Настройка web-сервера

На компьютере - web-сервере Apache2 (часть 1)

1. Установить пакеты:
       - astra-freeipa-client — пакеты для ввода компьютера в домен;
       - apache2 — служба аpache2;
       - libapache2-mod-auth-kerb — модуль авторизации через Kerberos для службы apache2.
   Команды для установки пакетов:

   Command
   sudo apt update sudo apt install astra-freeipa-client apache2 libapache2-mod-auth-kerb

   
   

2. Задать имя компьютера (далее в примере используется имя client):

   Command
   sudo hostnamectl set-hostname client

   
   

3. Ввести компьютер в домен в качестве клиента.

На компьютере - контроллере домена FreeIPA

Предупреждение
Действия выполняются на основании билета Kerberos администратора домена (по умолчанию - admin).

1. При работе в сессии администратора домена билет Kerberos выдается автоматически при входе в сессию. При работе в сессии локального администратора получить билет администратора домена:

   Command
   kinit admin

   
   

2. Добавить службу HTTP: 

  

1. Command

ipa service

1. ipa service-

add HTTP

1. add HTTP/client.astra.domain@ASTRA.DOMAIN

Действуя

1. 
   

2. Получить от

имени администратора домена выгрузить keytab с КД FreeIPA

1. контроллера домена FreeIPA таблицу ключей (keytab):

   Command
   /usr/sbin/ipa-getkeytab -

p HTTP

1. p HTTP/client.astra.domain@ASTRA.DOMAIN -k

/tmp

1. ~/http.keytab

1. Таблица ключей будет сохранена в домашнем каталоге.

   
   

2. Полученный файл с таблицей ключей http.keytab скопировать на web

Далее полученный файл нужно будет скопировать WEB

1. -сервер в каталог /etc/apache2/.

На компьютере -

web-сервере Apache2

Ввести компьютер в домен в качестве клиента.

Установить службу apache2 с модулем авторизации через Kerberos: 

(Часть 2)

Предполагается, что таблица ключей размещена в файле Скопировать keytab с контроллера домена на WEB-сервер в каталог /etc/apache2/http.keytab.Выставить права на keytab:  

1. Установить права доступа к файлу с таблицей ключей: 

   Command
   sudo chown www-data:www-data /etc/apache2/http.keytab sudo chmod

1. 600 /etc/apache2/http.keytab

   
   

2. В конфигурацию виртуального хоста virtualhost в файле /etc/apache2/sites-available/000-default.conf  внести настройки:

   Блок кода
   <VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined <Directory /var/www> AuthType Kerberos

1. # Имя области (realm) Керберос - обычно это имя домена ЗАГЛАВНЫМИ буквами

1. KrbAuthRealms ASTRA.DOMAIN

1. # Полное доменное имя

1. службы (имя ранее созданной службы HTTP): KrbServiceName HTTP/client.astra.domain@ASTRA.DOMAIN

1. # Имя файла, в котором сохранены ключи Krb5Keytab /etc/apache2/http.keytab KrbMethodNegotiate on KrbMethodK5Passwd off require valid-user KrbSaveCredentials on </Directory> </VirtualHost>

   
   

2. Создать каталог для виртуального сервера:

   1. На компьютере -

1. 1. web-сервере назначить мандатные атрибуты каталогу с виртуальным сервером:   

      Command
      sudo pdpl-file -u 3:0:-1:ccnr /var/www/ sudo pdpl-file -u 3:0:

1. 1. -1:

1. 1. ccnr /var/www/html/

      
      

   2. Перезапустить web-сервер (службу apache2):

      Command
      sudo systemctl restart apache2

      
      

Проверка работы мандатных ограничений

1. На компьютере - контроллере домена

1. :
   1. Создать доменного пользователя

1. 1. .
   2. Разрешить созданному пользователю работать с ненулевой классификационной меткой. Например, установить ему максимальный иерархический уровень конфиденциальности 1.
2. На компьютере -

1. web-сервере

1. :

1. sudo pdpl-file 3:0:0xffffffffffffffff:0x1 /var/www/html/

   1. 1. В папке

   web

   1. 1. виртуального сервера /var/www/html/

     создать 

   1. 1. создать 2 файла

   и установить метку на файл 1.html:    Commandsudo touch 

   1. 1. , например 0.html и 1.html с содержимым "Hello world! 0" и "Hello world! 1" соответственно.
         

         Command
         echo "Hello world! 0" | sudo tee /var/www/html/0.html

   sudo  

   1. 1. echo "Hello world! 1" | sudo tee /var/www/html/1.html

         
         

      2. Установить классификационную метку на файл 1.html:   

         Command
         sudo pdpl-file 1:0:0 /var/www/html/1.html

   Должно получиться так: 

   Image Removed

   1. 1. 
         

   2. На любом компьютере, который должен выступать в роли клиента:

      1. Включить в web-браузере авторизацию negotiate,  для чего открыть страницу about:config и

   Далее настроить в браузере negotiate авторизацию (

   1. 1. добавить http://

   )

   1. 1.   в параметры network.negotiate-auth.delegation-uris и network.negotiate-auth.trusted-uris:  

         Image Modified

   После всех настроек зайти на клиентский компьютер под доменной учетной записью с уровнем конфиденциальности 0: 

   Далее пытаемся зайти на 
   1. 1. Войти на клиентском компьютере в пользовательскую сессию с нулевой классификационной меткой.

      2. Попытаться получить доступ к странице с ненулевым уровнем конфиденциальности http://client.astra.domain/html/1.html

     ,  в результате чего получаем отказ:  

   Image Removed

   А если запросить  

   1. 1. . Результатом должен стать отказ в доступе:Image Added

         Предупреждение
         В диагностическом сообщении об ошибке указано, что объект не найден (ошибка 404), и не будет указана ошибка 403 (недостаточно прав). Такая диагностика исключает передачу информации о существовании объектов с высоким уровнем конфиденциальности, перекрывая возможный канал утечки информации.

         
         

      2. Проверить доступ к странице с нулевой классификационной меткой  

   1. 1. http://client.astra.domain/html/0

   .html  ,  то  получаем доступ к содержимому файла

   1. 1. .html. Доступ  должен предоставляться:  

         Image Modified
      2. Выполнить на клиентском компьютере вход под в пользовательскую сессию с ненулевой классификационной меткой. При этом должны быть доступны обе страницы.