Стаья не для публикации.

/* bind cuurent session's dir to home*/
+ PDPL_T *bind_mac_save = pdp_get_current();
+ if( !bind_mac_save)
+     T("Can not save mac");
+ else {
+     PDPL_T *bind_mac_set=pdpl_dup(md->label);
+    if( !bind_mac_set)
+        T("Session label is NULL");
+    else {
+        pdpl_set_ilev(bind_mac_set,pdp_get_max_ilev()); 
+        if( pdp_set_current( bind_mac_set))
+            T("Can not set mac");
+        pdpl_put(bind_mac_set);
+    }
+ }
if( !(session_home=pdplugm_make_session_dir(homes_root,md->user,MACDIR,md->label,md->uid,md->gid,HOME_MODE)) )
{
+    if( bind_mac_save) {
+    pdp_set_current( bind_mac_save);
+    pdpl_put( bind_mac_save);
+    }
     L(pamh,LOG_ERR,"Error making home dir %m");
     return PAM_SYSTEM_ERR;
}

! T("Home dir is %s. Export environment variable MACDIR", session_home);
if( set_env(pamh,ENV_MACDIR,session_home) ) return PAM_SYSTEM_ERR;

if( bind_dir(session_home,md->home,0,md) )
{
+    if( bind_mac_save) {
+        pdp_set_current( bind_mac_save);
+        pdpl_put( bind_mac_save);
+    }
    L(pamh,LOG_CRIT, "Cannot bind %s on %s: %m",session_home,md->home);
    free(session_home);
    return PAM_SYSTEM_ERR;
}
+ if( bind_mac_save) {
+    pdp_set_current( bind_mac_save);
+    pdpl_put( bind_mac_save);
+ }
+ 
// free(session_home);

Описание стенда

• Сервер FreeIPA + Samba. Порядок установки и настройки см. Samba + FreeIPA аутентификация пользователей Samba в Kerberos.
  В промышленной эксплуатации службу samba рекомендуется размещать на отдельном сервере. Порядок настройки отдельной службы на отдельном сервере см. также в статье Samba + FreeIPA аутентификация пользователей Samba в Kerberos.
  
  
• Параметры сервера FreeIPA + Samba, используемые далее:
  • имя сервера ipa0.ipadomain/ru;
  • администратор домена admin;
  • пользователь домена с возможностью входа с ненулевой меткой конфиденциальности - ipauser;
• Компьютер - клиент FreeIPA. Инструкцию по вводу компьютера в домен см. с статье FreeIPA.

Настройка сервера

client max protocol = NT1
use socket MAC label = YES

Создать конфигурации разделяемых ресурсов импортировать их в конфигурацию samba. Создаваемые ресурсы:

1. Ресурс для монтирования домашних каталогов при работе с нулевой меткой конфиденциальности - ресурс homes (стандарный ресурс samba);
2. Ресурс для монтирования домашний каталогов при работе с ненулевой меткой конфиденциальности. Имя ресурса может быть произвольным, в примере используется имя pdp_homes. Данный ресурс требуется только для ОС СН.

Конфигурации сохраняются в файлах, далее импортируются в конфигурацию samba. Команды:

Эти же действия можно выполнить командами не используя файлы для сохранения данных, например:

Специальные настройки для ОС СН

Ресурс pdp_homes будет предоставлять для монтирования путь /home/.pdp/<имя_пользователя">. При этом с С помощью подключения через samba (т.е. действиями со стороны клиентской машины) создать такой ресурс невозможно, то есть

поэтому на момент подключения пользователя его подкаталог должен быть уже создан.

 При этом:

1. каталог должен приндлежать пользователю;
2. только в ОС СН:
   1. это должен быть каталог с низким уровнем целостности, иначе запись в него из сетевого подключения будет невозможна.
   2. каталог должен иметь метку конфиденциальности не ниже максимально допустимой для пользователя;

Для пользователя ipauser:

Далее возможны два варианта:

1. Заранее создать в каталоге пользователя все возможные для него варианты каталогов для всех допустимых сочетаний атрибутов конфиденциальности (безопасно)

   ;

   . При этом, так как при входе в любую сессию независимо от её метки конфиденциальности Парсек проверяет и создаёт пользовательский каталог с нулевой меткой конфиденциальности, этот каталог также в обязательном порядке должен быть создан заранее:

   Command
   sudo mkdir /home/.pdp/ipauser/l0i0c0x0t0x0 sudo chown ipauser:ipauser /home/.pdp/ipauser/l0i0c0x0t0x0 sudo pdpl-file 0:0:0 /home/.pdp/ipauser/l0i0c0x0t0x0

   
   
   

2. Изменить настройки ОС, принятые по умолчанию, и спользовать Использовать параметр ядра parsec.ccnr_relax, что позволит пользователю Парсеку пользователя самостоятельно создавать каталоги с нужными метками конфиденциальности (не превышающими метку конфиденциальности каталога пользователя) при сетевом подключении. Это более удобно, но несколько снижает защищённость системы.

Настройка клиента

Монтирование выполняется модулем pam_mount.

:

1. Запускаемым от root-а с нулевым уровнем конфиденциальности.
2. Для авторизации модуль предявляет билет керберос входящего пользователя.
3. Т.е. примонтированный модуль действует от имени пользователя с нулевой меткой конфиденциальности, в результате примонтированный каталог пользователя имеет нулевую метку безопасности, и в нём видно только объекты с нулевой меткой.
4. Далее Парсек пытается найти каталог с именем соответсвующим ненулевому уровню, не находит, пытается создать, не может

Предложение:

пропатчить pam_mount, чтобы он работал на уровне конфиденциальности пользователя.

Клиент должен быть введён в домен FreeIPA. Инструкцию по вводу компьютера в домен см. с статье FreeIPA.

Установка пакетов

Набор пакетов, необходимых для монтирования домашних каталогов можно командой:

Настройка модуля pam_mount

В конфигурации модуля pam_mount задать параметры подключаемых сетевых ресурсов. Примеры конфигурации:

<volume 
fstype="cifs"
server="ipa0.ipadomain.ru"
path="%(USER)"
mountpoint="/home/%(USER)"
options="user=%(USER),cruid=%(USER),nosharesock,sec=krb5,vers=1.0"
/>

<volume 
fstype="cifs"
server="ipa0.ipadomain.ru"
path="pdp_homes"
mountpoint="/home/.pdp/%(USER)"
options="user=%(USER),cruid=%(USER),uid=%(USERUID),gid=%(USERGID),nosharesock,sec=krb5,vers=1.0"
/>

Дополнительно разрешить использование применяемых параметров:

<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,nosharesock,gid,uid,vers,user_xattr" />

Настройка pam-стека

Удалить (закомментировать) вызов модуля pam_mount из файла /etc/pam.d/common-session:

В файлах /etc/pam.d/login и /etc/pam.d/fly-dm вызов модуля pam_parsec_mac заменить на: