфейсе FreeIPA или при наличии билета Kerberos администратора домена командой:

   Command
   ipa group-add-member floppy --users=<имя_пользователя>

   Права, предоставляемые участием в группе, будут применены при следующем входе пользователя.