| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
Данная статья неприменима к Astra Linux Special Edition РУСБ.10015-10 |
Порядок настройки Настройка протокола CIFS для использования МРД в более ранних очередных обновлениях
см.Настройка протокола CIFS для использования МРД в Astra Linux Special Edition
Настройка протокола CIFS для использования МРД в Astra Linux Special Edition x.7
При использовании механизмов мандатного разграничения доступа в работе с разделяемыми ресурсами с применением протокола CIFS (SMB) в операционных системах : Astra Linux Special Edition
РУСБ.10015-01 (очередное обновление 1.6)начиная с очередного обновления x.7 следует использовать последнюю доступную версию протокола.
Настройка файлового сервера samba
требуется включить работу с МРД в настройках сервера.
Настройка сервераНа файловом сервере (сервере Sambasamba) для работы с разделяемыми ресурсами, содержащими конфиденциальные данные с ненулевой классификационной меткой, в обязательном порядке:
- Установить все доступные оперативные обновления;
Настроить параметры протокола, для чего установить в конфигурации samba в секции [global] параметры:
Блок кода use socket MAC label = YES
При использовании Samba в конфигурации ЕПП FreeIPA (когда конфигурация Samba хранится в реестре Samba) настройку параметров протокола можно сделать из командной строки. Команды:
Command sudo net conf setparm global "use socket MAC label" "Yes" Если конфигурация хранится в файле /etc/samba/smb.conf, необходимо то внести изменения в файл;
Независимо от того, где хранится конфигурация сервера (в файле или в реестре) - после изменения указанных параметров перезагрузить параметры конфигурации:
Command sudo smbcontrol all reload-config
Создание разделяемого каталога с ненулевой классификационной меткой
Пример создания и настройки разделяемого каталога /srv/share:
Создать каталог:
Command sudo mkdir -p /srv/share
Установить владельца права доступа, например (см. Samba):
Command sudo chown nobody:nogroup /srv/share
sudo chmod 775 /srv/shareУстановить на каталог классификационную метку, в которой иерархический уровень конфиденциальности и неиерархические категории конфиденциальности будут равны соответствующим максимальным значениям для содержащихся в ресурсе файловых объектов.
Command sudo pdpl-file 3:0:-1 /srv/share
В приведенном выше примере предполагается, что максимальный иерархический уровень конфиденциальности 3, и разрешены все неиерархические категории конфиденциальности (сокращенное обозначение всех разрешенных неиерархических категорий -1). Если в разделяемом каталоге предполагается размещать файловые объекты с классификационной меткой меньшей максимально допустимой для каталога, то дополнительно установить флаг CCNR (подробнее см. Метка безопасности: структура и состав):
Command sudo pdpl-file 3:0:-1:CCNR /srv/share
Настройка клиента
На клиентских машинах специальные настройки не требуются.