Групповые политики/Polkit: различия между версиями
| Строка 141: | Строка 141: | ||
|- | |- | ||
| Общая политика монтирования | | Общая политика монтирования | ||
| Данная политика предоставляет или ограничивает разрешения на монтирование | | Данная политика предоставляет или ограничивает разрешения на монтирование файловой системы, монтирование файловых систем системных устройств, монтирование файловых систем в удалённых сеансах. | ||
| | | | ||
org.freedesktop.udisks2.filesystem-mount | org.freedesktop.udisks2.filesystem-mount | ||
| Строка 151: | Строка 151: | ||
| org.freedesktop.udisks2.filesystem-mount | | org.freedesktop.udisks2.filesystem-mount | ||
|- | |- | ||
| Разрешение на монтирование | | Разрешение на монтирование файловых систем в удалённых сеансах | ||
| Данная политика предоставляет или ограничивает разрешения на монтирование | | Данная политика предоставляет или ограничивает разрешения на монтирование файловых систем с устройства, подключенного к удалённому рабочему месту (например, на другом компьютере или удаленной сессии). | ||
| org.freedesktop.udisks2.filesystem-mount-other-seat | | org.freedesktop.udisks2.filesystem-mount-other-seat | ||
|- | |- | ||
| Разрешение на монтирование системных | | Разрешение на монтирование файловых систем системных устройств | ||
| Политика предоставляет или ограничивает разрешения на монтирование системных | | Политика предоставляет или ограничивает разрешения на монтирование файловых систем системных устройств. | ||
(Системное устройство хранения информации — это неизвлекаемое устройство. Для таких устройств переменная HintSystem установлена в значение "True". Жёсткий диск с установленной ОС относится к системным устройствам.) | |||
| org.freedesktop.udisks2.filesystem-mount-system | | org.freedesktop.udisks2.filesystem-mount-system | ||
|} | |} | ||
Версия от 17:48, 18 апреля 2023
Описание
Через групповые политики реализовано управление настройками службы Polkit (PolicyKit).
Настройка политики
На рабочей станции
Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.
Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, куда входят машины, для которых создаётся политика.
Шаг 3. Запустить GPUI:
- из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
- или с указанием каталога групповой политики:
$ gpui-main -p "smb://dc.test.alt/SysVol/test.alt/Policies/{C5CBB0CF-07E7-41E4-A5AC-FCA0B0C82672}"
где dc.test.alt — имя контроллера домена, а "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}" — GUID шаблона групповой политики для редактирования.
Откроется окно редактирования групповых политик.
Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Административные шаблоны» -> «Система ALT» -> «Правила Polkit». Здесь есть два раздела («Разрешения PackageKit» и «Разрешения Udisks2»):
Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик:
Шаг 6. При выборе политики, откроется диалоговое окно настройки соответствующей политики:
Можно не задавать настройку политики, включить или отключить. Если политика находится в состоянии «Отключено»/«Не сконфигурировано» разрешения определяются системными параметрами (по умолчанию — «Auth_admin»).
Если выбрать параметр «Включено», в разделе «Опции» в выпадающем списке можно выбрать вариант ограничения для данного разрешения:
Если выбран параметр «Включено», для каждой из этих политик доступны следующие разрешения:
- «No» — заблокировать разрешения (пользователю не разрешено выполнять действие);
- «Yes» — предоставить разрешения (пользователь может выполнять действие без какой-либо аутентификации);
- «Auth_self» — пользователь должен ввести свой пароль для аутентификации. Обратите внимание, этого разрешения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется разрешение «Auth_admin»;
- «Auth_admin» — пользователь должен ввести пароль администратора при каждом запросе. Требуется аутентификация пользователя с правами администратора;
- «Auth_self_keep» — подобно «Auth_self», но авторизация сохраняется в течение короткого периода времени (например, пять минут). Обратите внимание, этого разрешения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется разрешение «Auth_admin_keep»;
- «Auth_admin_keep» — аналогично «Auth_admin», но авторизация сохраняется в течение короткого периода времени (например, пять минут).
polkit.addAdminRule(function(action, subject) {
return ["unix-group:wheel"];
});
На машине Windows
Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).
Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU.
Шаг 3. В контекстном меню GPO выбрать пункт «Изменить». Откроется редактор GPO.
Шаг 4. Перейти в «Конфигурация компьютера»/«Конфигурация пользователя» -> «Политики» -> «Административные шаблоны» -> «Система ALT» -> «Правила Polkit». Здесь есть два раздела («Разрешения PackageKit» и «Разрешения Udisks2»):
Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик и их состояние:
Шаг 6. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики:
Можно не задавать настройку политики, включить или отключить. Можно не задавать настройку политики, включить или отключить. Если политика находится в состоянии «Отключить»/«Не задано» разрешения определяются системными параметрами (по умолчанию — «Auth_admin»).
Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно выбрать вариант ограничения для данного разрешения:
Правила Polkit
Разрешения PackageKit
| Политика | Описание | Правило Polkitd для демона PackageKit |
|---|---|---|
| Разрешение на восстановление пакетов в системе | Данная политика предоставляет или ограничивает пользователям права на восстановление системы пакетов, если в ней возникли проблемы, например, пропали зависимости, посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.repair-system |
| Разрешение на добавление ключа электронной подписи | Данная политика предоставляет или ограничивает пользователям право на добавление ключа подписи в список доверенных ключей системы посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.system-trust-signing-key |
| Разрешение на обновление пакетов | Данная политика предоставляет или ограничивает пользователям права на обновление пакетов, установленных в систему, посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.system-update |
| Разрешение на обновление системных источников пакетов | Данная политика предоставляет или ограничивает пользователям права на обновление системных источников пакетов посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.system-sources-refresh |
| Разрешение на переустановку пакетов | Данная политика предоставляет или ограничивает пользователям право на переустановку пакетов посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.package-reinstall |
| Разрешение на принятие лицензионного соглашения | Данная политика предоставляет или ограничивает право на принятие пользовательского соглашения программ посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.package-eula-accept |
| Разрешение на редактирование источников пакетов | Данная политика предоставляет или ограничивает пользователям права на редактирование источников пакетов в системе посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.system-sources-configure |
| Разрешение на удаление пакетов | Данная политика предоставляет или ограничивает пользователям права на удаление пакетов посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.package-remove |
| Разрешение на установку пакетов | Данная политика предоставляет или ограничивает пользователям права на установку пакетов посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.package-install |
| Разрешение на установку непроверенных пакетов | Данная политика предоставляет или ограничивает пользователям права на установку ненадёжных или непроверенных пакетов посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.package-install-untrusted |
Разрешения Udisks2
| Политика | Описание | Правило Polkitd для демона udisk2 |
|---|---|---|
| Общая политика монтирования | Данная политика предоставляет или ограничивает разрешения на монтирование файловой системы, монтирование файловых систем системных устройств, монтирование файловых систем в удалённых сеансах. |
org.freedesktop.udisks2.filesystem-mount org.freedesktop.udisks2.filesystem-mount-other-seat org.freedesktop.udisks2.filesystem-mount-system |
| Разрешение на монтирование файловой системы | Данная политика управляет разрешением на монтирование файловой системы устройства. | org.freedesktop.udisks2.filesystem-mount |
| Разрешение на монтирование файловых систем в удалённых сеансах | Данная политика предоставляет или ограничивает разрешения на монтирование файловых систем с устройства, подключенного к удалённому рабочему месту (например, на другом компьютере или удаленной сессии). | org.freedesktop.udisks2.filesystem-mount-other-seat |
| Разрешение на монтирование файловых систем системных устройств | Политика предоставляет или ограничивает разрешения на монтирование файловых систем системных устройств.
(Системное устройство хранения информации — это неизвлекаемое устройство. Для таких устройств переменная HintSystem установлена в значение "True". Жёсткий диск с установленной ОС относится к системным устройствам.) |
org.freedesktop.udisks2.filesystem-mount-system |
Файлы настроек политики
Все настройки политики хранятся в:
- {GUID GPT}/Machine/Registry.pol
- {GUID GPT}/User/Registry.pol
Пример Registry.pol:
PReg[Software\BaseALT\Policies\PolkitLocks;org.freedesktop.udisks2.filesystem-mount;;;][Software\BaseALT\Policies\Polkit;org.freedesktop.udisks2.filesystem-mount;;;No][Software\BaseALT\Policies\Polkit;org.freedesktop.packagekit.system-update;;;Auth_self]