Управление групповыми политиками в Avanpost DS

В Avanpost DS используются следующие типы политик:

  1. Групповые политики для управления серверами и АРМ;
  2. Политики паролей для управления требованиями безопасности к паролям учетных записей пользователей;
  3. Политики sudoers для управления правами доступа с помощью sudoers ldap;
  4. Политики доступа к хостам (HBAC) для управления выдачей билетов kerberos на рабочих станциях в домене.

Управление политиками доступно в разделе "Политики" веб-интерфейса администратора Avanpost DS.

Внимание!

Доступ к разделу "Политики" имеют пользователи, состоящие в группе "Policy Administrators" и "Administrators".

Навигатор по разделу:

  • 1. Групповые политики
  • 2. Парольные политики
  • 3. Политики sudoers
  • 4. Политики доступа к хостам

    • 1. Групповые политики

    Групповые политики позволяют централизованно управлять настройками пользователей и рабочих станций в домене Avanpost DS.

    Работа с групповыми политиками осуществляется на вкладке "Групповые политики" раздела "Политики" веб-интерфейса администратора Avanpost DS.

    1.1. Создание групповых политик

    Для создания политики необходимо выполнить шаги:

    1. Нажать кнопку ;
    2. Заполнить в открывшейся форме название политики;
    3. Добавить необходимые настройки, выбрав их тип в списке слева и нажав кнопку (Можно добавлять несколько настроек любых типов в одну политику);

      Внимание!

      Типы настроек групповых политик делятся на две категории:

      • "Политики компьютера" – настройки этого типа применяются на всех включенных рабочих станциях. Интервал их применения задается с помощью настройки политики компьютера "Групповые политики".
      • "Политики пользователя" – настройки этого типа применяются на рабочих станциях после входа пользователя в систему.
    4. Заполнить необходимые поля для добавленных настроек (Подробно настройки политик описаны в разделе 1.2);
    5. Нажать . Созданная политика отобразится в списке политик внизу страницы в блоке "Политики" вкладки "Групповые политики" раздела "Политики".


    Рисунок. Создание политики

    1.2. Настройки групповых политик

    Типы настроек групповых политик делятся на две категории:

    • "Политики компьютера" – настройки этого типа применяются на всех включенных рабочих станциях. Интервал их применения задается с помощью настройки политики компьютера "Групповые политики".
    • "Политики пользователя" – настройки этого типа применяются на рабочих станциях после входа пользователя в систему.

    Для создания групповых политик доступны следующие типы настроек:

    1.2.1. Настройка "Управление составом ПО" 

    Настройка позволяет управлять установкой, удалением и обновлением пакетов. 

    Настройка содержит поля:

    ПолеНазначение поля
    Название пакета

    Указать название пакета, с которым требуется производить действия при авторизации пользователей в домене.

    Можно указать как просто название пакета, так и точную версию.

    ДействиеВыбрать действие, которое будет выполнено с данным пакетом: "установить", "удалить" или "обновить".


    Рисунок. Настройка "Управление составом ПО"

    1.2.2. "Настройки файловой системы"

    Настройка позволяет управлять правами доступа пользователей к директориям и файлам, создавать и удалять файлы или директории, вносить изменения в файлы.

    Настройка содержит поля:

    ПолеНазначение поля
    1Путь к файлу/директории в формате /home/surname/dirУказать путь к директории или файлу, с которым требуется производить действия.
    2Тип

    Выбрать из выпадающего списка тип объекта, с которым требуется производить действия:

    • "Директория" – для выполнения действий с директорией;
    • "Файл" – для выполнения действий с любыми файлами;
    • "Конфигурационный файл" – для выполнения действий с конфигурационными файлами типов JSON, YAML, TOML, INI, XML на основе структуры ConfigResources
    3

    Тип конфигурационного файла

    Поле доступно только для типа объекта "Конфигурационный файл" в поле № 2.

    Выбрать из выпадающего списка тип конфигурационного файла:

    • JSON
    • YAML
    • TOML
    • INI
    • XML

    Все форматы поддерживают единый механизм задания значений по пути (AttributePath), включая вложенные ключи, массивы и фильтры по атрибутам.

    4

    Ресурсы конфигурационного файла

    Поле доступно только для типа объекта "Конфигурационный файл" в поле № 2.

    Задать атрибуты, которые требуется изменить, и их значения. Для добавления атрибута необходимо:

    1. Нажать ;
    2. Указать Путь к селектору или атрибуту и его Значение в соответствующих полях.
    ТипПравила задания путей
    JSON, YAML, TOML
    1. Вложенность через символ "."
      Пример пути и значения
      db.connection.host = localhost

      Результат для примера
      db:
  connection:
    host: localhost
    2. Вложенность через символы "[]"
      Пример пути и значения
      db.connection.servers[name="app"].port = 8080

      Результат для примера
      db:
  connection:
       servers:
            - name: app
              port: "8080"
    INI
    Вложенность через символ ".". Первая часть пути — это секция, последняя — ключ.
    Пример пути и значения
    db.connection.host = localhost

    Результат для примера
    [db.connection]
host = localhost
    XML

    Вложенность через символ ".". Символ "@" ставится перед именем атрибута. Фильтр для уникализации элемента можно указать в квадратных скобках "[]".

    Пример путей и значений
    host.@id = 123
hosts[name="Test"].port =  8080

    Результат для примера
    <host id="123"/>
<hosts name="Test">
  <port>8080</port>
</hosts>


    5Posix разрешения

    Указать posix разрешения для объекта. Данные разрешения будут применены политикой к объекту, указанному в первом поле.
    Для этого требуется отметить чекбоксы, отвечающие за нужные права для разных субъектов:

    • "R" – права на чтение;
    • "W" – права на запись;
    • "X" –  права на исполнение;
    6Владелец объекта

    Указать владельца файла и группу владельца в формате пользователь:группа. Данные настройки будут применены политикой к объекту, указанному в первом поле.

    7Действие

    Выбрать одно из действий:

    • "Создать" – в этом режиме политика будет создавать объект, указанный в первом поле, в случае его отсутствия.
    • "Обновить" – в этом режиме политика будет перезаписывать объект, указанный в первом поле.
    • "Удалить" – в этом режиме политика будет удалять объект, указанный в первом поле, в случае его присутствия.
    8

    Создать резервную копию файла

    Поле доступно только для типов объекта "Файл" и "Конфигурационный файл" в поле № 2.

    Если отметить данный чекбокс, то политика перед внесением изменений будет создавать резервную копию файла, указанного в первом поле.
    Копия будет располагаться в той же директории, что и сам файл. Название копии будет "[ИМЯ ФАЙЛА].backup".
    Данная копия будет восстановлена в случае отмены политики.

    9

    Режим модификации содержимого файла

    Поля № 9 и далее доступны только в случае типа объекта "Файл" в поле № 2.



    Выбрать один из режимов модификации содержимого файла:

    Внимание: поля № 11 и 12 будут различаться в зависимости от выбранного здесь режима.

    • "Заменить строку" – в этом режиме политика будет в файле, указанном в первом поле, заменять строку, найденную по полям № 11 и 12, на данные, указанные в поле № 10.
    • "Добавить строку в конец" – в этом режиме политика будет добавлять в файл, указанный в первом поле, данные, указанные в поле № 10.
    • "Добавить строку по индексу" – в этом режиме политика будет заменять в файле, указанном в первом поле, строку, номер которой указан в поле № 11, на данные, указанные в поле № 10. 
    • "Заменить содержимое" – в этом режиме политика будет заменять все содержимое файла, указанного в первом поле, на содержимое, указанное в поле № 10.
    10

    Данные для добавления в файл

    Указать данные, которые будут вставлены в файл по правилам выбранного режима в поле № 9.


    		Режим модификации содержимого файла "Заменить строку"

    Режим модификации содержимого файла "Добавить строку в конец"

    Режим модификации содержимого файла "Добавить строку по индексу"

    Режим модификации содержимого файла "Заменить содержимое"

    ПолеНазначение поляПолеНазначение поляПолеНазначение поляПолеНазначение поля
    11Тип поиска строки

    Выбрать один из типов поиска:

    • "Префикс" – поиск строки текста, начинающейся заданными символами.
    • "Суффикс" – поиск строки текста, заканчивающейся заданными символами.
    • "Полное совпадение без учета регистра"

    Указать номер строки для добавления

    Указать номер строки, которая будет заменена политикой на данные, указанные в поле № 8. 

    12Данные для поиска строки

    Указать данные, по которым будет осуществляться поиск строки в файле, указанном в первом поле, в соответствии с типом поиска, указанном в поле № 9. Найденная строка будет заменена политикой на содержимое, указанное в поле № 8.


    Рисунок. Настройка "Настройки файловой системы"

    1.2.3. Настройка "Управление службами"

    Настройка позволяет запускать или останавливать службы при авторизации пользователей в домене.

    Настройка содержит поля:

    ПолеНазначение поля
    Название сервиса

    Указать название сервиса, с которым требуется производить действия при авторизации пользователей в домене.

    Действие

    Выбрать одно из действий в списке, которое политика будет производить с сервисом, указанном в первом поле:

    • "Старт" - Запуск сервиса.
    • "Стоп" - Остановка сервиса.
    • "Рестарт" - Перезапуск сервиса.
    • "Включить" - Добавление сервиса в автозагрузку.
    • "Выключить" - Удаление сервиса из автозагрузки.


    Рисунок. Настройка "Управления службами"

    1.2.4. Настройка "Скрипт запуска"

    Настройка позволяет запускать скрипты из директории "/opt/avanpost/script/" на рабочей станции при старте ОС.

    Настройка содержит поля:

    ПолеНазначение поля
    Название скрипта

    Указать название скрипта, который требуется запускать на рабочей станции при старте ОС.

    Содержимое скрипта

    Указать содержимое скрипта, который требуется запускать при авторизации пользователей в домене. В случае присутствия в директории "/opt/avanpost/script/" скрипта с названием, указанным в первом поле, его содержимое будет заменено на содержимое этого поля.

    ВНИМАНИЕ:

    Bash скрипты необходимо начинать с команды: 

    #!/bin/bash
    Выполнять с обновлением

    Отметить чекбокс для обновления содержимого указанного скрипта.


    Рисунок. Настройка "Скрипт запуска"

    1.2.5. Настройка "Logon Скрипт"

    Настройка позволяет запускать скрипты из директории "/etc/profile.d/" на рабочей станции в домене при аутентификации пользователя.

    Настройка содержит поля:

    ПолеНазначение поля
    Название скрипта

    Указать название скрипта, который требуется запускать при аутентификации пользователей в домене.

    Содержимое скрипта

    Указать содержимое скрипта, который требуется запускать при аутентификации пользователей в домене. В случае присутствия в директории "/etc/profile.d/" скрипта с названием, указанным в первом поле, его содержимое будет заменено на содержимое этого поля.

    ВНИМАНИЕ:

    Bash скрипты необходимо начинать с команды: 

    #!/bin/bash
    Выполнять с обновлением

    Отметить чекбокс для обновления содержимого указанного скрипта.

    Контекст выполнения

    Выбрать из выпадающего списка один из вариантов выполнения скрипта:

    • "Текущий пользователь" – для выполнения скрипта от имени текущего пользователя.
    • "ROOT" – для выполнения скрипта от имени администратора.


    Рисунок. Настройка "Logon Скрипт"

    1.2.6. Настройка "Монтирование сетевых ресурсов"

    Настройка позволяет монтировать сетевые ресурсы в локальные директории. Например, сетевые папки Samba.

    Настройка содержит поля:

    ПолеНазначение поля
    Протокол хранения

    Выбрать из выпадающего списка использующийся протокол хранения сетевого ресурса: NFS или SMB.

    Права доступа

    Выбрать из выпадающего списка права доступа к монтируемой директории:

    • RO – Только чтение
    • RW – Чтение и запись

    Поле доступно только при выборе протокола хранения NFS.

    Сетевой путь

    Указать путь к сетевому ресурсу в формате:
    ://доменное имя сервера/директория

    Точка монтирования

    Указать путь к локальной директории, куда будет монтироваться сетевой ресурс.

    Пример монитрования NFS:
     mount -t nfs -o rw,users 192.168.1.100:/shared/data /mnt/nfs_share
    Пример монитрования SMB с типом авторизации "Kerberos":
     mount -t cifs -o sec=krb5,users,domain=MYDOMAIN //server/share /mnt/smb_share
    Пример монитрования SMB с типом авторизации "Гостевой":
     mount -t cifs -o guest,users,domain=MYDOMAIN //server/share /mnt/smb_share


    Рисунок. Настройка "Монтирование сетевых ресурсов"

    1.2.7. Настройка "Подключение сетевых принтеров"

    Настройка позволяет подключать сетевые принтеры на рабочих станциях.

    Настройка содержит поля:

    ПолеНазначение поля
    Имя принтера

    Указать произвольное имя сетевого принтера.

    URI принтера

    Указать URI сетевого принтера. Например, PRNT.Avanpost.local/10.10.0.155:631

    Тип драйвера

    Выбрать из выпадающего списка тип драйвера сетевого принтера:

    • EVERYWHERE
    • PPD
    • RAW


    Рисунок. Настройка "Подключение сетевых принтеров"

    1.2.8. Настройка "Подключение USB-устройств"

    Настройка позволяет подключать USB-устройства на рабочих станциях.

    Настройка содержит поля:

    ПолеНазначение поля
    Только известные устройства

    Отметить чекбокс, если требуется разрешить использование только заданного набора USB-устройств.

    Имя правила

    Указать произвольное англоязычное имя для устройства.

    Serial устройства

    Указать серийный номер устройства.

    PID устройства

    Указать PID устройства.

    PID (Product Identifier) — идентификатор модели устройства.

    VID устройства

    Указать VID устройства.

    VID (Vendor Identifier) — идентификатор производителя устройства.


    Рисунок. Настройка "Подключение USB-устройств"

    1.2.9. Настройка "Групповые политики"

    Настройка позволяет задать интервал применения политик компьютера на рабочих станциях.

    Настройка содержит поля:

    ПолеНазначение поля
    Интервал обновления

    Указать интервал применения политик компьютера на рабочих станциях в минутах.

    Диапазон случайного смещения

    Указать максимальное значение в минутах, до которого может быть смещен интервал применения политик компьютера.


    Рисунок. Настройка "Групповые политики"

    1.2.10. Настройка "Сертификаты"

    Настройка позволяет подключить управление сертификатами с помощью Avanpost CA.

    Настройка для политики компьютера содержит поля:

    ПолеНазначение поля
    Имя хоста Avanpost CA

    Указать имя сервера Avanpost CA.

    URL Avanpost CA

    Указать URL адрес Avanpost CA.

    Шаблон сертификата по умолчанию

    Указать шаблон сертификата из Avanpost CA по умолчанию.

    Настройка для политики пользователя содержит поля:

    ПолеНазначение поля
    Шаблон сертификата по умолчанию

    Указать шаблон сертификата по умолчанию.


    Рисунок. Настройка "Сертификаты"

    1.3. Редактирование групповых политик

    Для редактирования групповых политик необходимо выполнить шаги:

    1. В списке политик в нижней части вкладки "Групповые политики" раздела "Политики" выбрать нужную политику.
    2. Внести изменения (изменить значения полей, добавить или удалить настройки).
    3. Нажать .

    1.4. Назначение групповых политик

    Назначение политики на контейнер осуществляется с помощью механизма drag-and-drop (перетаскивание с помощью мыши). Для этого необходимо на вкладке "Групповые Политики" раздела "Политики" раскрыть дерево иерархии объектов и переместить в выбранное подразделение требуемую политику из списка в нижней части вкладки. Назначенная политика отобразится в блоке "Связанные политики" для выбранного подразделения.

    • Все примененные к подразделению групповые политики пользователя выполняются при аутентификации пользователя из этого подразделения на любой рабочей станции в домене и затем один раз каждый час.
    • Все примененные к подразделению групповые политики компьютера выполняются при старте ОС на рабочих станциях из этого подразделения и затем один раз в заданный с помощью настройки "Групповые политики" интервал.


    Рисунок. Назначение политики

    1.5. Настройка приоритета выполнения групповых политик

    Назначенные политики применяются на соответствующих серверах и рабочих станциях в порядке наследования. Сначала применяются политики подразделения верхнего уровня, затем по иерархии политики вложенных подразделений до самого нижнего уровня, к которому принадлежит рабочая станция или сервер. 

    У назначенных политик в блоке "Связанные политики" вкладки "Групповые политики" можно отметить чекбокс "Принудительно" и нажать кнопку "Сохранить". Такие политики применяются после применения всех непринудительных политик, начиная с подразделения самого нижнего уровня, затем по иерархии до подразделения верхнего уровня.


    Рисунок. Принудительные политики

    Рассмотрим пример применения политик на схеме:


    Схема. Порядок применения политик

    "Подразделение 2" состоит в "подразделении 1", "подразделение 3" состоит в "подразделении 2". К "подразделению 3" принадлежит "рабочая станция 1":

    • Подразделение 1
      •  Подразделение 2
        • Подразделение 3
          • Рабочая станция 1

    На "Подразделение 1" назначены "Политика 1" без маркера "Принудительно" и "Политика 6" с маркером "Принудительно". 

    На "Подразделение 2" назначены "Политика 2" без маркера "Принудительно" и "Политика 5" с маркером "Принудительно". 

    На "Подразделение 3" назначены "Политика 3" без маркера "Принудительно" и "Политика 4" с маркером "Принудительно". 

    Соответственно для рабочей станции 1 порядок применения политик будет следующий: "Политика 1"→"Политика 2"→"Политика 3"→"Политика 4"→"Политика 5"→"Политика 6".

    1.6. Отключение наследования от родительских подразделений

    Для отключения наследования от родительских подразделений необходимо на вкладке "Групповые политики" раздела "Политики" выбрать в доменной иерархии требуемое подразделение и отметить чекбокс "Запретить наследование".


    Рисунок. Запрет наследования

    1.7. Отмена групповых политик

    Для отмены групповой политики необходимо:

    1. На вкладке "Групповые политики" раздела "Политики" выбрать нужное подразделение в иерархии;
    2. Нажать кнопку в блоке "Связанные политики"  в строке требуемой политики;
    3. Подтвердить удаление во всплывающем окне.


    Рисунок. Отмена примененной политики

    1.8. Удаление групповых политик

    Удаление политики выполняется в блоке общего списка политик, расположенном в нижней части экрана на вкладке "Групповые политики" раздела "Политики".

    Для удаления политики необходимо нажать кнопку в строке нужной политики с последующим подтверждением удаления во всплывающем окне.

    Рисунок. Удаление политики

    2. Парольные политики

    Парольная политика задает базовые требования безопасности к паролям учетных записей пользователей. Такие как сложность, длину пароля, частоту смены пароля и другие. Надежная политика паролей позволяет снизить возможность подбора или перехвата паролей пользователей.

    Управление парольными политиками осуществляется на вкладке "Политики паролей" раздела "Политики" веб-интерфейса администратора Avanpost DS.

    2.1. Создание парольных политик

    Для создания парольной политики необходимо:

    1. Нажать кнопку ;
    2. Указать название и необходимые характеристики парольной политики;
    3. Нажать .

    Примечание:

    Для ГИС К1 необходимо выполнение следующих требований к характеристикам парольной политики:

    • длина пароля не менее восьми символов, алфавит пароля не менее 70 символов;
    • максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток;
    • блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут;
    • смена паролей не более чем через 60 дней.


    Рисунок. Создание политики паролей

    2.2. Назначение парольных политик

    Внимание!

    Не рекомендуется применять политику паролей для организационного подразделения или группы, в которой состоит пользователь Administrator, до предварительной проверки работоспособности политики на других пользователях во избежание нарушения работ по администрированию Системы. Предварительно рекомендуется выполнить резервное копирование по инструкции 7.11. Резервное копирование Avanpost DS и восстановление из копии

    2.2.1. Парольная политика, так же как и другие виды политик, может быть назначена на конкретное подразделение домена. Для это необходимо:

    1. На вкладке "Политики паролей" раздела "Политики" раскрыть дерево иерархии объектов и выбрать нужный контейнер (организационное подразделение);
    2. В поле "Текущая политика" открыть список доступных парольных политик и выбрать среди них необходимую.


    Рисунок. Назначение парольной политики

    2.2.2. Для применения парольной политики в отношении всех пользователей выбранной группы , необходимо:

    1. На вкладке "Политики паролей" раздела "Политики" в блоке "Управление политиками" нажать кнопку в строке нужной парольной политики;
    2. В открывшемся окне назначения политики нажать кнопку ;
    3. Откроется окно со списком групп. В нем отметить группы для назначения и нажать .


    Рисунок. Выбор групп для добавления

    2.3. Отмена парольной политики

    2.3.1. Для отмены парольной политики для организационного подразделения необходимо:

    1. На вкладке "Политики паролей" раздела "Политики" выбрать подразделение в дереве иерархии;
    2. В поле "Текущая политика" заменить текущую парольную политику на значение "Не назначено".


    Рисунок. Отмена примененной парольной политики для контейнера

    2.3.2. Для отмены парольной политики для группы пользователей необходимо:

    1.  На вкладке "Политики паролей" раздела "Политики" нажать в строке парольной политики;
    2. Отметить группы, для которых требуется отменить парольную политику, и нажать .



    Рисунок. Отмена примененной парольной политики для группы пользователей

    2.4. Удаление парольной политики

    Для удаления парольной политики без возможности дальнейшего ее использования необходимо на вкладке "Политики паролей" раздела "Политики" в блоке "Управление политиками" нажать кнопку в строке нужной политики и подтвердить операцию удаления во всплывающем окне.

    Рисунок. Удаление парольной политики

    3. Политики sudoers

    Политики sudoers позволяют управлять правами доступа на рабочих станциях в домене Avanpost DS с помощью sudoers ldap. Каждая созданная политика sudoers будет представлена в виде ldap объекта. По умолчанию эти объекты помещаются в DN: ou=sudoers,dc=system. Значение по умолчанию можно изменить в конфигурационном файле "/etc/sssd/sssd.conf".

    Пример /etc/sssd/sssd.conf
    ...
ldap_sudo_search_base = ou=sudoers,dc=system
ldap_sudo_full_refresh_interval=86400
ldap_sudo_smart_refresh_interval=3600
...

    При авторизации на доменных клиентах будет производится проверка локального файла sudoers и затем проверка политик sudoers.  

    Работа с политиками sudoers осуществляется на вкладке "Политики sudoers" раздела "Политики" веб-интерфейса администратора Avanpost DS.


    Рисунок. Вкладка "Политики sudoers"

    3.1. Создание политик sudoers

    Для создания политики sudoers необходимо:

    1. Нажать кнопку ;
    2. В открывшейся форме заполнить поля:
      ПолеЗначение
      Порядок

      Указать приоритет применения права. В случае совпадения записей в разных политиках будет применена политика с наивысшим приоритетом.
      Если значение не указано то порядок будет 0.

      Дата началаУказать время, начиная с которого будет разрешено использовать данное право. 
      Дата окончанияУказать время, после которого будет запрещено использовать данное право.
      ПользователиУказать имена учетных записей, которым предоставляются права. После ввода каждого значения необходимо нажать "Enter". Для указания всех пользователей требуется ввести значение "ALL".
      Команды

      Указать команды, которые будет разрешено выполнять. После ввода каждого значения необходимо нажать "Enter".
      Примеры значений:

      • ALL
      • !/bin/bash
      • sha224:0GomF8mNN3wlDt1HD9XldjJ3SNgpFdbjO1+NsQ /bin/ls
      Хосты

      Указать имена хостов, или IP-адреса, или подсеть для политики. После ввода каждого значения необходимо нажать "Enter". Примеры значений:

      • client01.example.com
      • 10.10.160.22
      • 10.10.180.0/22

      Указать группы, от имени которых будет разрешено выполнение команд. Можно указывать uid группы с префиксом "#". После ввода каждого значения необходимо нажать "Enter".
      Примеры значений:

      • ALL
      • root
      • #1000

      Указать пользователей, от имени которых будет разрешено выполнение команд. Можно указывать uid пользователя с префиксом "#". После ввода каждого значения необходимо нажать "Enter".
      Примеры значений:

      • ALL
      • root
      • #1000

      Выбрать из выпадающего списка опции sudo для указанных пользователей:

      • NOPASSWD
      • PASSWD
      • NOEXEC
      • EXEC
      • SETENV
      • NOSETENV
      • LOG_INPUT
      • NOLOG_INPUT
    3. Нажать .

    3.2. Удаление политик sudoers

    Для удаления политики sudoers необходимо нажать в строке требуемой политики в списке на вкладке "Политики sudoers" раздела "Политики".


    Рисунок. Удаление политики sudoers

    4. Политики доступа к хостам

    Политики доступа к хостам (HBAC) позволяют разрешать и блокировать выдачу билетов kerberos на рабочих станциях в домене Avanpost DS.
    Управление HBAC политиками осуществляется на вкладке "Политики доступа к хостам" раздела "Политики" веб-интерфейса администратора Avanpost DS.

    4.1. Режимы работы политик доступа к хостам

    Политики доступа к хостам имеют три режима работы:

    • "Выключено" – отключение всех политик доступа к хостам.
    • "Включено" – включение всех политик доступа к хостам.
    • "Аудит" – включение всех политик доступа к хостам без блокировки выдачи билетов Kerberos. Включение логирования выдачи билетов Kerberos в журнал безопасности. 

    Для изменения режима работы необходимо:

    1. Нажать на вкладке "Политики доступа к хостам" раздела "Политики".
    2. Выбрать требуемый режим.
    3. Нажать .

    Рисунок. Режим работы политик HBAC

    4.2. Создание политик доступа к хостам

    Для создания политики необходимо выполнить шаги:

    1. Нажать кнопку ;
    2. Заполнить в открывшейся форме поля:
      ПолеЗначение
      НазваниеУказать произвольное название для новой политики доступа к хостам.
      ОписаниеУказать произвольное описание для новой политики доступа к хостам.
      Тип политики

      Выбрать один из вариантов:

      • "Разрешение" – для создания политики, разрешающей выдачу билетов kerberos на рабочих станциях.
      • "Запрет" – для создания политики, блокирующей выдачу билетов kerberos на рабочих станциях.
      Пользователи

      Выбрать один из вариантов:

      • "Все" – для применения политики в отношении всех пользователей в подразделении, на которое будет назначена политика.
      • "Ограниченные" – для применения политики в отношении выбранных пользователей или групп пользователей в подразделении, на которое будет назначена политика.
        Для выбора пользователей необходимо:
        1. Нажать кнопку .
        2. В открывшемся окне отметить требуемых пользователей или группы.
        3. Нажать .
      Компьютеры

      Выбрать один из вариантов:

      • "Все" – для применения политики в отношении всех рабочих станций в подразделении, на которое будет назначена политика.
      • "Ограниченные" – для применения политики в отношении выбранных рабочих станций или групп рабочих станций в подразделении, на которое будет назначена политика.
        Для выбора рабочих станций необходимо:
        1. Нажать кнопку .
        2. В открывшемся окне отметить требуемые рабочие станции или группы.
        3. Нажать .
      Службы

      Выбрать один из вариантов:

      • "Все" – для применения политики в отношении всех служб в подразделении, на которое будет назначена политика.
      • "Ограниченные" – для применения политики в отношении выбранных служб в подразделении, на которое будет назначена политика.
        Для выбора служб необходимо:
        1. Нажать кнопку .
        2. В открывшемся окне отметить требуемые службы.
        3. Нажать .
    3. Нажать . Созданная политика отобразится в списке политик внизу страницы в блоке "Политики" вкладки "Политики доступа к хостам" раздела "Политики".

    4.3. Редактирование политик доступа к хостам

    Для редактирования политик доступа к хостам необходимо выполнить шаги:

    1. В списке политик в нижней части вкладки "Политики доступа к хостам" раздела "Политики" выбрать нужную политику.
    2. Изменить значения полей.
    3. Нажать .

    4.4. Назначение политик доступа к хостам

    Назначение политики на контейнер осуществляется с помощью механизма drag-and-drop (перетаскивание с помощью мыши). Для этого необходимо на вкладке "Политики доступа к хостам" раздела "Политики" раскрыть дерево иерархии объектов и переместить в выбранное подразделение требуемую политику из списка в нижней части вкладки. Назначенная политика отобразится в блоке "Связанные политики" для выбранного подразделения.


    Рисунок. Назначение политики HBAC

    4.5. Отключение наследования политик доступа к хостам от родительских подразделений

    Для отключения наследования от родительских подразделений необходимо на вкладке "Политики доступа к хостам" раздела "Политики" выбрать в доменной иерархии требуемое подразделение и отметить чекбокс "Запретить наследование".


    Рисунок. Запрет наследования HBAC

    4.6. Отмена политик доступа к хостам

    Для отмены назначенной политики доступа к хостам необходимо:

    1. На вкладке "Политики доступа к хостам" раздела "Политики" выбрать нужное подразделение в иерархии;
    2. Нажать кнопку в блоке "Связанные политики"  в строке требуемой политики;
    3. Подтвердить удаление во всплывающем окне.


    Рисунок. Отмена примененной политики HBAC

    4.7. Удаление политик доступа к хостам

    Удаление политики доступа к хостам выполняется в блоке общего списка политик, расположенном в нижней части экрана на вкладке "Политики доступа к хостам" раздела "Политики".

    Для удаления политики необходимо нажать кнопку в строке нужной политики с последующим подтверждением удаления во всплывающем окне.

    Рисунок. Удаление политики HBAC

    Обсуждение