Справочный центр

Дерево страниц

Сравнение версий

Старая версия 26

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 27

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Общую информацию по работе со съемными устройствами хранения данных см. в статье Съемные устройства хранения данных в Astra Linux.


Информация
titleСтатья применима к:

Данная статья неприменима к Astra Linux Special Edition РУСБ.10015-10


Создание доменного правила регистрации съемных устройств хранения данных

Предупреждение

При поиске учтенных для пользователя устройств используется имя пользователя, под которым выполняется вход. Имя при входе может быть указано в краткой форме (без указания домена, например, user) или в полной форме (с указанием домена, например, user@astralinux.ru). Поиск всегда выполняется только в домене, в который входит пользователь.

  • Начиная с обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4) независимо от формы имени, указанной при входе, поиск учтенных устройств выполняется по краткому имени пользователя. Соответственно, при регистрации устройств следует использовать краткие имена. Именно в такой краткой форме (без указания домена) задаются имена владельцев устройств при регистрации устройств с помощью web-интерфейса FreeIPA, также имена в такой форме могут быть заданы при помощи интерфейса командной строки (команда ipa parsecdevice-add);
     
  • В более ранних обновлениях имя пользователя при поиске используется точно в той форме, которая указана при входе. То есть:
    • если пользователь выполняет вход без указания домена (например, user), то будут найдены устройства, учтенные для владельца user;
    • если пользователь выполняет вход с указанием имени домена (например, user@astralinux.ru), то устройства, учтенные для владельца user найдены не будут. При регистрации устройств имена их владельцев с указанием имени домена могут быть заданы с помощью интерфейса командной строки (команда ipa parsecdevice-add).

Регистрация съемных устройств в домене FreeIPA осуществляется из web-интерфейса управления контроллера домена путем создания доменных правил для устройств. Для регистрации устройств необходимоустройств:

  1. Открыть web-интерфейс управления доменом;.
  2. Выбрать раздел "Политика" → "Политика PARSEC";.
  3. Выбрать в выпадающем списке "Учтенные устройства" ("Registered devices"):
  4. Задать удобное имя регистрируемого устройства, а также права доступа для пользователя и группы:
  5. Значение параметра "Device attributes" необходимо скопировать из графической утилиты "Политика безопасности". Для этого выполнить следующие действия:
    1. Запустить утилиту "Политика безопасности": "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности".
      Предупреждение о том, что компьютер находится под управлением домена можно игнорировать;
    2. Выбрать раздел "Устройства и правила" → "Устройства", затем нажать кнопку добавления устройства и следовать подсказкам мастера:

    3. При запросе мастера подключить устройство и выбрать появившееся устройство:

      Примечание

      Обращаем внимание, что необходимо прервать создание локального правила в  "Политика безопасности" (fly-admin-smc) без сохранения изменений.

    4. Скопировать значение правила определения устройства:

    5. Перейти в web-интерфейс FreeIPA и вставить скопированное правило определения устройства:

      Предупреждение
      Служебная доменная группа ipausers не является полноценной группой (POSIX-группой), не имеет числового идентификатора (GID), и поэтому неприменима при учете устройств. Для учета устройств рекомендуется создать отдельные доменные POSIX-группы (группы, имеющие GID).

    6. Выставить чек-бокс "Правила учета включены" ("Device is ON").
    7. Сохранить запись, нажав кнопку "Добавить" и сохранить правило..
    8. Запись об устройстве будет отображена в списке учтенных устройств.
    9. При необходимости уточнить связанные с МРД параметры учета устройства выбрать устройство в списке и указать уровень конфиденциальности (по умолчанию - ноль), а также категории конфиденциальности, маски аудита и дополнительные правила идентификации устройства в соответствующих вкладках:
      Image Added
Предупреждение

После создания правил перед проверкой работоспособности правил в обязательном порядке необходимо отключить и повторно подключить устройство.

Подготовка устройств хранения данных для работы

ИнформацияРабота с несколькими различными классификационными метками возможна лишь с файловыми системами поддерживающими расширенные файловые атрибуты. Для USB-накопителей это файловые системы Ext2/Ext3/Ext4 (для Astra Linux Special Edition x.7 также файловая система xfs) . Подробную информацию по применению других файловых системам (NTFS, VFAT, )

в режиме учета

Порядок подготовки устройств хранения данных для работы в качестве учтенных устройств см. в статье Съемные устройства хранения данных в Astra Linux

.

Сценарий подготовки файловых систем ext4/xfs для работы c несколькими различными классификационными метками

Для подготовки файловой системы к работе с несколькими различными классификационными метками можно использовать следующий сценарий:

Предупреждение
При использовании сценария устройство будет отформатировано и находящиеся на нем данные удалены.
Блок кода
titlemultilevel.sh
#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#multilevel
pdpl-file 3:0:-1:ccnr /media/usb/
mkdir /media/usb/{0,1,2,3}
pdpl-file 0:0:0:0 /media/usb/0
pdpl-file 1:0:0:0 /media/usb/1
pdpl-file 2:0:0:0 /media/usb/2
pdpl-file 3:0:0:0 /media/usb/3
chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3}
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

Для подготовки файловой системы:

  • Сохранить сценарий в файле multilevel.sh;
  • Откорректировать значение переменной USERNAME, указав имя пользователя, для которого подготавливается устройство;
  • Откорректировать значение переменной DEVICE, указав имя устройства;
  • По необходимости откорректировать значения назначаемых классификационных меток;

    • Сделать сценарий исполняемым выполнив команду:

    Блок кода
    $ sudo chmod +x multilevel.sh

    Запустить сценарий от имени суперпользователя (суперпользователя с высоким уровнем целостности при включенном МКЦ):

    Command
    sudo ./multilevel.sh

  • Создать глобальные правила в web-интерфейсе управления доменом для каждого из созданных уровней:Image RemovedImage Removed

    • Сценарий подготовки  USB накопителей ext4/xfs для работы с одной классификационной меткой

    Для подготовки USB-накопителя для работы на одном (например, втором) уровне конфиденциальности можно использовать следующий сценарий:

    Предупреждение
    При использовании сценария устройство будет отформатировано и находящиеся на нем данные удалены.

     

    Блок кода
    titlesinglelevel.sh
    #!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
PDPLABEL="2:0:0:0"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#one level
pdpl-file $PDPLABEL /media/usb/
chown -R ${USERNAME}:${USERNAME} /media/usb/
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

    Для подготовки файловой системы:

  • Сохранить сценарий в файле singlelevel.sh;
  • Откорректировать значение переменной USERNAME, указав имя пользователя, для которого подготавливается устройство;
  • Откорректировать значение переменной DEVICE, указав имя устройства;
  • Откорректировать значение переменной PDPLABEL, указав назначаемую классификационную метку;

    • Сделать сценарий исполняемым выполнив команду:

    Блок кода
    $ sudo chmod +x singlelevel.sh

    Запустить сценарий от имени суперпользователя (суперпользователя с высоким уровнем целостности при включенном МКЦ):

    Command
    sudo ./singlelevel.sh
    Создать глобальные правила учета устройства в web-интерфейсе управления доменом для необходимого уровня по методике описанной ранее

    .

    Создание доменной группы пользователей для разрешения полуавтоматического монтирования

    Для создания доменной группы пользователей, участие в которой разрешает пользователям полуавтоматическое монтирование (см. Съемные устройства хранения данных в Astra Linux):

    1. Создать доменную группу с именем floppy и номером 25. Это можно сделать в графическом web-интерфейсе FreeIPA или при наличии билета Kerberos администратора домена командой:

      Command
      ipa group-add floppy --gid=25

    2. Включить пользователей, которым должна быть предоставлена возможность полуавтоматического монтирования, в созданную группу.  Это можно сделать в графическом web-интерфейсе FreeIPA или при наличии билета Kerberos администратора домена командой:

      Command
      ipa group-add-member floppy --users=<имя_пользователя>

      Права, предоставляемые участием в группе, будут применены при следующем входе пользователя.