Управление групповыми политиками в Avanpost DS

В Avanpost DS используются три типа политик:

  1. Групповые политики для управления серверами и АРМ;
  2. Политики паролей для управления требованиями безопасности к паролям учетных записей пользователей;
  3. Политики sudoers для управления правами доступа с помощью sudoers ldap.

Управление политиками доступно в разделе "Политики" веб-интерфейса администратора Avanpost DS.

Внимание!

Доступ к разделу "Политики" имеют пользователи, состоящие в группе "Policy Administrators" и "Administrators".

Навигатор по разделу:

  • 1. Групповые политики
  • 2. Парольные политики
  • 3. Политики sudoers

    • 1. Групповые политики

    Групповые политики позволяют централизованно управлять настройками пользователей и рабочих станций в домене Avanpost DS.

    Работа с групповыми политиками осуществляется на вкладке "Групповые политики" раздела "Политики" веб-интерфейса администратора Avanpost DS.

    1.1. Создание групповых политик

    Для создания политики необходимо выполнить шаги:

    1. Нажать кнопку ;
    2. Заполнить в открывшейся форме название политики;
    3. Добавить необходимые настройки, выбрав их тип в списке слева и нажав кнопку (Можно добавлять несколько настроек любых типов в одну политику);

      Внимание!

      Типы настроек групповых политик делятся на две категории:

      • "Политики компьютера" – настройки этого типа применяются после старта операционной системы.
      • "Политики пользователя" – настройки этого типа применяются после входа пользователя в систему.
    4. Заполнить необходимые поля для добавленных настроек (Подробно настройки политик описаны в разделе 1.2);
    5. Нажать . Созданная политика отобразится в списке политик внизу страницы в блоке "Политики" вкладки "Групповые политики" раздела "Политики".


    Рисунок. Создание политики

    1.2. Настройки групповых политик

    Типы настроек групповых политик делятся на две категории:

    • "Политики компьютера" – настройки этого типа применяются на всю рабочую станцию.
    • "Политики пользователя" – настройки этого типа применяются на все рабочие станции на которые зайдет пользователь

    Для создания групповых политик доступны следующие типы настроек:

    1.2.1. Настройка "Управление составом ПО" 

    Настройка позволяет управлять установкой, удалением и обновлением пакетов. 

    Настройка содержит поля:

    ПолеНазначение поля
    1Название пакета

    Указать название пакета, с которым требуется производить действия при авторизации пользователей в домене.

    Можно указать как просто название пакета, так и точную версию.

    2ДействиеВыбрать действие, которое будет выполнено с данным пакетом: "установить", "удалить" или "обновить".


    Рисунок. Настройка "Управление составом ПО"

    1.2.2. "Настройки файловой системы"

    Настройка позволяет управлять правами доступа пользователей к директориям и файлам, создавать и удалять файлы или директории, вносить изменения в файлы.

    Настройка содержит поля:

    ПолеНазначение поля
    1Путь к файлу/директории в формате /home/surname/dirУказать путь к директории или файлу, с которым требуется производить действия.
    2ТипВыбрать "Папка" или "Файл" в зависимости от типа объекта, указанного в первом поле.
    3Владелец объектаУказать владельца файла и группа владельцев в формате пользователь:группа. Данные настройки будут применены политикой к объекту, указанному в первом поле.
    4Posix разрешения для объекта в числовой записи, например 640

    Указать posix разрешения для объекта. Данные разрешения будут применены политикой к объекту, указанному в первом поле.
    Для этого требуется отметить чекбоксы, отвечающие за нужные права для разных субъектов:

    • "R" – права на чтение;
    • "W" – права на запись;
    • "X" –  права на исполнение;
    5Действие

    Выбрать одно из действий:

    • "Создать" – в этом режиме политика будет создавать объект, указанный в первом поле, в случае его отсутствия.
    • "Обновить" – в этом режиме политика будет перезаписывать объект, указанный в первом поле.
    • "Удалить" – в этом режиме политика будет удалять объект, указанный в первом поле, в случае его присутствия.
    6

    Создать резервную копию файла

    Поля № 6 и далее заполнять только в случае типа объекта "Файл" в поле № 2

    Если отметить данный чекбокс, то политика перед внесением изменений будет создавать резервную копию файла, указанного в первом поле.

    Копия будет располагаться в той же директории, что и сам файл. Название копии будет "[ИМЯ ФАЙЛА].backup".

    Данная копия будет восстановлена в случае отмены политики.

    7

    Режим модификации содержимого файла



    Выбрать один из режимов модификации содержимого файла:

    Внимание: поля № 9 и 10 будут различаться в зависимости от выбранного здесь режима.

    • "Заменить строку" - в этом режиме политика будет в файле, указанном в первом поле, заменять строку, найденную по полям № 9 и 10, на данные, указанные в поле № 8.
    • "Добавить строку в конец" - в этом режиме политика будет добавлять в файл, указанный в первом поле, данные, указанные в поле № 8.
    • "Добавить строку по индексу" - в этом режиме политика будет заменять в файле, указанном в первом поле, строку, номер которой указан в поле № 9, на данные, указанные в поле № 8. 
    • "Заменить содержимое" - в этом режиме политика будет заменять все содержимое файла, указанного в первом поле, на содержимое, указанное в поле № 8.
    8

    Данные для добавления в файл

    Указать данные, которые будут вставлены в файл по правилам выбранного режима в поле № 7.


    		Режим модификации содержимого файла "Заменить строку"

    Режим модификации содержимого файла "Добавить строку в конец"

    Режим модификации содержимого файла "Добавить строку по индексу"

    Режим модификации содержимого файла "Заменить содержимое"

    ПолеНазначение поляПолеНазначение поляПолеНазначение поляПолеНазначение поля
    9Тип поиска строки

    Выбрать один из типов поиска:

    • "Префикс" – поиск строки текста, начинающейся заданными символами.
    • "Суффикс" – поиск строки текста, заканчивающейся заданными символами.
    • "Полное совпадение без учета регистра"

    Указать номер строки для добавления

    Указать номер строки, которая будет заменена политикой на данные, указанные в поле № 8. 

    10Данные для поиска строки

    Указать данные, по которым будет осуществляться поиск строки в файле, указанном в первом поле, в соответствии с типом поиска, указанном в поле № 9. Найденная строка будет заменена политикой на содержимое, указанное в поле № 8.


    Рисунок. Настройка "Настройки файловой системы"

    1.2.3. Настройка "Управление службами"

    Настройка позволяет запускать или останавливать службы при авторизации пользователей в домене.

    Настройка содержит поля:

    ПолеНазначение поля
    1Название сервиса

    Указать название сервиса, с которым требуется производить действия при авторизации пользователей в домене.

    2Действие над сервисом

    Выбрать одно из действий в списке, которое политика будет производить с сервисом, указанном в первом поле:

    • "Старт" - Запуск сервиса.
    • "Стоп" - Остановка сервиса.
    • "Рестарт" - Перезапуск сервиса.
    • "Включить" - Добавление сервиса в автозагрузку.
    • "Выключить" - Удаление сервиса из автозагрузки.


    Рисунок. Настройка "Управления службами"

    1.2.4. Настройка "Скрипт запуска"

    Настройка позволяет запускать скрипты из директории "/opt/avanpost/script/" на рабочей станции при старте ОС.

    Настройка содержит поля:

    ПолеНазначение поля
    1Название скрипта

    Указать название скрипта, который требуется запускать при авторизации пользователей в домене.

    2Действие

    Выбрать одно из действий:

    • "Создать" – в этом режиме политика будет создавать скрипт, указанный в первом поле, в случае его отсутствия.
    • "Удалить" – в этом режиме политика будет удалять скрипт, указанный в первом поле, в случае его присутствия.
    3Содержимое скрипта

    Указать содержимое скрипта, который требуется запускать при авторизации пользователей в домене. В случае присутствия в директории "/opt/avanpost/script/" скрипта с названием, указанным в первом поле, его содержимое будет заменено на содержимое этого поля.

    ВНИМАНИЕ:

    Bash скрипты необходимо начинать с команды: 

    #!/bin/bash


    Рисунок. Настройка "Скрипт запуска"

    1.2.5. Настройка "Logon Скрипт"

    Настройка позволяет запускать скрипты из директории "/etc/profile.d/" на рабочей станции при авторизации пользователя в домене.

    Настройка содержит поля:

    ПолеНазначение поля
    1Название скрипта

    Указать название скрипта, который требуется запускать при авторизации пользователей в домене.

    2Содержимое скрипта

    Указать содержимое скрипта, который требуется запускать при авторизации пользователей в домене. В случае присутствия в директории "/etc/profile.d/" скрипта с названием, указанным в первом поле, его содержимое будет заменено на содержимое этого поля.

    ВНИМАНИЕ:

    Bash скрипты необходимо начинать с команды: 

    #!/bin/bash


    Рисунок. Настройка "Logon Скрипт"

    1.2.6. Настройка "Монтирование сетевых ресурсов"

    Настройка позволяет монтировать сетевые ресурсы в локальные директории. Например, сетевые папки Samba.

    Настройка содержит поля:

    ПолеНазначение поля
    1Протокол хранения

    Выбрать из выпадающего списка использующийся протокол хранения сетевого ресурса: NFS или SMB.

    2Права доступа

    Выбрать из выпадающего списка права доступа к монтируемой директории:

    • RO – Только чтение
    • RW – Чтение и запись

    Поле доступно только при выборе протокола хранения NFS

    3Сетевой путь

    Указать путь к сетевому ресурсу в формате:
    ://доменное имя сервера/директория

    4Точка монтирования

    Указать путь к локальной директории, куда будет монтироваться сетевой ресурс.

    Пример монитрования NFS:
     mount -t nfs -o rw,users 192.168.1.100:/shared/data /mnt/nfs_share
    Пример монитрования SMB с типом авторизации "Kerberos":
     mount -t cifs -o sec=krb5,users,domain=MYDOMAIN //server/share /mnt/smb_share
    Пример монитрования SMB с типом авторизации "Гостевой":
     mount -t cifs -o guest,users,domain=MYDOMAIN //server/share /mnt/smb_share


    Рисунок. Настройка "Монтирование сетевых ресурсов"

    1.2.7. Настройка "Подключение сетевых принтеров"

    Настройка позволяет подключать сетевые принтеры на рабочих станциях.

    Настройка содержит поля:

    ПолеНазначение поля
    1Имя принтера

    Указать произвольное имя сетевого принтера.

    2URI принтера

    Указать URI сетевого принтера. Например, PRNT.Avanpost.local/10.10.0.155:631

    3Тип драйвера

    Выбрать из выпадающего списка тип драйвера сетевого принтера:

    • EVERYWHERE
    • PPD
    • RAW


    Рисунок. Настройка "Подключение сетевых принтеров"

    1.2.8. Настройка "Подключение USB-устройств"

    Настройка позволяет подключать USB-устройства на рабочих станциях.

    Настройка содержит поля:

    ПолеНазначение поля
    1Только известные устройства

    Отметить чекбокс, если требуется разрешить использование только заданного набора USB-устройств.

    2Имя правила

    Указать произвольное англоязычное имя для устройства.

    3PID устройства

    Указать PID устройства.

    PID (Product Identifier) — идентификатор модели устройства.

    4VID устройства

    Указать VID устройства.

    VID (Vendor Identifier) — идентификатор производителя устройства.


    Рисунок. Настройка "Подключение USB-устройств"

    1.3. Редактирование групповых политик

    Для редактирования групповых политик необходимо выполнить шаги:

    1. В списке политик в нижней части вкладки "Групповые политики" раздела "Политики" выбрать нужную политику.
    2. Внести изменения (изменить значения полей, добавить или удалить настройки).
    3. Нажать .

    1.4. Назначение групповых политик

    Назначение политики на контейнер осуществляется с помощью механизма drag-and-drop (перетаскивание с помощью мыши). Для этого необходимо на вкладке "Групповые Политики" раздела "Политики" раскрыть дерево иерархии объектов и переместить в выбранное подразделение требуемую политику из списка в нижней части вкладки. Назначенная политика отобразится в блоке "Связанные политики" для выбранного подразделения.

    • Все примененные к подразделению групповые политики пользователя выполняются при аутентификации пользователя из этого подразделения на любой рабочей станции в домене и затем один раз каждый час.
    • Все примененные к подразделению групповые политики компьютера выполняются при старте ОС на рабочих станциях из этого подразделения и затем один раз каждый час.


    Рисунок. Назначение политики

    1.5. Настройка приоритета выполнения групповых политик

    Назначенные политики применяются на соответствующих серверах и рабочих станциях в порядке наследования. Сначала применяются политики подразделения верхнего уровня, затем по иерархии политики вложенных подразделений до самого нижнего уровня, к которому принадлежит рабочая станция или сервер. 

    У назначенных политик в блоке "Связанные политики" вкладки "Групповые политики" можно отметить чекбокс "Принудительно". Такие политики применяются после применения всех непринудительных политик, начиная с подразделения самого нижнего уровня, затем по иерархии до подразделения верхнего уровня.


    Рисунок. Принудительные политики

    Рассмотрим пример применения политик на схеме:


    Схема. Порядок применения политик

    "Подразделение 2" состоит в "подразделении 1", "подразделение 3" состоит в "подразделении 2". К "подразделению 3" принадлежит "рабочая станция 1":

    • Подразделение 1
      •  Подразделение 2
        • Подразделение 3
          • Рабочая станция 1

    На "Подразделение 1" назначены "Политика 1" без маркера "Принудительно" и "Политика 6" с маркером "Принудительно". 

    На "Подразделение 2" назначены "Политика 2" без маркера "Принудительно" и "Политика 5" с маркером "Принудительно". 

    На "Подразделение 3" назначены "Политика 3" без маркера "Принудительно" и "Политика 4" с маркером "Принудительно". 

    Соответственно для рабочей станции 1 порядок применения политик будет следующий: "Политика 1"→"Политика 2"→"Политика 3"→"Политика 4"→"Политика 5"→"Политика 6".

    1.6. Отключение наследования от родительских подразделений

    Для отключения наследования от родительских подразделений необходимо на вкладке "Групповые политики" раздела "Политики" выбрать в доменной иерархии требуемое подразделение и отметить чекбокс "Запретить наследование".


    Рисунок. Запрет наследования

    1.7. Отмена групповых политик

    Для отмены групповой политики необходимо:

    1. На вкладке "Групповые политики" раздела "Политики" выбрать нужное подразделение в иерархии;
    2. Нажать кнопку в блоке "Связанные политики"  в строке требуемой политики;
    3. Подтвердить удаление во всплывающем окне.


    Рисунок. Отмена примененной политики

    1.8. Удаление групповых политик

    Удаление политики выполняется в блоке общего списка политик, расположенном в нижней части экрана на вкладке "Групповые политики" раздела "Политики".

    Для удаления политики необходимо нажать кнопку в строке нужной политики с последующим подтверждением удаления во всплывающем окне.

    Рисунок. Удаление политики

    2. Парольные политики

    Парольная политика задает базовые требования безопасности к паролям учетных записей пользователей. Такие как сложность, длину пароля, частоту смены пароля и другие. Надежная политика паролей позволяет снизить возможность подбора или перехвата паролей пользователей.

    Управление парольными политиками осуществляется на вкладке "Политики паролей" раздела "Политики" веб-интерфейса администратора Avanpost DS.

    2.1. Создание парольных политик

    Для создания парольной политики необходимо:

    1. Нажать кнопку ;
    2. Указать название и необходимые характеристики парольной политики;
    3. Нажать .

    Примечание:

    Для ГИС К1 необходимо выполнение следующих требований к характеристикам парольной политики:

    • длина пароля не менее восьми символов, алфавит пароля не менее 70 символов;
    • максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток;
    • блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут;
    • смена паролей не более чем через 60 дней.


    Рисунок. Политики паролей


    Рисунок. Создание политики паролей

    2.2. Назначение парольных политик

    Внимание!

    Не рекомендуется применять политику паролей для организационного подразделения или группы, в которой состоит пользователь Administrator, до предварительной проверки работоспособности политики на других пользователях во избежание нарушения работ по администрированию Системы. Предварительно рекомендуется выполнить резервное копирование по инструкции 7.11. Резервное копирование Avanpost DS и восстановление из копии

    2.2.1. Парольная политика, так же как и другие виды политик, может быть назначена на конкретное подразделение домена. Для это необходимо:

    1. На вкладке "Политики паролей" раздела "Политики" раскрыть дерево иерархии объектов и выбрать нужный контейнер (организационное подразделение);
    2. В поле "Текущая политика" открыть список доступных парольных политик и выбрать среди них необходимую.


    Рисунок. Назначение парольной политики

    2.2.2. Для применения парольной политики в отношении всех пользователей выбранной группы , необходимо:

    1. На вкладке "Политики паролей" раздела "Политики" в блоке "Управление политиками" нажать кнопку в строке нужной парольной политики;
    2. В открывшемся окне назначения политики нажать кнопку ;
    3. Откроется окно со списком групп. В нем отметить группы для назначения и нажать .


    Рисунок. Выбор групп для добавления

    2.3. Отмена парольной политики

    2.3.1. Для отмены парольной политики для организационного подразделения необходимо:

    1. На вкладке "Политики паролей" раздела "Политики" выбрать подразделение в дереве иерархии;
    2. В поле "Текущая политика" заменить текущую парольную политику на значение "Не назначено".


    Рисунок. Отмена примененной парольной политики для контейнера

    2.3.2. Для отмены парольной политики для группы пользователей необходимо:

    1.  На вкладке "Политики паролей" раздела "Политики" нажать в строке парольной политики;
    2. Отметить группы, для которых требуется отменить парольную политику, и нажать .



    Рисунок. Отмена примененной парольной политики для группы пользователей

    2.4. Удаление парольной политики

    Для удаления парольной политики без возможности дальнейшего ее использования необходимо на вкладке "Политики паролей" раздела "Политики" в блоке "Управление политиками" нажать кнопку в строке нужной политики и подтвердить операцию удаления во всплывающем окне.

    Рисунок. Удаление парольной политики

    3. Политики sudoers

    Политики sudoers позволяют управлять правами доступа с помощью sudoers ldap на рабочих станциях в домене Avanpost DS. Каждая созданная политика sudoers будет представлена в виде ldap объекта. По умолчанию эти объекты помещаются в DN: ou=sudoers,dc=system. Значение по умолчанию можно изменить в конфигурационном файле "/etc/sssd/sssd.conf".

    Пример /etc/sssd/sssd.conf
    ...
ldap_sudo_search_base = ou=sudoers,dc=system
ldap_sudo_full_refresh_interval=86400
ldap_sudo_smart_refresh_interval=3600
...

    При авторизации на доменных клиентах будет производится проверка локального файла sudoers и затем проверка политик sudoers.  

    Работа с политиками sudoers осуществляется на вкладке "Политики sudoers" раздела "Политики" веб-интерфейса администратора Avanpost DS.


    Рисунок. Вкладка "Политики sudoers"

    3.1. Создание политик sudoers

    Для создания политики sudoers необходимо:

    1. Нажать кнопку ;
    2. В открывшейся форме заполнить поля:
      ПолеЗначение
      1Порядок

      Указать приоритет применения права. В случае совпадения записей в разных политиках будет применена политика с наивысшим приоритетом.
      Если значение не указано то порядок будет 0.

      2Дата началаУказать время, начиная с которого будет разрешено использовать данное право. 
      3Дата окончанияУказать время, после которого будет запрещено использовать данное право.
      4ПользователиУказать имена учетных записей, которым предоставляется доступ. После ввода каждого значения необходимо нажать "Enter".
      5Команды

      Указать команды, которые будет разрешено выполнять. После ввода каждого значения необходимо нажать "Enter".
      Примеры значений:

      • ALL
      • !/bin/bash
      • sha224:0GomF8mNN3wlDt1HD9XldjJ3SNgpFdbjO1+NsQ /bin/ls
      6ХостыУказать имена хостов, или IP-адреса, или подсеть для политики. После ввода каждого значения необходимо нажать "Enter". Пример значения:
      client01.example.com 10.10.160.22 10.10.180.0/22
      7

      Указать группу, с правами которой будут выполняться команды sudo. Можно указывать uid группы с префиксом "#". После ввода каждого значения необходимо нажать "Enter".
      Примеры значений:

      • ALL
      • root
      • #1000
      8

      Указать пользователя, из под которого будут выполняться команды sudo. Можно указывать uid пользователя с префиксом "#". После ввода каждого значения необходимо нажать "Enter".
      Примеры значений:

      • ALL
      • root
      • #1000
      9

      Выбрать из выпадающего списка опции sudo для указанного пользователя:

      • NOPASSWD
      • PASSWD
      • NOEXEC
      • EXEC
      • SETENV
      • NOSETENV
      • LOG_INPUT
      • NOLOG_INPUT
    3. Нажать .

    3.2. Удаление политик sudoers

    Для удаления политики sudoers необходимо нажать в строке требуемой политики в списке на вкладке "Политики sudoers" раздела "Политики".


    Рисунок. Удаление политики sudoers

    Обсуждение