Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Оглавление


Информация
titleДанная статья применима к:

Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
Astra Linux Special Edition РУСБ.10015-17
Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Astra Linux Special Edition РУСБ.10015-16 исп. 1
Astra Linux Special Edition РУСБ.10015-16 исп. 2
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Astra Linux Common Edition 2.12


Настройка web-сервера

На компьютере - web-сервере Apache2 (часть 1)

Предупреждение
В ОС Astra Linux Special Edition все действия должны выполняться в сессии администратора домена или локального администратора (при включенном МКЦ - администратора с высоким уровнем целостности).
  1. Установить пакеты:
        - astra-freeipa-client — пакеты для ввода компьютера в домен;
        - apache2 — служба Apache2аpache2;
        - libapache2-mod-auth-kerb — модуль авторизации через Kerberos для службы apache2.
    Команды для установки пакетов:

    Command

    sudo apt update
    sudo apt install astra-freeipa-client apache2 libapache2-mod-auth-kerb


  2. Задать имя компьютера (далее в примере используется имя client):

    Command
    sudo hostnamectl set-hostname client


  3. Ввести компьютер в домен в качестве клиента.

На компьютере - контроллере домена FreeIPA

Предупреждение
Действия выполняются на основании билета Kerberos администратора домена (по умолчанию - admin).
  1. При работе в сессии администратора домена билет Kerberos выдается автоматически при входе в сессию. При работе в сессии локального администратора получить билет администратора домена:

    Command

    kinit admin


  2. Добавить службу HTTP: 

    Command

    ipa service-add HTTP/client.astra.domain@ASTRA.DOMAIN


  3. Получить от контроллера домена FreeIPA таблицу ключей (keytab):

    Command

    /usr/sbin/ipa-getkeytab -p HTTP/client.astra.domain@ASTRA.DOMAIN -k ~/http.keytab

    Таблица ключей будет сохранена в домашнем каталоге.


  4. Полученный файл с таблицей ключей http.keytab скопировать на web-сервер в каталог /etc/apache2/.

На компьютере - web-сервере Apache2 (Часть 2)

Предполагается, что таблица ключей размещена в файле /etc/apache2/http.keytab.

  1. Установить права доступа к файлу с таблицей ключей: 

    Command

    sudo chown www-data:www-data /etc/apache2/http.keytab
    sudo chmod 600 /etc/apache2/http.keytab


  2. В конфигурацию виртуального хоста virtualhost в файле /etc/apache2/sites-available/000-default.conf  внести настройки:

    Блок кода
    <VirtualHost *:80>
    
    	ServerAdmin webmaster@localhost
    	DocumentRoot /var/www
    	ErrorLog ${APACHE_LOG_DIR}/error.log
    	CustomLog ${APACHE_LOG_DIR}/access.log combined
    
    	<Directory /var/www>
    		AuthType Kerberos
    		# Имя области (realm) Керберос - обычно это имя домена ЗАГЛАВНЫМИ буквами
    		KrbAuthRealms ASTRA.DOMAIN
    
    		# Полное доменное имя службы (имя ранее созданной службы HTTP):
    		KrbServiceName HTTP/client.astra.domain@ASTRA.DOMAIN
    
    		# Имя файла, в котором сохранены ключи
    		Krb5Keytab /etc/apache2/http.keytab
    		KrbMethodNegotiate on
    		KrbMethodK5Passwd off
    		require valid-user
    		KrbSaveCredentials on
    	</Directory>
    </VirtualHost>


  3. Создать каталог для виртуального сервера:

    1. На компьютере - web-сервере назначить мандатные атрибуты каталогу с виртуальным сервером:   

      Command

      sudo pdpl-file -u 3:0:-1:ccnr /var/www/
      sudo pdpl-file -u 3:0:-1:ccnr /var/www/html/


    2. Перезапустить web-сервер (службу apache2):

      Command

      sudo systemctl restart apache2


Проверка работы мандатных ограничений

  1. На компьютере - контроллере домена:
    1. Создать доменного пользователя.
    2. Разрешить созданному пользователю работать с ненулевой классификационной меткой. Например, установить ему максимальный иерархический уровень конфиденциальности 1.
  2. На компьютере - web-сервере:
    1. В папке виртуального сервера /var/www/html/ создать 2 файла, например 0.html и 1.html с содержимым "Hello world! 0" и "Hello world! 1" соответственно.

      Command

      echo "Hello world! 0" | sudo tee /var/www/html/0.html
      echo "Hello world! 1" | sudo tee /var/www/html/1.html


    2. Установить классификационную метку на файл 1.html:   

      Command

      sudo pdpl-file 1:0:0 /var/www/html/1.html


  3. На любом компьютере, который должен выступать в роли клиента:

    1. Включить в web-браузере авторизацию negotiate,  для чего открыть страницу about:config и добавить http://  в параметры network.negotiate-auth.delegation-uris и network.negotiate-auth.trusted-uris:  

    2. Войти на клиентском компьютере в пользовательскую сессию с нулевой классификационной меткой.
    3. Попытаться получить доступ к странице с ненулевым уровнем конфиденциальности http://client.astra.domain/html/1.html. Результатом должен стать отказ в доступе:

      Предупреждение
      В диагностическом сообщении об ошибке указано, что объект не найден (ошибка 404), и не будет указана ошибка 403 (недостаточно прав). Такая диагностика исключает передачу информации о существовании объектов с высоким уровнем конфиденциальности, перекрывая возможный канал утечки информации.


    4. Проверить доступ к странице с нулевой классификационной меткой  http://client.astra.domain/html/0.html. Доступ  должен предоставляться:  

    5. Выполнить на клиентском компьютере вход под в пользовательскую сессию с ненулевой классификационной меткой. При этом должны быть доступны обе страницы.