Справочный центр

Дерево страниц

Сравнение версий

Старая версия 8

changes.mady.by.user $userName

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user $userName

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Общую информацию по работе со съемными устройствами хранения данных см. в статье Съемные устройства хранения данных в Astra Linux.


Информация
titleСтатья применима к:

Для более ранних обновлений Данная статья неприменима к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) см. статью10


Создание доменного правила регистрации съемных устройств хранения данных

Предупреждение

При поиске учтенных для пользователя устройств используется имя пользователя, под которым выполняется вход. Имя при входе может быть указано в краткой форме (без указания домена, например, user) или в полной форме (с указанием домена, например, user@astralinux.ru). Поиск всегда выполняется только в домене, в который входит пользователь.

  • Начиная с обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4) независимо от формы имени, указанной при входе, поиск учтенных устройств выполняется по краткому имени пользователя. Соответственно, при регистрации устройств следует использовать краткие имена. Именно в такой краткой форме (без указания домена) задаются имена владельцев устройств при регистрации устройств с помощью web-интерфейса FreeIPA, также имена в такой форме могут быть заданы при помощи интерфейса командной строки (команда ipa parsecdevice-add);
     
  • В более ранних обновлениях имя пользователя при поиске используется точно в той форме, которая указана при входе. То есть:
    • если пользователь выполняет вход без указания домена (например, user), то будут найдены устройства, учтенные для владельца user;
    • если пользователь выполняет вход с указанием имени домена (например, user@astralinux.ru), то устройства, учтенные для владельца user найдены не будут. При регистрации устройств имена их владельцев с указанием имени домена могут быть заданы с помощью интерфейса командной строки (команда ipa parsecdevice-add).

Регистрация съемных устройств

Создание глобального правила регистрации отчуждаемых носителей

Регистрация отчуждаемых носителей в домене FreeIPA осуществляется из web-интерфейса управления контроллера домена путем создания глобальных правил для носителей. Для регистрации носителя необходимоустройств:

  1. Открыть web-интерфейс управления доменом;.
  2. Выбрать раздел "Политика" → "Политика PARSEC";.
  3. Выбрать в выпадающем списке "Registerd device""Учтенные устройства" ("Registered devices"):
  4. Задать удобное имя регистрируемого носителяустройства, а также права доступа для пользователя и группы:
  5. Значение параметра "Device attributes" необходимо скопировать из графической утилиты "Политика безопасности". Для этого выполнить следующие действия:
    1. Запустить утилиту "Политика безопасности": "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности".
      Предупреждение о том, что компьютер находится под управлением домена можно игнорировать;
    2. Выбрать раздел "Устройства и правила" → "Устройства", затем нажать кнопку добавления устройства и следовать подсказкам мастера:

    3. При запросе мастера подключить устройство и выбрать появившееся устройство:

      Примечание

      Обращаем внимание, что необходимо прервать создание локального правила в  "Политика безопасности" (fly-admin-smc) без сохранения изменений.

    4. Скопировать значение правила определения устройства:

    5. Перейти в web-интерфейс FreeIPA и вставить скопированное правило определения устройства:

      Предупреждение
      Служебная доменная группа ipausers не является полноценной группой (POSIX-группой), не имеет числового идентификатора (GID), и поэтому неприменима при учете устройств. Для учета устройств рекомендуется создать отдельные доменные POSIX-группы (группы, имеющие GID).

      Image Modified

    6. Выставить чек-бокс "Правила учета включены" ("Device is ON").
    7. Сохранить запись, нажав кнопку "Добавить" и сохранить правило..
    8. Запись об устройстве будет отображена в списке учтенных устройств.
    9. При необходимости уточнить связанные с МРД параметры учета устройства выбрать устройство в списке и указать уровень конфиденциальности (по умолчанию - ноль), а также категории конфиденциальности, маски аудита и дополнительные правила идентификации устройства в соответствующих вкладках:
      Image Added
Предупреждение

После создания правил перед проверкой работоспособности правил в обязательном порядке необходимо извлечь накопителяотключить и повторно подключить устройство.

Подготовка

носителей

устройств хранения данных для работы

в режиме учета

Порядок подготовки устройств хранения данных для работы в качестве учтенных устройств см. в статье Съемные устройства хранения данных в Astra Linux.

Создание доменной группы пользователей для разрешения полуавтоматического монтирования

Для создания доменной группы пользователей, участие в которой разрешает пользователям полуавтоматическое монтирование (см. Съемные устройства хранения данных в Astra Linux):

  1. Создать доменную группу с именем floppy и номером 25. Это можно сделать в графическом web-интерфейсе FreeIPA или при наличии билета Kerberos администратора домена командой:

    Command
    ipa group-add floppy --gid=25

  2. Включить пользователей, которым должна быть предоставлена возможность полуавтоматического монтирования, в созданную группу.  Это можно сделать в графическом web-интерфейсе FreeIPA или при наличии билета Kerberos администратора домена командой:

    Command
    ipa group-add-member floppy --users=<имя_пользователя>

    Права, предоставляемые участием в группе, будут применены при следующем входе пользователя

Информация

Обращаем внимание, что работа накопителей с несколькими различными классификационными метками возможна лишь с файловыми системами поддерживающими расширенные файловые атрибуты. Для USB-носителей это файловые системы Ext2/Ext3/Ext4 (для Astra Linux Special Edition x.7 также файловая система xfs) . Подробную информацию по применению носителей с другими файловыми системами (NTFS, VFAT, ) см. Съемные носители в ОС Astra Linux.

Сценарий подготовки USB носителей Ext4/XFS для работы c несколькими различными классификационными метками

Для подготовки USB-носителя к работе с несколькими различными классификационными метками можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE и по необходимости откорректировав классификационные метки, присваиваемые каталогам):

Блок кода
titlemultilevel.sh
#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#multilevel
pdpl-file 3:0:-1:ccnr /media/usb/
mkdir /media/usb/{0,1,2,3}
pdpl-file 0:0:0:0 /media/usb/0
pdpl-file 1:0:0:0 /media/usb/1
pdpl-file 2:0:0:0 /media/usb/2
pdpl-file 3:0:0:0 /media/usb/3
chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3}
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

Сделать сценарий исполняемым выполнив команду:

Блок кода
$ sudo chmod +x multilevel.sh

Создать глобальные правила в web-интерфейсе управления доменом для каждого из созданных уровней:

Image Removed

Image Removed

Сценарий подготовки  USB носителей Ext4/XFS для работы с одной классификационной меткой

Для подготовки USB-носителя для работы на одном (например, 2-м) уровне, можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE и откорректировав классификационную метку, присваиваемую устройству):

Блок кода
titlesinglelevel.sh
#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#one level
pdpl-file 2:0:0:0 /media/usb/
chown -R ${USERNAME}:${USERNAME} /media/usb/
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

Сделать сценарий исполняемым выполнив команду:

Блок кода
$ sudo chmod +x singlelevel.sh
Создать глобальные правила в web-интерфейсе управления доменом для необходимого уровня по методике описанной ранее

  1. .