История страницы

Оглавление

Информация

title	Данная статья применима к:

Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
Astra Linux Special Edition РУСБ.10015-17
Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Astra Linux Special Edition РУСБ.10015-16 исп. 1
Astra Linux Special Edition РУСБ.10015-16 исп. 2
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Astra Linux Common Edition 2.12

HBAC (Host-based access control) — набор правил для настройки доступа пользователей или групп пользователей к определенным хостам с использованием определенных сервисов. Например:

ограничение доступа по ssh к контроллеру домена определенной локации только для группы администраторов этой локации;
разрешение использовать только определенную службу для доступа определенным пользователям на определенных хостах.

Информация
Правила предоставляют только разрешения доступа. Правила запрета доступа настроить невозможно.

Предупреждение
В домене FreeIPA по умолчанию установлено правило `allow_all`, которое после настройки и проверки своих правил следует отключить.

Примечание
FreeIPA хранит основную группу пользователя в виде числового значения атрибута `gidNumber`. В связи с этим, правила HBAC могут ссылаться только на дополнительные группы пользователя, но не на его основную группу.

Службы HBAC

В разделе Policy — Host-Based Access Control — HBAC Services перечислены Известные по умолчанию службы и программы, которые могут быть затронуты при создании правил HBAC, перечислены в разделе web-интерфейса FreeIPA Policy — Host-Based Access Control — HBAC Services. Администратор имеет возможность добавить любые необходимые службы. Например, известны службы ftp, sshd, su, login.

Image Removed

Администратор имеет возможность добавить любые необходимые службы.

Примечание
Для разрешения входа в графический интерфейс пользователя необходимо создать службы `fly-dm и fly-wm`.

Image Added

Добавление правила

В разделе Policy — Host-Based Access Control — HBAC Rules нажать кнопку Add, откроется окно, в котором необходимо указать имя правила и нажать кнопку Add and Edit. В появившемся окне указать:

Пользователей и/или группы, на которых будет применяться данное правило.
Узлы и/или группы узлов, на которые будет применяться данное правило.
Службы и/или группы служб, использование которых будет регулироваться данным правилом.

Допускается указывать совместно пользователей и группы пользователей, узлы и группы узлов, службы и группы служб. При этом, если в группе находится только один элемент, и эта группа уже добавлена, то добавить этот элемент отдельно невозможно.

Правила можно включать, отключать или удалять.

Проверка правила

Необходимо всегда проверять созданные правила. Для этого предусмотрен специальный инструмент, который расположен в Policy — Host-Based Access Control — HBAC Test:

Выбрать пользователя из списка всех пользователей домена FreeIPA, на которого будет применяться созданное правило, и нажать кнопку Next.
Выбрать узел из списка всех узлов в домене FreeIPA, на который будет применяться созданное правило, и нажать кнопку Next.
Выбрать службу, работа которой подлежит проверке, и нажать кнопку Next.
Выбрать правило или несколько правил, которые будут применены в ходе проверки, и нажать кнопку Next.
Просмотреть результаты прошлой проверки (или отсутствие информации о прошлых проверках). Необходимо нажать кнопку Run Test.
В результате проверки будет указано, соответствуют заданные параметры (пользователь, узел и службы) выбранному правилу или нет. В случае соответствия правило будет применяться.