Файл /etc/parsec/mswitch.conf определяет источники (базы данных), из которых Parsec получает:

  1. значения мандатный атрибутов пользователей/процессов;
  2. словари мандатных атрибутов (т.е. соответствие числовых значений и названий мандатных атрибутов).

Настройки источников данных выполняются автоматически при установке ОС и/или при установке соответствующих доменных клиентов (ALD, FreeIPA).


Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

Данная статья неприменима к Astra Linux Special Edition РУСБ.10015-10.

Используемые базы данных

База данныхКомментарий

mac:

База данных меток конфиденциальности пользователей. Содержит:

  • минимальный допустимый уровень конфиденциальности пользователя;
  • максимальный допустимый уровень конфиденциальности пользователя;
  • минимальную допустимую категорию доступа пользователя;
  • максимальную допустимую категорию доступа пользователя;

mic:

База данных меток целостности пользователей. Содержит максимально допустимый уровень целостности для пользователя.

capabilities:

База данных Парсек-привилегий пользователей.

audit

База данных параметров аудита.

mac_levels

Словарь названий для уровней конфиденциальности. Пример словаря в файле /etc/parsec/mac_levels:

/etc/parsec/mac_levels

#levels
Не_секретно:0
Для_служебного_пользования:1
Секретно:2
Совершенно_секретно:3

mac_categories

Словарь названий для категорий доступа. Пример словаря в файле /etc/parsec/mac_categories:

/etc/parsec/mac_categories

#categories
Нет:0
Категория_1:1
Категория_2:2

Используемые источники данных

Для задания источников данных допустимо использование следующих значений:

  • files - источник данных "локальные файлы". Этот источник данных устанавливается и используется по умолчанию для компьютеров, не входящих в домен;

  • ald - источник данных - контроллер домена ALD. Этот источник данных устанавливается для компьютеров, входящих в домен ALD;

  • sssd - источник данных кеш системного демона sssd. Автоматически устанавливается для компьютеров, входящих в домен FreeIPA, рекомендован для использования при работе в домене FreeIPA;

  • ldap - источник данных - контроллер домена FreeIPA. Может использоваться для компьютеров, входящих в домен FreeIPA, однако рекомендуется использовать источник sssd;

  • legacy - источник данных "локальные файлы". Использует устаревший формат баз данных, к использованию не рекомендуется, сохранён  для совместимости со старыми версиями.

Синтаксис файла /etc/parsec/mswitch.conf

Синтаксис определения источников данных

Определение источника данных состоит из наименования базы данных с двоеточием, и названия источника базы данных.
Может быть указано несколько названий источников подряд, однако все источники, кроме первого игнорируются.

При настройке источников данных  рекомендуется использовать одинаковые источники для всех баз данных.

Для атрибутов аудита (параметр audit:) в домене FreeIPA до версии freeipa-server 4.6.4-14astra.se47 поддерживается только источник данных files, начиная с версии freeipa-server 4.6.4-14astra.se47 (БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5)) поддерживается источник sssd.

Пример набора источников

Для компьютера, не входящего в домен:Для компьютера, входящего в домен ALD
(для Astra Linux Special Edition до очередного обновления x.7):
Для компьютера, входящего в домен FreeIPA
и в домен ALD Astra Linux Special Edition x.7:

mac: files
capabilities: files
audit: files
mac_levels: files
mac_categories: files
mic: files

mac: ald
capabilities: ald
audit: ald
mac_levels: ald
mac_categories: ald
mic: ald

mac: sssd
capabilities: sssd
audit: sssd
mac_levels: sssd
mac_categories: sssd
mic: sssd

Дополнительные ключевые слова

Помимо указания источников данных в файле присутствуют ключевые слова, определяющие кодировку источников (напр. mic_charset: utf-8).
Эти параметры сохранены для совместимости с предыдущими версиями, в настоящее время используется кодировка UTF8.

Дополнительный параметр zero_if_notfound определяет, является ли ошибкой отсутствие мандатных атрибутов пользователя в базах данных.
Устанавливается автоматически, изменять его не рекомендуется.

  • No labels