Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

SUP-1349 - Получение подробных данных проблемы... СТАТУС

BT-16674 - Получение подробных данных проблемы... СТАТУС

Статья применима к:

  • ОС СН Смоленск 1.6 (начиная с  обновления безопасности № 20200327SE16 и выше)

Создание глобального правила


Регистрация отчуждаемых носителей в домене FreeIPA осуществляется из web-интерфейса управления контроллера домена, путем создания глобальных правил для носителей.

Для регистрации носителя необходимо открыть web-интерфейс управления доменом и выбрать раздел "Политика" → "Политика PARSEC" и выбрать в выпадающем списке "Registerd device":

Задать имя регистрируемого носителя, а также права для пользователя и группы:

Значение параметра "Device attributes" необходимо скопировать из графической утилиты "Политика безопасности". Для этого выполнить следующие действия:

Выбрать раздел "Устройства и правила" → "Устройства", затем нажать кнопку добавления устройства и следовать подсказкам мастера:

При запросе подключить устройство и выбрать раздел:

Скопировать значение правила в поле "Device attributes" в web-интерфейсе управления доменом.

Выставить чек-бокс "Device is ON" и сохранить правило.

Обращаем внимание, что необходимо прервать создание локального правила в  "Политика безопасности" (fly-admin-smc) без сохранения изменений.



После создания правил, в обязательном порядке необходимо осуществить извлечение накопителя перед проверкой работоспособности правил.


Подготовка носителя для работы в ненулевой сессии пользователя

Обращаем внимание, что работа накопителей в мандатном контексте возможна лишь с файловыми системами поддерживающими расширенные файловые атрибуты. Для USB-носителей это файловые системы Ext*.


Сценарий подготовки  USB носителей Ext4 для работы на нескольких уровнях конфиденциальности

Для подготовки USB-носителя с файловой системой ext4 к работе на нескольких уровнях можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):

multilevel.sh
#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#multilevel
pdpl-file 3:0:-1:ccnr /media/usb/
mkdir /media/usb/{0,1,2,3}
pdpl-file 0:0:0:0 /media/usb/0
pdpl-file 1:0:0:0 /media/usb/1
pdpl-file 2:0:0:0 /media/usb/2
pdpl-file 3:0:0:0 /media/usb/3
chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3}
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

Сделать скрипт исполняемым выполнив команду:

sudo chmod +x multilevel.sh
Создать глобальные правила в web-интерфейсе управления доменом для каждого из созданных уровней:

Сценарий подготовки  USB носителей ext4 для работы на одном уровне конфиденциальности


Для подготовки USB-носителя с файловой системой Ext4 для работы на одном (например, 2-м) уровне, можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):

singlelevel.sh
#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#one level
pdpl-file 2:0:0:0 /media/usb/
chown -R ${USERNAME}:${USERNAME} /media/usb/
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

Сделать скрипт исполняемым выполнив команду:

sudo chmod +x multilevel.sh
Создать глобальные правила в web-интерфейсе управления доменом для необходимого уровня по методике описанной ранее.

  • Нет меток