Общую информацию по работе со съемными устройствами хранения данных см. в статье Съемные устройства хранения данных в Astra Linux.

Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений
или с установленным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1) и при работе на максимальном уровне защиты
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с установленным обновлением БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2) (с поддержкой МРД только при работе на максимальном уровне защиты)
Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) при работе на максимальном уровне зашиты
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5) и выше

Данная статья неприменима к Astra Linux Special Edition РУСБ.10015-10

Создание доменного правила регистрации съемных устройств хранения данных

При поиске учтенных для пользователя устройств используется имя пользователя, под которым выполняется вход. Имя при входе может быть указано в краткой форме (без указания домена, например, user) или в полной форме (с указанием домена, например, user@astralinux.ru). Поиск всегда выполняется только в домене, в который входит пользователь.

Начиная с обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4) независимо от формы имени, указанной при входе, поиск учтенных устройств выполняется по краткому имени пользователя. Соответственно, при регистрации устройств следует использовать краткие имена. Именно в такой краткой форме (без указания домена) задаются имена владельцев устройств при регистрации устройств с помощью web-интерфейса FreeIPA, также имена в такой форме могут быть заданы при помощи интерфейса командной строки (команда ipa parsecdevice-add);
В более ранних обновлениях имя пользователя при поиске используется точно в той форме, которая указана при входе. То есть:
- если пользователь выполняет вход без указания домена (например, user), то будут найдены устройства, учтенные для владельца user;
- если пользователь выполняет вход с указанием имени домена (например, user@astralinux.ru), то устройства, учтенные для владельца user найдены не будут. При регистрации устройств имена их владельцев с указанием имени домена могут быть заданы с помощью интерфейса командной строки (команда ipa parsecdevice-add).

Регистрация съемных устройств в домене FreeIPA осуществляется из web-интерфейса управления контроллера домена. Для регистрации устройств:

Открыть web-интерфейс управления доменом.
Выбрать раздел "Политика" → "Политика PARSEC".
Выбрать в выпадающем списке "Учтенные устройства" ("Registered devices"):
Задать удобное имя регистрируемого устройства, а также права доступа для пользователя и группы:

Значение параметра "Device attributes" скопировать из графической утилиты "Политика безопасности". Для этого выполнить следующие действия:

Запустить утилиту "Политика безопасности": "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности".
Предупреждение о том, что компьютер находится под управлением домена можно игнорировать;
Выбрать раздел "Устройства и правила" → "Устройства", затем нажать кнопку добавления устройства и следовать подсказкам мастера:

При запросе мастера подключить устройство и выбрать появившееся устройство:
Справочный центр > Особенности применения съемных устройств хранения данных при работе с FreeIPA > smc-reg2.png

Обращаем внимание, что необходимо прервать создание локального правила в "Политика безопасности" (fly-admin-smc) без сохранения изменений.

Скопировать значение правила определения устройства:

Перейти в web-интерфейс FreeIPA и вставить скопированное правило определения устройства:

Служебная доменная группа ipausers не является полноценной группой (POSIX-группой), не имеет числового идентификатора (GID), и поэтому неприменима при учете устройств. Для учета устройств рекомендуется создать отдельные доменные POSIX-группы (группы, имеющие GID).

Справочный центр > Особенности применения съемных устройств хранения данных при работе с FreeIPA > image2020-8-6_16-4-1.png

Выставить чек-бокс "Правила учета включены" ("Device is ON").
Сохранить запись, нажав кнопку "Добавить".
Запись об устройстве будет отображена в списке учтенных устройств.
При необходимости уточнить связанные с МРД параметры учета устройства выбрать устройство в списке и указать уровень конфиденциальности (по умолчанию - ноль), а также категории конфиденциальности, маски аудита и дополнительные правила идентификации устройства в соответствующих вкладках:

После создания правил перед проверкой работоспособности правил в обязательном порядке необходимо отключить и повторно подключить устройство.

Подготовка устройств хранения данных для работы в режиме учета

Порядок подготовки устройств хранения данных для работы в качестве учтенных устройств см. в статье Съемные устройства хранения данных в Astra Linux.

Создание доменной группы пользователей для разрешения полуавтоматического монтирования

Для создания доменной группы пользователей, участие в которой разрешает пользователям полуавтоматическое монтирование (см. Съемные устройства хранения данных в Astra Linux):

Создать доменную группу с именем floppy и номером 25. Это можно сделать в графическом web-интерфейсе FreeIPA или при наличии билета Kerberos администратора домена командой:
ipa group-add floppy --gid=25
Включить пользователей, которым должна быть предоставлена возможность полуавтоматического монтирования, в созданную группу. Это можно сделать в графическом web-интерфейсе FreeIPA или при наличии билета Kerberos администратора домена командой:
ipa group-add-member floppy --users=<имя_пользователя>
Права, предоставляемые участием в группе, будут применены при следующем входе пользователя.