Справочный центр

Дерево страниц

Сравнение версий

Старая версия 10

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition


Общие сведения о параметре AstraMode службы apache2


Предупреждение

Сервер Служба гипертекстовой обработки данных Apache2, входящий apache2 в состав составе Astra Linux , поддерживает Special Edition (далее - Служба) обеспечивает работу с данными, имеющими различные (ненулевые) классификационные метки (см. Мандатное управление доступом и мандатный контроль целостности).
Для доступа Доступ к данным, имеющим ненулевые классификационные метки, в обязательном порядке должно быть обеспечено прохождение субъектом доступа таким данным предоставляется только после успешного прохождения субъектом доступа процедур аутентификации и авторизации. Анонимный доступ к данным, имеющим ненулевую классификационную метку, недопустимзапрещен.

Для включения и выключения обязательной аутентификации (авторизации) в конфигурации сервера Службы предусмотрен параметр AstraMode. Порядок работы с этим параметром описан далее.

Начиная с обновления Astra Linux Special Edition x.7.1 при включенном параметре AstraMode авторизация пользователей требуется даже при выключенном мандатном управлении доступом (МРД) (см. Список улучшений функциональности, предоставляемых обновлением №2021-1126SE17 (оперативное обновление 1.7.1) и Список улучшений функциональности, предоставляемых обновлением №2021-0114SE47 (оперативное обновление 4.7.1)). В более ранних обновлениях при отключенном МРД параметр игнорируется.

Параметр AstraMode позволяет отключить Значение off параметра AstraMode отключает обязательную авторизацию. Отключение обязательной авторизации снижает Это может снижать общую защищенность ресурсов, но может быть необходимо для обеспечения совместимости с приложениями, не работающими с классифицированными данными, не использующими аутентификацию  и, соответственно, не получающими авторизацию.

Значение off параметра AstraMode не отключает обязательную аутентификацию Kerberos, если такая аутентификация настроена для ресурса. При этом наличие классификационной метки у субъекта доступа не обязательно.

При значении on параметра AstraMode для успешного прохождения аутентификации Kerberos требуется наличие у субъекта доступа явно заданной классификационной метки (даже если эта метка нулевая). Такое умолчание:

  • не ограничивает доступ к защищаемым ресурсам для обычных пользователей доменов Astra Linux Special Edition (так как таким пользователям при их создании автоматически назначается нулевая классификационная метка);
  • ограничивает доступ к защищаемым ресурсам для пользователей доменов, не поддерживающих МРД (домены Windows AD, Samba, Astra Linux Common Edition).

Изменить это умолчание можно глобально для всей ОС настройкой параметров системы защиты PARSEC, для чего установить в файле /etc/parsec/msswitch.conf значение параметра  zero_if_notfound в yes:

Блок кода
zero_if_notfound: yes

При работе в Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.8 во включенном режиме AstraMode для корректного выполнения аутентификации Kerberos добавить в файл /etc/apache2/apache2.conf указать (раскомментировать) параметр IncludeRealm со значением on:

Блок кода
IncludeRealm on

 

Значение параметра AstraMode по умолчанию

По умолчанию требование обязательной авторизации включено (значение параметра AstraMode задано как " on"). При этом, в зависимости от используемого обновления Astra Linux, явное задание значения параметра в конфигурационных файлх либо отсутствует в конфигурационных файлах, либо указано как комментарий в файле  /etc/apache2/apache2.conf.

Изменение значения параметра AstraMode

Глобальное (для всех активных web-сайтов запускаемых службой) значение параметра AstraMode задается в конфигурационном файле /etc/apache2/apache2.conf и может быть указано как:

  • Включено (по умолчанию):

    Блок кода
    AstraMode on


  • Выключено:

    Блок кода
    AstraMode off


  • Глобальное значение параметра AstraMode может быть повторно определено в любом конфигурационном файле, и действовать . Действовать будет последнее обнаруженное определение. Использовать множественные определения параметра не рекомендуется, так как неверное определение или изменение порядка их обработки может вызвать ошибки;.

  • В обновлениях, выпущенных до обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4), при использовании опций конфигурации IncludeOption и Include (включение файлов в конфигурацию) значение параметра, применяемое к включаемым файлам, должно быть указано либо непосредственно перед инструкцией включения, например:

    Блок кода
    AstraMode off
IncludeOption conf-test/*.conf

    либо в начале включаемого файла. Если значение не указано, то к включаемым файлам всегда применяется режим AstraMode on. Начиная с обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4) на включаемые файлы действует глобальное указание режима.

 

Начиная с обновления Astra Linux Special Edition 1.6.7 (включая Astra Linux x.7):

  • Глобальное значение параметра AstraMode может быть переопределено индивидуально для каждого виртуального web-сайта. Для переопределения параметр указывается в списке параметров web-сайта, например:

    Блок кода
    <VirtualHost _default_:443>
    AstraMode off
    ...
</VirtualHost>

    Такое переопределение действует только на режим работы web-сайта, для которого оно задано;.