Настройка web-сервера

На компьютере - web-сервере Apache2 (часть 1)

1. Установить пакеты:
       - astra-freeipa-client — пакеты для ввода компьютера в домен

1. ;
       - apache2 — служба аpache2;
       - libapache2-mod-auth-kerb — модуль авторизации через Kerberos для службы apache2.
   Команды для установки пакетов:

   Command
   sudo apt update sudo apt install astra-freeipa-client apache2 libapache2-mod-auth-kerb

   
   

2. Задать имя компьютера (далее в примере используется имя client):

   Command
   sudo hostnamectl set-hostname client

1. 
   

2. Ввести компьютер в домен в качестве клиента.

На компьютере - контроллере домена FreeIPA

1. При работе в сессии администратора домена билет Kerberos выдается автоматически при входе в сессию. При работе в сессии локального администратора получить билет администратора домена:

   Command
   kinit admin

   
   

2. Добавить службу HTTP: 

1. Command

1. ipa service-add HTTP/client.astra.domain@ASTRA.DOMAIN

1. 
   

2. Получить от

1. контроллера домена FreeIPA таблицу ключей (keytab):

   Command
   /usr/sbin/ipa-getkeytab -

1. p HTTP/client.astra.domain@ASTRA.DOMAIN -k

1. ~/http.keytab

1. Таблица ключей будет сохранена в домашнем каталоге.

   
   

2. Полученный файл с таблицей ключей http.keytab

1. скопировать на web-сервер в каталог /etc/apache2/.

На компьютере - web-сервере Apache2 (Часть 2)

Скопировать keytab (файл /tmp/http.keytab) с контроллера домена на web-сервер в каталог Предполагается, что таблица ключей размещена в файле /etc/apache2/http.keytab.Выставить права на keytab:  

1. Установить права доступа к файлу с таблицей ключей: 

   Command
   sudo chown www-data:www-data /etc/apache2/http.keytab sudo chmod

1. 600 /etc/apache2/http.keytab

   
   

2. В конфигурацию виртуального хоста virtualhost в файле /etc/apache2/sites-available/000-default.conf  внести настройки:

   Блок кода
   <VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined <Directory /var/www> AuthType Kerberos

1. # Имя области (realm) Керберос - обычно это имя домена ЗАГЛАВНЫМИ буквами

1. KrbAuthRealms ASTRA.DOMAIN

1. # Полное доменное имя

1. службы (имя ранее созданной службы HTTP): KrbServiceName HTTP/client.astra.domain@ASTRA.DOMAIN

1. # Имя файла, в котором сохранены ключи Krb5Keytab /etc/apache2/http.keytab KrbMethodNegotiate on KrbMethodK5Passwd off require valid-user KrbSaveCredentials on </Directory> </VirtualHost>

   
   

2. Создать каталог для виртуального сервера:

   1. На компьютере - web-сервере назначить мандатные атрибуты каталогу с виртуальным сервером:   

      Command
      sudo pdpl-file -u 3:0:

1. 1. -1:ccnr /var/www/ sudo pdpl-file -u 3:0:

1. 1. -1:ccnr /var/www/html/

      
      

   2. Перезапустить web-сервер (службу apache2):

      Command
      sudo systemctl restart apache2

      
      

Проверка работы мандатных ограничений

1. На компьютере - контроллере домена

1. :
   1. Создать доменного пользователя

1. 1. .
   2. Разрешить созданному пользователю работать с ненулевой классификационной меткой. Например, установить ему максимальный иерархический уровень конфиденциальности 1.
2. На компьютере - web-сервере

1. :

   1. В папке виртуального сервера /var/www/html/

1. 1. создать 2 файла

1. 1. , например 0.html и 1.html с содержимым "Hello world! 0" и "Hello world! 1" соответственно.
      

      Command
      echo "Hello world! 0" | sudo tee /var/www/html/0.html echo "Hello world! 1" | sudo tee /var/www/html/1.html

      
      

   2. Установить классификационную метку на файл 1.html:   

      Command
      sudo pdpl-file 1:0:0 /var/www/html/1.html

Должно получиться так: 

Image Removed

1. 1. 
      

2. На любом компьютере, который должен выступать в роли клиента

1. :

   1. Включить в web-браузере авторизацию negotiate

1. 1. ,  для чего открыть страницу about:config и добавить http://  в параметры network.negotiate-auth.delegation-uris и network.negotiate-auth.trusted-uris

1. 1. :  

      Image Modified

1. 1. Войти на клиентском компьютере в пользовательскую сессию с нулевой классификационной меткой.

   2. Попытаться получить доступ к странице с ненулевым уровнем конфиденциальности http://client.astra.domain/html/1.html. Результатом должен стать отказ в доступе:

1. 1. Image Modified

      Предупреждение

1. 1. В диагностическом сообщении об ошибке

1. 1. указано, что объект не найден (ошибка 404), и не будет указана ошибка 403 (недостаточно прав).

1. 1. Такая диагностика исключает передачу информации о существовании объектов с высоким уровнем конфиденциальности, перекрывая возможный канал утечки информации.

1. 1. 
      

   2. Проверить доступ к странице с

1. 1. нулевой классификационной меткой  http://client.astra.domain/html/0.

1. 1. html. Доступ  должен предоставляться:  

      Image Modified

1. 1. Выполнить на клиентском компьютере вход под в пользовательскую сессию с ненулевой классификационной меткой. При этом должны быть доступны обе страницы.