Групповые политики/ALT System Control: различия между версиями

Материал из ALT Linux Wiki
(sudowheel)
 
(не показано 45 промежуточных версий этого же участника)
Строка 1: Строка 1:
== Описание ==
== Описание ==
Через групповые политики реализовано управление настройками control.
Через групповые политики реализовано управление настройками [[control]].
Все control разделены на категории:
Все [[control]] разделены на категории:
* Безопасность
* Безопасность
* Службы
* Службы
Строка 13: Строка 13:


== Настройка политики ==
== Настройка политики ==
Шаг 1. На машине с установленным RSAT откройте «Управление групповыми политиками».
=== На рабочей станции ===


Шаг 2. Создайте новый объект групповой политики (GPO) и свяжите его с OU, в который входят машины или учетные записи пользователей.
'''Шаг 1.''' На машине с установленными [[ADMC]] и [[Групповые_политики/GPUI|GPUI]] получить ключ Kerberos для администратора домена.


Шаг 3. В контекстном меню GPO, выберите пункт «Редактировать». Откроется редактор GPO.
'''Шаг 2.''' В [[ADMC]] создать новый объект групповой политики (GPO) и связать его с OU, куда входят машины, для которых создаётся политика.


Шаг 4. Перейдите в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система ALT».
'''Шаг 3.''' Запустить [[Групповые_политики/GPUI|GPUI]]:
*из [[ADMC|модуля удаленного управления базой данных конфигурации (ADMC)]], выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
*:[[File:Admc-gp-edit-control.png|Запуск GPUI из ADMC]]
*или с указанием каталога групповой политики:
*:<syntaxhighlight lang="bash">$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{75411A5F-5A46-4616-BB1A-4DE7C3EEDBD1}"</syntaxhighlight>
*:где dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования.
 
Откроется окно редактирования групповых политик.
 
'''Шаг 4.''' Перейти в «Компьютер» -> «Административные шаблоны» -> «Система ALT». Здесь есть несколько разделов, соответствующих категориям control:
 
[[Файл:Gpui-Controls.png|GPUI. Политики настройки систем ALT]]
 
'''Шаг 5.''' При выборе раздела, в правом окне редактора отобразится список политик:
 
[[Файл:Gpui-ControlsSecurity.png|GPUI. Список политик]]
 
'''Шаг 6.''' При выборе политики, откроется диалоговое окно настройки соответствующей политики:
 
[[Файл:Gpui-Controls_chage1.png|GPUI. Диалоговое окно настройки политики]]
 
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включено», в разделе «Опции» в выпадающем списке можно выбрать режим доступа для данного control:
 
[[Файл:Gpui-Controls_chage2.png|GPUI. Выбор режима доступа для control]]
 
=== На машине Windows ===
 
'''Шаг 1.''' На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).
 
'''Шаг 2.''' Создать новый объект групповой политики (GPO) и связать его с OU.
 
'''Шаг 3.''' В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.
 
'''Шаг 4.''' Перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система ALT».
Здесь есть несколько разделов, соответствующих категориям control:
Здесь есть несколько разделов, соответствующих категориям control:


[[Файл:Controls.png|Политики настройки систем ALT]]
[[Файл:Controls.png|RSAT. Политики настройки систем ALT]]
 
'''Шаг 5.''' При выборе раздела, в правом окне редактора отобразится список политик и их состояние:


Шаг 5. Выберите раздел, в правом окне редактора отобразится список политик:
[[Файл:ControlsSecurity.png|RSAT. Список политик]]


[[Файл:ControlsSecurity.png|Список политик]]
'''Шаг 6.''' Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики:


Шаг 6. Дважды щелкните левой кнопкой мыши на политике, откроется диалоговое окно настройки политики:
[[Файл:Controls_chage1.png|RSAT. Диалоговое окно настройки политики]]


[[Файл:Controls_chage1.png|Диалоговое окно настройки политики]]
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно выбрать режим доступа для данного control:


Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно выбрать режим доступа для данного control.
[[Файл:Controls_chage2.png|RSAT. Выбор режима доступа для control]]


== Таблицы режимов для control по категориям ==
== Таблицы режимов для control по категориям ==
Строка 52: Строка 87:
  |  
  |  
* Only root — Only root can execute /usr/bin/chage
* Only root — Only root can execute /usr/bin/chage
* Any user — Any user can determine when he should change his/her password using the "chage" command
* Any user — Any user can determine when he should change his/her password using the «chage» command
  |-
  |-
  | Выполнение команды /usr/bin/chfn
  | Выполнение команды /usr/bin/chfn
Строка 66: Строка 101:
  | Разрешение на использование /usr/bin/chsh
  | Разрешение на использование /usr/bin/chsh
  | chsh
  | chsh
  | Политика позволяет управлять правами доступа к команде chsh (/usr/bin/chsh), которая изменяет оболочку входа пользователя: она определяет имя начальной команды входа пользователя. Обычный пользователь может изменить оболочку входа только для своей учетной записи; суперпользователь может изменить логин для любой учетной записи
  | Политика позволяет управлять правами доступа к команде chsh (/usr/bin/chsh). Команда chsh позволяет изменить командную оболочку (или интерпретатор командной строки), запускаемую по умолчанию при регистрации пользователя в текстовой консоли (по умолчанию используется /bin/bash). Обычный пользователь может изменить командную оболочку только для своей учетной записи (командная оболочка должна быть перечислена в файле /etc/shells). Суперпользователь может изменить настройки для любой учетной записи (могут быть указаны любые значения). [[Media:Chsh.png|Chsh.png]]
  |
  |
* Все пользователи — всем пользователям разрешено использовать /usr/bin/chsh
* Все пользователи — всем пользователям разрешено использовать /usr/bin/chsh
Строка 131: Строка 166:
  |  
  |  
* Any user — Any user is permitted to run /usr/bin/newgrp
* Any user — Any user is permitted to run /usr/bin/newgrp
* Only wheel — Users from the "wheel" group are permitted to run /usr/bin/newgrp
* Only wheel — Users from the «wheel» group are permitted to run /usr/bin/newgrp
* Only root — Only root is permitted to run /usr/bin/newgrp
* Only root — Only root is permitted to run /usr/bin/newgrp
  |-
  |-
  | Создание отдельных временных каталогов для пользователей
  | Создание временных каталогов
  | pam_mktemp
  | pam_mktemp
  | Эта политика определяет, следует ли создавать отдельные временные каталоги для пользователей
  | Эта политика определяет, следует ли создавать отдельные временные каталоги для пользователей
Строка 171: Строка 206:
  |  
  |  
* Любой пользователь — любой пользователь может запускать /bin/su
* Любой пользователь — любой пользователь может запускать /bin/su
* Колесные суперпользователи — любой пользователь имеет право запускать /bin/su, но только пользователи группы «wheel» могут повышать привилегии суперпользователя
* Все пользователи, кроме root — любой пользователь имеет право запускать /bin/su, но только пользователи группы «wheel» могут повышать привилегии до суперпользователя (root)
* Только wheel — только пользователи из группы «wheel» могут запускать /bin/su
* Только wheel — только пользователи из группы «wheel» могут запускать /bin/su
* Только root — только суперпользователь (root) может запускать /bin/su
* Только root — только суперпользователь (root) может запускать /bin/su
  |  
  |  
* Any user — Any user is permitted to run /bin/su
* Any user — Any user is permitted to run /bin/su
* Wheel superusers — Any user has the right to run /bin/su, but only users of the "wheel" group can elevate privileges to the superuser
* All users, but not root — Any user has the right to run /bin/su, but only members of the «wheel» group can raise privileges to the superuser (root)
* Only wheel — Only users of the "wheel" group are allowed to run /bin/su
* Only wheel — Only users of the «wheel» group are allowed to run /bin/su
* Only root — Only root is permitted to run /bin/su
* Only root — Only root is permitted to run /bin/su
  |-
  |-
Строка 189: Строка 224:
  |  
  |  
* Any user — Any user is permitted to run /usr/bin/sudo
* Any user — Any user is permitted to run /usr/bin/sudo
* Only wheel — Users from the "wheel" group are permitted to run /usr/bin/sudo
* Only wheel — Users from the «wheel» group are permitted to run /usr/bin/sudo
* Only root — Only root is permitted to run /usr/bin/sudo
* Only root — Only root is permitted to run /usr/bin/sudo
  |-
  |-
  | Передача родительской среды в sudo
  | Режим передачи родительской среды в sudo
  | sudoers
  | sudoers
  | Эта политика определяет, передается ли родительская среда (переменные среды) в sudo
  | Эта политика определяет, передается ли родительская среда (переменные среды) в sudo
Строка 211: Строка 246:
  |  
  |  
* Any user — Any user is permitted to run /usr/bin/sudoreplay
* Any user — Any user is permitted to run /usr/bin/sudoreplay
* Only wheel — Users from the "wheel" group are permitted to run /usr/bin/sudoreplay
* Only wheel — Users from the «wheel» group are permitted to run /usr/bin/sudoreplay
* Only root — Only root is permitted to run /usr/bin/sudoreplay
* Only root — Only root is permitted to run /usr/bin/sudoreplay
  |-
  |-
  | Запрос пароля sudo для пользователей группы «wheel»
  | Разрешить команду sudo членам группы «wheel»
  | sudowheel
  | sudowheel
  | Эта политика определяет, может ли локальный администратор (член группы «wheel») запускать любые команды с помощью sudo со своим паролем
  | Эта политика разрешает или запрещает членам группы «wheel» применять команду sudo. Если политика включена, пользователи, входящие в группу «wheel», могут повысить системные привилегии через команду sudo. Если политика не настроена или отключена, пользователи, входящие в группу «wheel», не смогут применить команду sudo.
  |  
  |  
* Отключено — пользователи группы «wheel» не могут запускать команды с помощью sudo со своим паролем  (отключить запрос пароля sudo для пользователей группы «wheel»)
* Отключено — пользователи группы «wheel» не могут повысить привилегии через команду sudo
* Включено — пользователи группы «wheel» могут запускать любые команды с помощью sudo со своим паролем (включить запрос пароля sudo для пользователей группы «wheel»)
* Включено — пользователи группы «wheel» могут повысить привилегии через команду sudo
  |  
  |  
* Disabled — Disable sudo password request for users of the "wheel" group
* Disabled — members of the «wheel» group cannot raise privileges with sudo command
* Enabled — Enable sudo password request for users of the "wheel" group
* Enabled — members of the «wheel» grop can raise privileges with sudo command
  |-
  |-
  | Метод аутентификации
  | Метод аутентификации
Строка 258: Строка 293:


=== Службы ===
=== Службы ===
{{Attention|Поддержка опций Samba в групповых политиках работает с {{pkg|samba}}, начиная с версии 4.16.7-alt5.}}
{{Note|Для управления настройками [[Samba/Usershares|usershares]] с помощью политик на клиенте должны быть выполнены следующие условия:
* установлен пакет {{pkg|samba-usershares}};
* в {{path|/etc/samba/smb.conf}} в секции [global] подключен файл {{path|/etc/samba/usershares.conf}}:
<pre>include = /etc/samba/usershares.conf</pre>
}}
{| class="wikitable"
{| class="wikitable"
  ! Политика
  ! Политика
Строка 281: Строка 325:
  | Эта политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени
  | Эта политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени
  |  
  |  
* Сервер — если этот режим выбран, то он раскомментирует или добавит директиву "allow all" в файл конфигурации демона, подробности см. в документации
* Сервер — если этот режим выбран, то он раскомментирует или добавит директиву «allow all» в файл конфигурации демона, подробности см. в документации
* Клиент — если этот режим выбран, он закомментирует директиву "allow" в файле конфигурации демона, подробности см. в документации
* Клиент — если этот режим выбран, он закомментирует директиву «allow» в файле конфигурации демона, подробности см. в документации
  |  
  |  
* Server — If selected, uncomment or add the "allow all" directive to daemon configuration file, see documentation for details
* Server — If selected, uncomment or add the "allow all" directive to daemon configuration file, see documentation for details
Строка 311: Строка 355:
  | Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP
  | Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP
  |  
  |  
* Разрешить — выполнять обратный поиск DNS для запросов OpenLDAP
* Разрешено — выполнять обратный поиск DNS для запросов OpenLDAP
* Не разрешать — не выполнять обратный поиск DNS для запросов OpenLDAP
* Не разрешено — не выполнять обратный поиск DNS для запросов OpenLDAP
* По умолчанию — выполнять обратный поиск DNS для запросов OpenLDAP
* По умолчанию — выполнять обратный поиск DNS для запросов OpenLDAP
  |  
  |  
Строка 326: Строка 370:
* Никогда — не выполнять никаких проверок
* Никогда — не выполнять никаких проверок
* Разрешить — установить соединение, даже если сертификат отсутствует или неверный
* Разрешить — установить соединение, даже если сертификат отсутствует или неверный
* Пробовать — установить соединение, если нет или с действующим сертификатом
* Пробовать — установить соединение, если нет сертификата или с действующим сертификатом
* Требование — установить соединение только с правильным сертификатом
* Требовать — установить соединение только с правильным сертификатом
  |  
  |  
* Default — Only establish a connection with the correct certificate
* Default — Only establish a connection with the correct certificate
Строка 347: Строка 391:
* Filter — Postfix MTA is enabled with mail filters
* Filter — Postfix MTA is enabled with mail filters
  |-
  |-
  | Разрешения для /usr/bin/postqueue
  | Разрешения для /usr/sbin/postqueue
  | postqueue
  | postqueue
  | Эта политика определяет разрешения для /usr/bin/postqueue
  | Эта политика определяет разрешения для /usr/sbin/postqueue
  |  
  |  
* Любой пользователь — любому пользователю разрешено запускать /usr/bin/postqueue
* Любой пользователь — любому пользователю разрешено запускать /usr/sbin/postqueue
* Группа mailadm — пользователям из группы «mailadm» разрешено запускать /usr/bin/postqueue
* Группа mailadm — пользователям из группы «mailadm» разрешено запускать /usr/sbin/postqueue
* Только root — только суперпользователю (root) разрешено запускать /usr/bin/postqueue
* Только root — только суперпользователю (root) разрешено запускать /usr/sbin/postqueue
  |  
  |  
* Any user — Any user is permitted to run /usr/bin/postqueue
* Any user — Any user is permitted to run /usr/sbin/postqueue
* Group mailadm — Users from the "mailadm" group are permitted to run /usr/bin/postqueue
* Group mailadm — Users from the "mailadm" group are permitted to run /usr/sbin/postqueue
* Only root — Only root is permitted to run /usr/bin/postqueue
* Only root — Only root is permitted to run /usr/sbin/postqueue
  |-
  |-
  | Режим работы Rpcbind
  | Режим работы Rpcbind
Строка 373: Строка 417:
  | Эта политика определяет поддержку SFTP на сервере OpenSSH
  | Эта политика определяет поддержку SFTP на сервере OpenSSH
  |  
  |  
* Включить — включить поддержку SFTP на сервере OpenSSH
* Включено — включить поддержку SFTP на сервере OpenSSH
* Отключить — отключить поддержку SFTP на сервере OpenSSH
* Отключено — отключить поддержку SFTP на сервере OpenSSH
  |  
  |  
* Disabled — Disable SFTP support on the OpenSSH server
* Disabled — Disable SFTP support on the OpenSSH server
* Enabled — Enable SFTP support on the OpenSSH server
* Enabled — Enable SFTP support on the OpenSSH server
  |-
  |-
  | Белый список допустимых групп пользователей SSHd
  | Поддержка аутентификации OpenSSH-клиентов через GSSAPI
| ssh-gssapi-auth
| Эта политика определяет функциональные возможности поддержки аутентификации OpenSSH-клиентов через GSSAPI
|
* Включено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов включена
* Отключено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов отключена
|
* Enable — GSSAPI authentication support for OpenSSH clients is enabled
* Disable — GSSAPI authentication support for OpenSSH clients is disabled
|-
! scope="row" colspan="5" style="text-align:left;" | Samba опции
|-
| Гостевой доступ к общим каталогам
| smb-conf-usershare-allow-guests
| Политика управляет возможностью предоставления гостевого доступа общему ресурсу. Политика управляет параметром «usershare allow guests» в файле {{path|/etc/samba/usershares.conf}}.
|
* Включено — разрешить предоставление гостевого доступа общему ресурсу (''usershare allow guests = yes'')
* Отключено — запретить предоставление гостевого доступа общему ресурсу (''usershare allow guests = no'')
|
* Enabled — enable restriction of permit guest access by samba usershares
* Disabled — disable restriction of permit guest access by samba usershares
|-
| Доступ к общим каталогам других пользователей
| smb-conf-usershare-owner-only
| Политика управляет правом пользователя на предоставление общего доступа или доступ к каталогу, если пользователь не является владельцем этого каталога. Политика меняет параметр «usershare owner only» в файле {{path|/etc/samba/usershares.conf}}.
|
* Включено — запретить предоставление общего доступа не владельцу каталога; запретить доступ к общим каталогам пользователей, без проверки владельца каталога (''usershare owner only = yes'')
* Отключено —  разрешить предоставление общего доступа не владельцу каталога; разрешить доступ к общим каталогам пользователей, без проверки владельца каталога (''usershare owner only = no'')
|
* Enabled —  disable restriction of only directories owned by the sharing user can be shared by samba usershares
* Disabled — enable restriction of only directories owned by the sharing user can be shared by samba usershares
|-
| Доступ членам группы «sambashare» к управлению общими каталогами
| role-sambashare
| Политика управляет разрешением членам группы «sambashare» управлять общими каталогами ({{cmd|net usershare}}).
 
Конфигурации пользовательских общих ресурсов расположены в каталоге {{path|/var/lib/samba/usershares}}, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «sambashare», добавляя их в группу «usershares».
|
* Включено — разрешить членам группы «sambashare» управлять общими каталогами
* Отключено — запретить членам группы «sambashare» управлять общими каталогами
|
* Enabled — allow users in group «sambashare» to use samba usershares
* Disabled —  disallow users in group «sambashare» to use samba usershares
|-
| Доступ членам группы «users» к управлению общими каталогами
| role-usershares
| Политика управляет разрешением членам группы «users» управлять общими каталогами.
 
Конфигурации пользовательских общих ресурсов расположены в каталоге {{path|/var/lib/samba/usershares}}, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «users», добавляя их в группу «usershares».
|
* Включено — разрешить членам группы «users» управлять общими каталогами
* Отключено — запретить членам группы «users» управлять общими каталогами
|
* Enabled —  privilege group «usershares» assigned to group «users»
* Disabled — privilege group «usershares» assigned to users explicitly
|-
| Разрешение на создание пользовательских общих каталогов
| smb-conf-usershares
| Политика управляет возможностью создания пользовательских общих каталогов на компьютере ({{cmd|net usershare}}). Политика управляет параметром «usershare max shares» в файле {{path|/etc/samba/usershares.conf}}.
|
* Включено — разрешить общие каталоги пользователей на компьютере (''usershare max shares» = 100'')
* Отключено — отключить общие каталоги пользователей на компьютере (''usershare max shares» = 0'')
|
* Enabled —  enable smb usershare options
* Disabled — disable smb usershare options
|-
| Запрет на создание общих каталогов в системных каталогах
| smb-conf-usershare-deny-list
| Политика управляет параметром «usershare prefix deny list» в файле {{path|/etc/samba/usershares.conf}} — открывая или закрывая комментарием этот параметр. Параметр «usershare prefix deny list» определяет каталоги в корневом каталоге ({{path|/}}), в которых пользователю запрещено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги.  По умолчанию в параметре «usershare prefix deny list» заданы каталоги: {{path|/etc}}, {{path|/dev}}, {{path|/sys}}, {{path|/proc}}.
Если настроен список запрещенных каталогов «usershare prefix deny list», и список разрешенных каталогов «usershare prefix allow list», сначала обрабатывается список запрета, а затем уже список разрешений.
|
* Включено — включить список запрещенных каталогов (запретить создание общих каталогов в системных каталогах из списка «usershare prefix deny list»)
* Отключено — отключить список запрещённых каталогов (параметр ''usershare prefix deny list'' будет закомментирован)
|
* Enabled —  enable list of prohibited directories to be shared by samba usershares
* Disabled — disable list of prohibited directories to be shared by samba usershares
|-
| Разрешение на создание общих каталогов в системных каталогах
| smb-conf-usershare-allow-list
| Политика управляет параметром «usershare prefix allow list» в файле {{path|/etc/samba/usershares.conf}} — открывая или закрывая комментарием этот параметр. Параметр «usershare prefix allow list» определяет каталоги в корневом каталоге ({{path|/}}), в которых пользователю разрешено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя не начинается  с одного из перечисленных каталогов, доступ к общему каталогу будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре «usershare prefix allow list» заданы каталоги: {{path|/home}}, {{path|/srv}}, {{path|/mnt}}, {{path|/media}}, {{path|/var}}.
Если настроен список запрещенных каталогов «usershare prefix deny list», и список разрешенных каталогов «usershare prefix allow list», сначала обрабатывается список запрета, а затем уже список разрешений.
|
* Включено — включить список разрешенных каталогов (разрешить создание общих каталогов только в системных каталогах из списка «usershare prefix allow list»)
* Отключено — отключить список разрешенных каталогов (параметр ''usershare prefix allow list'' будет закомментирован)
|
* Enabled —  enable list of permitted directories to be shared by samba usershares
* Disabled — disable list of permitted directories to be shared by samba usershares
|-
! scope="row" colspan="5" style="text-align:left;" | SSHD опции
|-
| Контроль доступа по группам к серверу OpenSSH
  | sshd-allow-groups
  | sshd-allow-groups
  | Эта политика определяет функциональность белого списка действительных групп пользователей SSHd
| Эта политика включает в службе удаленного доступа OpenSSH контроль доступа по списку разрешенных групп
|
* Включено — контроль доступа по группам для службы удаленного доступа OpenSSH включен
* Отключено — контроль доступа по группам для службы удаленного доступа OpenSSH отключен
|
* Disabled — Remote access control to the OpenSSH server is disabled
* Enabled — Remote access control to the OpenSSH server is enabled
|-
| Группы для контроля доступа к серверу OpenSSH
| sshd-allow-groups-list
  | Эта политика определяет, какие группы входят в список разрешенных для службы удаленного доступа к серверу OpenSSH
  |  
  |  
* Включить белый список допустимых групп пользователей SSHd включен
* Все пользователи разрешить доступ к серверу OpenSSH для групп «wheel» и «users»
* Отключить белый список допустимых групп пользователей SSHd отключен
* Группы wheel и remote разрешить доступ к серверу OpenSSH для групп администраторов и пользователей удалённого доступа («wheel» и «remote»)
* Только wheel — разрешить доступ к серверу OpenSSH только для группы администраторов («wheel»)
* Только remote — разрешить доступ к серверу OpenSSH только для группы «remote»
  |  
  |  
* Disabled The white list of valid sshd user groups is disabled
* All users Allow access to the OpenSSH server by «wheel» and «users» groups
* Enabled The white list of valid sshd user groups is enabled
* Groups wheel and remote Allow access to the OpenSSH server by «wheel» and «remote» groups
* Only wheel — Allow access to the OpenSSH server by «wheel» group only
* Only remote — Allow access to the OpenSSH server by «remote» group only
  |-
  |-
  | Поддержка авторизации API GSS на сервере OpenSSH
  | Поддержка GSSAPI-аутентификации на сервере OpenSSH
  | sshd-gssapi-auth
  | sshd-gssapi-auth
  | Эта политика определяет функциональные возможности поддержки авторизации с использованием GSS API на сервере SSHd
  | Эта политика включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH
  |  
  |  
* Включить — поддержка API GSS на сервере sshd включена
* Включено — поддержка GSSAPI на сервере OpenSSH включена
* Отключить — поддержка API GSS на сервере sshd отключена
* Отключено — поддержка GSSAPI на сервере OpenSSH отключена
  |  
  |  
* Enable — GSS API support on sshd server is enabled
* Enable — GSSAPI support on the OpenSSH server is enabled
* Disable — GSS API support on sshd server is disabled
* Disable — GSSAPI support on the OpenSSH server is disabled
  |-
  |-
  | Поддержка авторизации пароля на сервере OpenSSH
  | Аутентификация по паролю на сервере OpenSSH
  | sshd-password-auth  
  | sshd-password-auth  
  | Эта политика определяет функциональные возможности поддержки авторизации паролей на сервере SSHd
| Эта политика включает поддержку аутентификации по паролю на сервере OpenSSH
|
* Включено — поддержка аутентификации по паролю на сервере OpenSSH включена
* Отключено — поддержка аутентификации по паролю на сервере OpenSSH отключена
|
* Enable — Password authentication support on the OpenSSH server is enabled
* Disable — Password authentication support on the OpenSSH server is disabled
|-
| Аутентификация суперпользователя на сервере OpenSSH
| sshd-permit-root-login
  | Эта политика определяет режимы аутентификации для суперпользователя (root) на сервере OpenSSH
  |  
  |  
* Включить поддержка авторизации по паролю для sshd включена
* Только без пароля суперпользователю разрешена только беспарольная аутентификация на сервере OpenSSH
* Отключить поддержка авторизации по паролю для клиента sshd отключена
* Разрешено — суперпользователю разрешена аутентификация на сервере OpenSSH
* Не разрешено — суперпользователю запрещена аутентификация на сервере OpenSSH
* По умолчанию сбросить режим аутентификации для суперпользователя на значение по умолчанию в пакете
  |  
  |  
* Enable Password authorization support for sshd is enabled
* Without password only The superuser (root) is only allowed password-free authentication on the OpenSSH server
* Disable Password authorization support for sshd client is disabled
* Enabled — The superuser (root) is allowed to authenticate on the OpenSSH server
* Disabled — The superuser (root) is denied authentication on the OpenSSH server
* Default Reset the authentication mode for the superuser (root) to the package default
|-
! scope="row" colspan="5" style="text-align:left;" | SSSD опции
  |-
  |-
  | Поддержка авторизации API GSS на клиенте SSH
  | Контроль доступа в SSSD через групповые политики
  | ssh-gssapi-auth
| sssd-ad-gpo-access-control
  | Эта политика определяет функциональные возможности поддержки авторизации с использованием GSS API на клиенте SSH
| Эта политика определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)
|
* Принудительный режим — правила управления доступом в SSSD основанные на GPO выполняются, ведётся логирование
* Разрешающий режим — правила управления доступом в SSSD основанные на GPO не выполняются, ведётся только логирование. Такой режим необходим администратору, чтобы оценить как срабатывают новые правила
* Отключить — правила управления доступом в SSSD основанные на GPO не логируются и не выполняются
* По умолчанию — настройка контроля доступом в SSSD основанное на GPO сброшена на значение по умолчанию в пакете
|
* Enforced — SSSD GPO-based access control rules are evaluated and enforced
* Permissived — TSSSD GPO-based access control rules are evaluated, but not enforced
* Disabled — SSSD GPO-based access control rules are neither evaluated nor enforced
* Default — SSSD GPO-based access control reset to the default value in the package
  |-
| Игнорирование политик при недоступности GPT
| sssd-ad-gpo-ignore-unreadable
| Эта настройка определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)
|
* Включить — игнорировать правила управления доступом через групповые политики, если шаблоны групповых политик не доступны для SSSD
* Отключить — запретить доступ пользователям SSSD AD, которым назначены групповые политики, если шаблоны групповых политик не доступны
* По умолчанию — настройка игнорирования политик, при недоступности шаблонов групповых политик сброшена на значение по умолчанию в пакете
|
* Enabled — Ignore access control rules via group policies if group policy templates are not available for SSSD
* Disabled — Deny access SSSD AD users when group policy templates are not unavailable
* Default — The policy ignoring setting, when group policy templates are unavailable, is reset to the default value in the package
|-
| Кэширование учётных данных пользователей
| sssd-cache-credentials
  | Эта политика определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кэше SSSD
|
* Включить — сохранение в локальном кэше SSSD учётных данных пользователей включено
* Отключить — сохранение в локальном кэше SSSD учётных данных пользователей отключено
* По умолчанию — настройка сохранения в локальном кэше SSSD учётных данных пользователей сброшена на значение по умолчанию в пакете
|
* Enabled — Storing user credentials in the local SSSD cache is enabled
* Disabled — Storing user credentials in the local SSSD cache is disabled
* Default — The setting for storing user credentials in the local SSSD cache reset to the default value in the package
|-
| Режим привилегий службы SSSD
| sssd-drop-privileges
| Эта политика позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)
|
* Привилегированный — служба SSSD запущена от имени привилегированного суперпользователя (root)
* Непривилегированный — служба SSSD запущена от имени непривилегированного пользователя (_sssd)
* По умолчанию — режим привилегий службы SSSD задан по умолчанию в пакете
|
* Privileged — The SSSD service is running on behalf of a privileged superuser (root)
* Unprivileged — The SSSD service is running on behalf of an unprivileged user (_sssd)
* Default — The SSSD privilege mode is set by default in the packager
|-
| Обновление DNS-записей прямой зоны
| sssd-dyndns-update
| Эта политика позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD
  |  
  |  
* Включить — поддержка API GSS на клиенте sshd включена
* Включить — автоматическое обновление DNS-записи клиента через SSSD включено
* Отключить — поддержка API GSS на клиенте sshd отключена
* Отключить — автоматическое обновление DNS-записи клиента через SSSD отключено
* По умолчанию — настройка автоматического обновления DNS-записи клиента через SSSD задана по умолчанию в пакете
  |  
  |  
* Enable GSS API support on sshd client is enabled
* Enabled Automatic client DNS record update via SSSD is enabled
* Disable GSS API support on sshd client is disabled
* Disabled Automatic client DNS record update via SSSD is disabled
|-
* Default — The configuration of automatic updating of client DNS records via SSSD is set by default in the package
  | Аутентификация по паролю для суперпользователя на сервере OpenSSH
|-
  | sshd-permit-root-login
  | Обновление DNS-записей обратной зоны
  | Эта политика определяет, разрешена ли и каким образом для суперпользователя аутентификация на сервере SSHd
  | sssd-dyndns-update-ptr
  | Данная политика определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG). Эта политика работает только если включено «Обновление DNS-записей прямой зоны»
  |  
  |  
* Только без пароля суперпользователю разрешена только беспарольная аутентификация на сервере SSHd (аутентификация на основе открытого ключа)
* Включить автоматическое обновление DNS-записи обратной зоны через SSSD включено
* Разрешено суперпользователю разрешена аутентификация на сервере SSHd
* Отключить автоматическое обновление DNS-записи обратной зоны через SSSD отключено
* Запрещено — суперпользователю запрещена аутентификация на сервере SSHd
* По умолчанию — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете
* По умолчанию — сбросить на значение по умолчанию в пакете
  |  
  |  
* Without password — Only non password login for root via SSH is enabled
* Enabled — Automatic DNS update of the reverse zone record via SSSD is enabled
* Enabled — Login for root via SSH is enabled
* Disabled — Automatic DNS update of the reverse zone record via SSSD is disabled
* Disabled — Login for root via SSH is disabled
* Default — The configuration of automatic updating of client PTR record for reverse zone records using SSSD is set by default in the package
* Default — Reset root login setting to the package default
|}
|}


Строка 484: Строка 698:
* Public — Any user has the right to run /usr/sbin/pppd with superuser rights
* Public — Any user has the right to run /usr/sbin/pppd with superuser rights
  |-
  |-
  | Функциональные возможности и разрешения для wireshark-capture (dumpcap)
  | Разрешения для wireshark-capture (dumpcap)
  | wireshark-capture  
  | wireshark-capture  
  | Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (/usr/bin/dumpcap)
  | Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (/usr/bin/dumpcap)
Строка 513: Строка 727:
* Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd-ram-control
* Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd-ram-control
* Только root — только суперпользователь (root) может выполнять /usr/bin/dvd-ram-control
* Только root — только суперпользователь (root) может выполнять /usr/bin/dvd-ram-control
* Режим совместимости — режим совместимости не должен использоваться
* Режим совместимости — режим совместимости, не должен использоваться
  |  
  |  
* Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd-ram-control
* Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd-ram-control
Строка 525: Строка 739:
* Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-booktype
* Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-booktype
* Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-booktype
* Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-booktype
* Режим совместимости — режим совместимости не должен использоваться
* Режим совместимости — режим совместимости, не должен использоваться
  |  
  |  
* Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-booktype
* Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-booktype
Строка 537: Строка 751:
* Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-format
* Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-format
* Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-format
* Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-format
* Режим совместимости — режим совместимости не должен использоваться
* Режим совместимости — режим совместимости, не должен использоваться
  |  
  |  
* Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-format
* Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-format
Строка 549: Строка 763:
* Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-mediainfo
* Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-mediainfo
* Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-mediainfo
* Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-mediainfo
* Режим совместимости — режим совместимости не должен использоваться
* Режим совместимости — режим совместимости, не должен использоваться
  |  
  |  
* Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-mediainfo
* Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-mediainfo
Строка 561: Строка 775:
* Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/growisofs
* Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/growisofs
* Только root — только суперпользователь (root) может выполнять /usr/bin/growisofs
* Только root — только суперпользователь (root) может выполнять /usr/bin/growisofs
* Режим совместимости — режим совместимости не должен использоваться
* Режим совместимости — режим совместимости, не должен использоваться
  |  
  |  
* Only cdwriter — Only cdwriter group members can execute /usr/bin/growisofs
* Only cdwriter — Only cdwriter group members can execute /usr/bin/growisofs
Строка 576: Строка 790:
  ! Режимы на английском
  ! Режимы на английском
  |-
  |-
  | Права доступа к инструментам монтирования файловых систем FUSE
  | Доступ к инструментам FUSE
  | fusermount
  | fusermount
  | Эта политика определяет права доступа для монтирования файловой системы FUSE (выполнение программ /usr/bin/fusermount и /usr/bin/fusermount3)
  | Эта политика определяет права доступа для монтирования файловой системы FUSE (выполнение программ /usr/bin/fusermount и /usr/bin/fusermount3)
  |  
  |  
* Любой пользователь — любой пользователь может выполнить /usr/bin/fusermount и /usr/bin/fusermount3
* Любой пользователь — любой пользователь может выполнить /usr/bin/fusermount и /usr/bin/fusermount3
* Only fuse — только члены группы «fuse» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3
* Только fuse — только члены группы «fuse» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3
* Только wheel — только члены группы «wheel» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3
* Только wheel — только члены группы «wheel» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3
* Только root — только суперпользователь (root) может выполнять /usr/bin/fusermount и /usr/bin/fusermount3
* Только root — только суперпользователь (root) может выполнять /usr/bin/fusermount и /usr/bin/fusermount3
Строка 596: Строка 810:
* Любой пользователь — любому пользователю разрешено запускать /bin/mount и /bin/umount
* Любой пользователь — любому пользователю разрешено запускать /bin/mount и /bin/umount
* Только wheel — пользователям из группы «wheel» разрешено запускать /bin/mount и /bin/umount
* Только wheel — пользователям из группы «wheel» разрешено запускать /bin/mount и /bin/umount
* Непривилегированный пользователь — любой пользователь может запускать /bin/mount и /bin/umount для непривилегированных действий
* Непривилегированный пользователь — любой пользователь может запускать /bin/mount и /bin/umount для непривилегированных действий (не от имени root)
* Только root — только суперпользователю (root) разрешено запускать /bin/mount и /bin/umount
* Только root — только суперпользователю (root) разрешено запускать /bin/mount и /bin/umount
  |  
  |  
Строка 626: Строка 840:
* Shared — Connect storage media to a public point (/media/)
* Shared — Connect storage media to a public point (/media/)
|}
|}


=== Виртуализация ===
=== Виртуализация ===
Строка 634: Строка 851:
  ! Режимы на русском
  ! Режимы на русском
  ! Режимы на английском
  ! Режимы на английском
|-
| Права на устройства QEMU KVM
| kvm
| Политика определяет права на устройства QEMU KVM
|
* Любой пользователь — любой пользователь имеет право использовать KVM
* Группа vmusers — пользователи группы «vmusers» имеют право использовать KVM
* Только root — только суперпользователь (root) имеет право использовать KVM
|
* Any user — Any user has the right to use KVM
* Group vmusers — Users of the "vmusers" group have the right to use KVM
* Only root — Only superuser (root) has the right to use KVM
  |-
  |-
  | Разрешения для VirtualBox
  | Разрешения для VirtualBox
Строка 668: Строка 873:
  ! Режимы на английском
  ! Режимы на английском
  |-
  |-
  | Показать или скрыть список известных пользователей в greeter (LightDM)
  | Cписок пользователей в greeter (LightDM)
  | lightdm-greeter-hide-users  
  | lightdm-greeter-hide-users  
  | Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет
  | Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет
Строка 678: Строка 883:
* Hide — Don't list all users in greeter
* Hide — Don't list all users in greeter
  |-
  |-
  | Функция для сохранения списка пользовательских каталогов
  | Стандартные каталоги в home
  | xdg-user-dirs  
  | xdg-user-dirs  
  | Эта политика определяет, работает ли функция сохранения списка пользовательских каталогов (xdg-user-dirs)
  | Эта политика определяет, работает ли функция стандартных каталогов (Документы, Загрузки, Изображения и т.д.) xdg-user-dirs в домашнем каталоге (home) пользователя
  |  
  |  
* Отключить — функция сохранения списка пользовательских каталогов отключена
* Отключено — функция сохранения списка пользовательских каталогов отключена
* Включить опция сохранения списка пользовательских каталогов включена
* Включено функция сохранения списка пользовательских каталогов включена
  |  
  |  
* Disabled — The function to save the list of user directories is disabled
* Disabled — The function to save the list of user directories is disabled
Строка 692: Строка 897:
  | Эта политика определяет разрешения для Xorg (/usr/bin/Xorg)
  | Эта политика определяет разрешения для Xorg (/usr/bin/Xorg)
  |  
  |  
* Не задано — любому пользователю разрешено запускать /usr/bin/Xorg
* Не сконфигурировано — любому пользователю разрешено запускать /usr/bin/Xorg
* Любой пользователь — любому пользователю разрешено запускать /usr/bin/Xorg
* Любой пользователь — любому пользователю разрешено запускать /usr/bin/Xorg
* Группа xgrp — пользователям группы «xgrp» разрешено запускать /usr/bin/Xorg
* Группа xgrp — пользователям группы «xgrp» разрешено запускать /usr/bin/Xorg
Строка 703: Строка 908:
|}
|}
[[Категория:Active Directory]]
[[Категория:Active Directory]]
[[Категория:Групповые_политики]]
{{Category navigation|title=Групповые политики|category=Групповые_политики|sortkey={{SUBPAGENAME}}}}

Текущая версия от 17:18, 26 марта 2024

Описание

Через групповые политики реализовано управление настройками control. Все control разделены на категории:

  • Безопасность
  • Службы
  • Сетевые приложения
  • Приложения для CD/DVD
  • Монтирование
  • Виртуализация
  • Графическая подсистема
  • Аппаратные средства
  • СУБД

Настройка политики

На рабочей станции

Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, куда входят машины, для которых создаётся политика.

Шаг 3. Запустить GPUI:

  • из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
    Запуск GPUI из ADMC
  • или с указанием каталога групповой политики:
    $ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{75411A5F-5A46-4616-BB1A-4DE7C3EEDBD1}"
    
    где dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования.

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Компьютер» -> «Административные шаблоны» -> «Система ALT». Здесь есть несколько разделов, соответствующих категориям control:

GPUI. Политики настройки систем ALT

Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик:

GPUI. Список политик

Шаг 6. При выборе политики, откроется диалоговое окно настройки соответствующей политики:

GPUI. Диалоговое окно настройки политики

Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включено», в разделе «Опции» в выпадающем списке можно выбрать режим доступа для данного control:

GPUI. Выбор режима доступа для control

На машине Windows

Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).

Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU.

Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.

Шаг 4. Перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система ALT». Здесь есть несколько разделов, соответствующих категориям control:

RSAT. Политики настройки систем ALT

Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик и их состояние:

RSAT. Список политик

Шаг 6. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики:

RSAT. Диалоговое окно настройки политики

Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно выбрать режим доступа для данного control:

RSAT. Выбор режима доступа для control

Таблицы режимов для control по категориям

Безопасность

Политика Control Описание Режимы на русском Режимы на английском
Выполнение программы /usr/bin/chage chage Политика позволяет контролировать доступ для выполнения программы /usr/bin/chage
  • Только root — только суперпользователь (root) может выполнить /usr/bin/chage
  • Любой пользователь — любой пользователь может просмотреть, когда ему следует сменить свой пароль, используя команду «chage -l имя_пользователя»
  • Only root — Only root can execute /usr/bin/chage
  • Any user — Any user can determine when he should change his/her password using the «chage» command
Выполнение команды /usr/bin/chfn chfn Политика позволяет контролировать поведение и права доступа к команде chfn (/usr/bin/chfn). Команда chfn может изменить полное имя пользователя, номер кабинета, номера офисного и домашнего телефона для учетной записи пользователя. Обычный пользователь может изменять поля только для своей учетной записи, с учетом ограничений в /etc/login.defs (конфигурация по умолчанию не позволяет пользователям менять свое полное имя). Кроме того, только суперпользователь может использовать опцию -o для изменения неопределенных частей поля GECOS
  • Любой пользователь — любой пользователь может использовать команду /usr/bin/chfn
  • Только root — только суперпользователь (root) может выполнить /usr/bin/chfn
  • Any user — Any user can use the command /usr/bin/chfn
  • Only root — Only root can execute /usr/bin/chfn
Разрешение на использование /usr/bin/chsh chsh Политика позволяет управлять правами доступа к команде chsh (/usr/bin/chsh). Команда chsh позволяет изменить командную оболочку (или интерпретатор командной строки), запускаемую по умолчанию при регистрации пользователя в текстовой консоли (по умолчанию используется /bin/bash). Обычный пользователь может изменить командную оболочку только для своей учетной записи (командная оболочка должна быть перечислена в файле /etc/shells). Суперпользователь может изменить настройки для любой учетной записи (могут быть указаны любые значения). Chsh.png
  • Все пользователи — всем пользователям разрешено использовать /usr/bin/chsh
  • Только root — только суперпользователь (root) может использовать /usr/bin/chsh
  • All users — All users are allowed to use /usr/bin/chsh
  • Only root — Only root can use /usr/bin/chsh
Разрешение на использование consolehelper consolehelper Эта политика определяет права доступа к инструменту consolehelper (/usr/lib/consolehelper/priv/auth), который позволяет пользователям консоли запускать системные программы, выполняя аутентификацию через PAM (которую можно настроить так, чтобы доверять всем пользователям консоли или запрашивать пароль по усмотрению системного администратора). Когда это возможно, аутентификация выполняется графически; в противном случае это делается в текстовой консоли, с которой был запущен consolehelper
  • Любой пользователь — любой пользователь может использовать consolehelper
  • Только wheel — только члены группы «wheel» могут использовать consolehelper
  • Только root — только суперпользователь (root) может использовать consolehelper
  • Any user — Any user can use consolehelper
  • Only wheel — Only members of the wheel group can use consolehelper
  • Only root — Only root can use consolehelper
Выполнение программы /usr/bin/gpasswd gpasswd Политика определяет права на запуск инструмента /usr/bin/gpasswd
  • Любой пользователь — любой пользователь может выполнить /usr/bin/gpasswd
  • Только wheel — только члены группы «wheel» могут выполнять /usr/bin/gpasswd
  • Только root — только суперпользователь (root) может выполнить /usr/bin/gpasswd
  • Any user — Any user can execute /usr/bin/gpasswd
  • Only wheel — Only wheel group members can execute /usr/bin/gpasswd
  • Only root — Only root can execute /usr/bin/gpasswd
Выполнение программы /usr/bin/groupmems groupmems Политика определяет права на выполнение программы /usr/bin/groupmems
  • Любой пользователь — любой пользователь может выполнить /usr/bin/groupmems
  • Только wheel — только члены группы «wheel» могут выполнять /usr/bin/groupmems
  • Только root — только суперпользователь (root) может выполнять /usr/bin/groupmems
  • Any user — Any user can execute /usr/bin/groupmems
  • Only wheel — Only wheel group members can execute /usr/bin/groupmems
  • Only root — Only root can execute /usr/bin/groupmems
Разрешение на использование /usr/sbin/hddtemp hddtemp Разрешение на использование инструмента /usr/sbin/hddtemp — отслеживание температуры жесткого диска
  • Любой пользователь — любой пользователь может выполнить /usr/sbin/hddtemp
  • Только wheel — только члены группы «wheel» могут выполнять /usr/sbin/hddtemp
  • Только root — только суперпользователь (root) может выполнить /usr/sbin/hddtemp
  • Any user — Any user can execute /usr/sbin/hddtemp
  • Only wheel — Only wheel group members can execute /usr/sbin/hddtemp
  • Only root — Only root can execute /usr/sbin/hddtemp
Разрешения для /usr/bin/newgrp newgrp Эта политика определяет разрешения для /usr/bin/newgrp
  • Любой пользователь — любой пользователь может запускать /usr/bin/newgrp
  • Только wheel — пользователям из группы «wheel» разрешено запускать /usr/bin/newgrp
  • Только root — только суперпользователь (root) может запускать /usr/bin/newgrp
  • Any user — Any user is permitted to run /usr/bin/newgrp
  • Only wheel — Users from the «wheel» group are permitted to run /usr/bin/newgrp
  • Only root — Only root is permitted to run /usr/bin/newgrp
Создание временных каталогов pam_mktemp Эта политика определяет, следует ли создавать отдельные временные каталоги для пользователей
  • Отключено — отключить создание отдельных временных каталогов для пользователей
  • Включено — включить создание отдельных временных каталогов для пользователей
  • Disabled — Disable the creation of individual temporary directories for users
  • Enabled — Enable the creation of individual temporary directories for users
Управление паролями с помощью passwd passwd Определяет политику управления паролями с помощью команды /usr/bin/passwd
  • TCB — любой пользователь может изменить свой пароль, используя /usr/bin/passwd, когда включена схема tcb
  • Традиционный (схема tcb отключена) — любой пользователь может изменить свой пароль, используя /usr/bin/passwd, когда схема tcb отключена
  • Только root — только суперпользователь (root) имеет право изменять пароли пользователей
  • TCB — Any user can change his own password using /usr/bin/passwd when tcb scheme is enabled
  • Traditional — Any user can change his own password using /usr/bin/passwd when tcb scheme is disabled
  • Only root — Only superuser (root) has the right to change user passwords
Управление проверками сложности пароля passwdqc-enforce Политика управляет паролями для достаточной надежности пароля
  • Все — включить проверку сложности пароля для всех пользователей
  • Только для пользователей — включить проверку сложности пароля для всех пользователей, кроме суперпользователей
  • Everyone — Enable password complexity checks for all users
  • Users only — Enable password complexity checks for all but superusers
Разрешения для /bin/su su Эта политика определяет разрешения для /bin/su
  • Любой пользователь — любой пользователь может запускать /bin/su
  • Все пользователи, кроме root — любой пользователь имеет право запускать /bin/su, но только пользователи группы «wheel» могут повышать привилегии до суперпользователя (root)
  • Только wheel — только пользователи из группы «wheel» могут запускать /bin/su
  • Только root — только суперпользователь (root) может запускать /bin/su
  • Any user — Any user is permitted to run /bin/su
  • All users, but not root — Any user has the right to run /bin/su, but only members of the «wheel» group can raise privileges to the superuser (root)
  • Only wheel — Only users of the «wheel» group are allowed to run /bin/su
  • Only root — Only root is permitted to run /bin/su
Разрешения для /usr/bin/sudo sudo Эта политика определяет разрешения для /usr/bin/sudo
  • Любой пользователь — любой пользователь может запускать /usr/bin/sudo
  • Только wheel — пользователям из группы «wheel» разрешено запускать /usr/bin/sudo
  • Только root — только суперпользователь (root) может запускать /usr/bin/sudo
  • Any user — Any user is permitted to run /usr/bin/sudo
  • Only wheel — Users from the «wheel» group are permitted to run /usr/bin/sudo
  • Only root — Only root is permitted to run /usr/bin/sudo
Режим передачи родительской среды в sudo sudoers Эта политика определяет, передается ли родительская среда (переменные среды) в sudo
  • Строгий — не передавать переменные окружения дочернему процессу
  • Слабый — передать переменные окружения дочернему процессу
  • Strict — Do not pass environment variables to the child process
  • Relaxed — Pass environment variables to the child process
Разрешения для /usr/bin/sudoreplay sudoreplay Эта политика определяет разрешения для /usr/bin/sudoreplay
  • Любой пользователь — любой пользователь может запускать /usr/bin/sudoreplay
  • Только wheel — пользователям из группы «wheel» разрешено запускать /usr/bin/sudoreplay
  • Только root — только суперпользователь (root) может запускать /usr/bin/sudoreplay
  • Any user — Any user is permitted to run /usr/bin/sudoreplay
  • Only wheel — Users from the «wheel» group are permitted to run /usr/bin/sudoreplay
  • Only root — Only root is permitted to run /usr/bin/sudoreplay
Разрешить команду sudo членам группы «wheel» sudowheel Эта политика разрешает или запрещает членам группы «wheel» применять команду sudo. Если политика включена, пользователи, входящие в группу «wheel», могут повысить системные привилегии через команду sudo. Если политика не настроена или отключена, пользователи, входящие в группу «wheel», не смогут применить команду sudo.
  • Отключено — пользователи группы «wheel» не могут повысить привилегии через команду sudo
  • Включено — пользователи группы «wheel» могут повысить привилегии через команду sudo
  • Disabled — members of the «wheel» group cannot raise privileges with sudo command
  • Enabled — members of the «wheel» grop can raise privileges with sudo command
Метод аутентификации system-auth Эта политика определяет метод аутентификации пользователя
  • Winbind — использовать Winbind для аутентификации
  • SSSD — использовать метод проверки подлинности демона System Security Services
  • Winbind — Use Winbind for authentication
  • SSSD — Use System Security Services Daemon authentication method
Разрешения для /usr/lib/chkpwd/tcb_chkpwd tcb_chkpwd Эта политика определяет разрешения для привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd
  • Любой пользователь с отключенным tcb — любой пользователь может быть аутентифицирован с использованием привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd, когда отключена схема tcb
  • Любой пользователь с включенным tcb — любой пользователь может аутентифицироваться с помощью привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd, если включена схема tcb
  • Только root — только суперпользователь (root) может быть аутентифицирован с помощью /usr/lib/chkpwd/tcb_chkpwd
  • Any user with scheme tcb disabled — Any user can be authenticated using /usr/lib/chkpwd/tcb_chkpwd privileged helper when tcb scheme is disabled
  • Any user with scheme tcb enabled — Any user can be authenticated using /usr/lib/chkpwd/tcb_chkpwd privileged helper when tcb scheme is enabled
  • Only root — Only the superuser can be authenticated with /usr/lib/chkpwd/tcb_chkpwd
Разрешения для /usr/bin/write write Эта политика определяет разрешения для /usr/bin/write
  • Любой пользователь — любой пользователь может запускать /usr/bin/write
  • Только root — только суперпользователь (root) может запускать /usr/bin/write
  • Any user — Any user is permitted to run /usr/bin/write
  • Only root — Only root is permitted to run /usr/bin/write

Службы

Внимание! Поддержка опций Samba в групповых политиках работает с samba, начиная с версии 4.16.7-alt5.


Примечание: Для управления настройками usershares с помощью политик на клиенте должны быть выполнены следующие условия:
  • установлен пакет samba-usershares;
  • в /etc/samba/smb.conf в секции [global] подключен файл /etc/samba/usershares.conf:
include = /etc/samba/usershares.conf
Политика Control Описание Режимы на русском Режимы на английском
Права доступа и поведение очереди заданий /usr/bin/at at Политика позволяет контролировать поведение и права доступа для запуска очереди заданий (права доступа для запуска /usr/bin/at)
  • Все пользователи — всем пользователям разрешено запускать /usr/bin/at
  • Только root — только суперпользователь (root) может запускать /usr/bin/at
  • Режим совместимости — режим «atdaemon», не должен использоваться
  • All users — All users are allowed to run /usr/bin/at
  • Only root — Only root allowed to run /usr/bin/at
  • Compatibility mode — mode "atdaemon", should not be used
Режим демона NTP Chrony chrony Эта политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени
  • Сервер — если этот режим выбран, то он раскомментирует или добавит директиву «allow all» в файл конфигурации демона, подробности см. в документации
  • Клиент — если этот режим выбран, он закомментирует директиву «allow» в файле конфигурации демона, подробности см. в документации
  • Server — If selected, uncomment or add the "allow all" directive to daemon configuration file, see documentation for details
  • Client — if selected, it will comment out the "allow" directive in the daemon configuration file, see the documentation for details
Разрешение на использование crontab crontab Эта политика определяет права доступа к инструменту crontab (/usr/bin/crontab)
  • Любой пользователь — любой пользователь может использовать /usr/bin/crontab
  • Только root — только суперпользователь (root) может использовать /usr/bin/crontab
  • Any user — Any user can use crontab
  • Only root — Only root can use crantab
Режим CUPS cups Эта политика определяет поведение CUPS
  • Внешний интерфейс IPP — внешний интерфейс IPP доступен для пользователя
  • Только локальные утилиты — только локальные утилиты могут работать с CUPS
  • External IPP interface — External IPP interface are available for user
  • Only local utilities — Only local utilities can work with CUPS
Обратный поиск DNS для запросов OpenLDAP ldap-reverse-dns-lookup Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP
  • Разрешено — выполнять обратный поиск DNS для запросов OpenLDAP
  • Не разрешено — не выполнять обратный поиск DNS для запросов OpenLDAP
  • По умолчанию — выполнять обратный поиск DNS для запросов OpenLDAP
  • Allow — Perform reverse DNS lookup on OpenLDAP queries
  • Default — Perform reverse DNS lookup on OpenLDAP queries
  • Not allow — Do not perform reverse DNS lookups on OpenLDAP queries
Проверка сертификата при установлении соединений TLS OpenLDAP ldap-tls-cert-check Политика определяет режим проверки сертификата при установке TLS соединений OpenLDAP
  • По умолчанию — установить соединение только с правильным сертификатом
  • Никогда — не выполнять никаких проверок
  • Разрешить — установить соединение, даже если сертификат отсутствует или неверный
  • Пробовать — установить соединение, если нет сертификата или с действующим сертификатом
  • Требовать — установить соединение только с правильным сертификатом
  • Default — Only establish a connection with the correct certificate
  • Never — Do not perform any checks
  • Allow — Establish a connection even if there is no or incorrect certificate
  • Try — Establish a connection if there is no or with a valid certificate
  • Demand — Only establish a connection with the correct certificate
Режим работы Postfix MTA postfix Эта политика определяет режим работы MTA Postfix (Почтовый транспортный агент)
  • Локальный (отключен) — Postfix MTA отключен
  • Сервер (фильтры отключены) — Postfix MTA включен без почтовых фильтров
  • Фильтр — Postfix MTA включен с почтовыми фильтрами
  • Local (disabled) — Postfix MTA is disabled
  • Server (filters off) — Postfix MTA enabled without mail filters
  • Filter — Postfix MTA is enabled with mail filters
Разрешения для /usr/sbin/postqueue postqueue Эта политика определяет разрешения для /usr/sbin/postqueue
  • Любой пользователь — любому пользователю разрешено запускать /usr/sbin/postqueue
  • Группа mailadm — пользователям из группы «mailadm» разрешено запускать /usr/sbin/postqueue
  • Только root — только суперпользователю (root) разрешено запускать /usr/sbin/postqueue
  • Any user — Any user is permitted to run /usr/sbin/postqueue
  • Group mailadm — Users from the "mailadm" group are permitted to run /usr/sbin/postqueue
  • Only root — Only root is permitted to run /usr/sbin/postqueue
Режим работы Rpcbind rpcbind Эта политика определяет режим работы rpcbind (/sbin/rpcbind)
  • Сервер — rpcbind будет прослушивать входящие соединения из сети
  • Локальный — rpcbind будет принимать только локальные запросы
  • Server — rpcbind will listen for incoming connections from the network
  • Local — rpcbind will only accept local requests
Поддержка SFTP на сервере OpenSSH sftp Эта политика определяет поддержку SFTP на сервере OpenSSH
  • Включено — включить поддержку SFTP на сервере OpenSSH
  • Отключено — отключить поддержку SFTP на сервере OpenSSH
  • Disabled — Disable SFTP support on the OpenSSH server
  • Enabled — Enable SFTP support on the OpenSSH server
Поддержка аутентификации OpenSSH-клиентов через GSSAPI ssh-gssapi-auth Эта политика определяет функциональные возможности поддержки аутентификации OpenSSH-клиентов через GSSAPI
  • Включено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов включена
  • Отключено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов отключена
  • Enable — GSSAPI authentication support for OpenSSH clients is enabled
  • Disable — GSSAPI authentication support for OpenSSH clients is disabled
Samba опции
Гостевой доступ к общим каталогам smb-conf-usershare-allow-guests Политика управляет возможностью предоставления гостевого доступа общему ресурсу. Политика управляет параметром «usershare allow guests» в файле /etc/samba/usershares.conf.
  • Включено — разрешить предоставление гостевого доступа общему ресурсу (usershare allow guests = yes)
  • Отключено — запретить предоставление гостевого доступа общему ресурсу (usershare allow guests = no)
  • Enabled — enable restriction of permit guest access by samba usershares
  • Disabled — disable restriction of permit guest access by samba usershares
Доступ к общим каталогам других пользователей smb-conf-usershare-owner-only Политика управляет правом пользователя на предоставление общего доступа или доступ к каталогу, если пользователь не является владельцем этого каталога. Политика меняет параметр «usershare owner only» в файле /etc/samba/usershares.conf.
  • Включено — запретить предоставление общего доступа не владельцу каталога; запретить доступ к общим каталогам пользователей, без проверки владельца каталога (usershare owner only = yes)
  • Отключено — разрешить предоставление общего доступа не владельцу каталога; разрешить доступ к общим каталогам пользователей, без проверки владельца каталога (usershare owner only = no)
  • Enabled — disable restriction of only directories owned by the sharing user can be shared by samba usershares
  • Disabled — enable restriction of only directories owned by the sharing user can be shared by samba usershares
Доступ членам группы «sambashare» к управлению общими каталогами role-sambashare Политика управляет разрешением членам группы «sambashare» управлять общими каталогами (net usershare).

Конфигурации пользовательских общих ресурсов расположены в каталоге /var/lib/samba/usershares, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «sambashare», добавляя их в группу «usershares».

  • Включено — разрешить членам группы «sambashare» управлять общими каталогами
  • Отключено — запретить членам группы «sambashare» управлять общими каталогами
  • Enabled — allow users in group «sambashare» to use samba usershares
  • Disabled — disallow users in group «sambashare» to use samba usershares
Доступ членам группы «users» к управлению общими каталогами role-usershares Политика управляет разрешением членам группы «users» управлять общими каталогами.

Конфигурации пользовательских общих ресурсов расположены в каталоге /var/lib/samba/usershares, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «users», добавляя их в группу «usershares».

  • Включено — разрешить членам группы «users» управлять общими каталогами
  • Отключено — запретить членам группы «users» управлять общими каталогами
  • Enabled — privilege group «usershares» assigned to group «users»
  • Disabled — privilege group «usershares» assigned to users explicitly
Разрешение на создание пользовательских общих каталогов smb-conf-usershares Политика управляет возможностью создания пользовательских общих каталогов на компьютере (net usershare). Политика управляет параметром «usershare max shares» в файле /etc/samba/usershares.conf.
  • Включено — разрешить общие каталоги пользователей на компьютере (usershare max shares» = 100)
  • Отключено — отключить общие каталоги пользователей на компьютере (usershare max shares» = 0)
  • Enabled — enable smb usershare options
  • Disabled — disable smb usershare options
Запрет на создание общих каталогов в системных каталогах smb-conf-usershare-deny-list Политика управляет параметром «usershare prefix deny list» в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр. Параметр «usershare prefix deny list» определяет каталоги в корневом каталоге (/), в которых пользователю запрещено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре «usershare prefix deny list» заданы каталоги: /etc, /dev, /sys, /proc.

Если настроен список запрещенных каталогов «usershare prefix deny list», и список разрешенных каталогов «usershare prefix allow list», сначала обрабатывается список запрета, а затем уже список разрешений.

  • Включено — включить список запрещенных каталогов (запретить создание общих каталогов в системных каталогах из списка «usershare prefix deny list»)
  • Отключено — отключить список запрещённых каталогов (параметр usershare prefix deny list будет закомментирован)
  • Enabled — enable list of prohibited directories to be shared by samba usershares
  • Disabled — disable list of prohibited directories to be shared by samba usershares
Разрешение на создание общих каталогов в системных каталогах smb-conf-usershare-allow-list Политика управляет параметром «usershare prefix allow list» в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр. Параметр «usershare prefix allow list» определяет каталоги в корневом каталоге (/), в которых пользователю разрешено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя не начинается с одного из перечисленных каталогов, доступ к общему каталогу будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре «usershare prefix allow list» заданы каталоги: /home, /srv, /mnt, /media, /var.

Если настроен список запрещенных каталогов «usershare prefix deny list», и список разрешенных каталогов «usershare prefix allow list», сначала обрабатывается список запрета, а затем уже список разрешений.

  • Включено — включить список разрешенных каталогов (разрешить создание общих каталогов только в системных каталогах из списка «usershare prefix allow list»)
  • Отключено — отключить список разрешенных каталогов (параметр usershare prefix allow list будет закомментирован)
  • Enabled — enable list of permitted directories to be shared by samba usershares
  • Disabled — disable list of permitted directories to be shared by samba usershares
SSHD опции
Контроль доступа по группам к серверу OpenSSH sshd-allow-groups Эта политика включает в службе удаленного доступа OpenSSH контроль доступа по списку разрешенных групп
  • Включено — контроль доступа по группам для службы удаленного доступа OpenSSH включен
  • Отключено — контроль доступа по группам для службы удаленного доступа OpenSSH отключен
  • Disabled — Remote access control to the OpenSSH server is disabled
  • Enabled — Remote access control to the OpenSSH server is enabled
Группы для контроля доступа к серверу OpenSSH sshd-allow-groups-list Эта политика определяет, какие группы входят в список разрешенных для службы удаленного доступа к серверу OpenSSH
  • Все пользователи — разрешить доступ к серверу OpenSSH для групп «wheel» и «users»
  • Группы wheel и remote — разрешить доступ к серверу OpenSSH для групп администраторов и пользователей удалённого доступа («wheel» и «remote»)
  • Только wheel — разрешить доступ к серверу OpenSSH только для группы администраторов («wheel»)
  • Только remote — разрешить доступ к серверу OpenSSH только для группы «remote»
  • All users — Allow access to the OpenSSH server by «wheel» and «users» groups
  • Groups wheel and remote — Allow access to the OpenSSH server by «wheel» and «remote» groups
  • Only wheel — Allow access to the OpenSSH server by «wheel» group only
  • Only remote — Allow access to the OpenSSH server by «remote» group only
Поддержка GSSAPI-аутентификации на сервере OpenSSH sshd-gssapi-auth Эта политика включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH
  • Включено — поддержка GSSAPI на сервере OpenSSH включена
  • Отключено — поддержка GSSAPI на сервере OpenSSH отключена
  • Enable — GSSAPI support on the OpenSSH server is enabled
  • Disable — GSSAPI support on the OpenSSH server is disabled
Аутентификация по паролю на сервере OpenSSH sshd-password-auth Эта политика включает поддержку аутентификации по паролю на сервере OpenSSH
  • Включено — поддержка аутентификации по паролю на сервере OpenSSH включена
  • Отключено — поддержка аутентификации по паролю на сервере OpenSSH отключена
  • Enable — Password authentication support on the OpenSSH server is enabled
  • Disable — Password authentication support on the OpenSSH server is disabled
Аутентификация суперпользователя на сервере OpenSSH sshd-permit-root-login Эта политика определяет режимы аутентификации для суперпользователя (root) на сервере OpenSSH
  • Только без пароля — суперпользователю разрешена только беспарольная аутентификация на сервере OpenSSH
  • Разрешено — суперпользователю разрешена аутентификация на сервере OpenSSH
  • Не разрешено — суперпользователю запрещена аутентификация на сервере OpenSSH
  • По умолчанию — сбросить режим аутентификации для суперпользователя на значение по умолчанию в пакете
  • Without password only — The superuser (root) is only allowed password-free authentication on the OpenSSH server
  • Enabled — The superuser (root) is allowed to authenticate on the OpenSSH server
  • Disabled — The superuser (root) is denied authentication on the OpenSSH server
  • Default — Reset the authentication mode for the superuser (root) to the package default
SSSD опции
Контроль доступа в SSSD через групповые политики sssd-ad-gpo-access-control Эта политика определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)
  • Принудительный режим — правила управления доступом в SSSD основанные на GPO выполняются, ведётся логирование
  • Разрешающий режим — правила управления доступом в SSSD основанные на GPO не выполняются, ведётся только логирование. Такой режим необходим администратору, чтобы оценить как срабатывают новые правила
  • Отключить — правила управления доступом в SSSD основанные на GPO не логируются и не выполняются
  • По умолчанию — настройка контроля доступом в SSSD основанное на GPO сброшена на значение по умолчанию в пакете
  • Enforced — SSSD GPO-based access control rules are evaluated and enforced
  • Permissived — TSSSD GPO-based access control rules are evaluated, but not enforced
  • Disabled — SSSD GPO-based access control rules are neither evaluated nor enforced
  • Default — SSSD GPO-based access control reset to the default value in the package
Игнорирование политик при недоступности GPT sssd-ad-gpo-ignore-unreadable Эта настройка определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)
  • Включить — игнорировать правила управления доступом через групповые политики, если шаблоны групповых политик не доступны для SSSD
  • Отключить — запретить доступ пользователям SSSD AD, которым назначены групповые политики, если шаблоны групповых политик не доступны
  • По умолчанию — настройка игнорирования политик, при недоступности шаблонов групповых политик сброшена на значение по умолчанию в пакете
  • Enabled — Ignore access control rules via group policies if group policy templates are not available for SSSD
  • Disabled — Deny access SSSD AD users when group policy templates are not unavailable
  • Default — The policy ignoring setting, when group policy templates are unavailable, is reset to the default value in the package
Кэширование учётных данных пользователей sssd-cache-credentials Эта политика определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кэше SSSD
  • Включить — сохранение в локальном кэше SSSD учётных данных пользователей включено
  • Отключить — сохранение в локальном кэше SSSD учётных данных пользователей отключено
  • По умолчанию — настройка сохранения в локальном кэше SSSD учётных данных пользователей сброшена на значение по умолчанию в пакете
  • Enabled — Storing user credentials in the local SSSD cache is enabled
  • Disabled — Storing user credentials in the local SSSD cache is disabled
  • Default — The setting for storing user credentials in the local SSSD cache reset to the default value in the package
Режим привилегий службы SSSD sssd-drop-privileges Эта политика позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)
  • Привилегированный — служба SSSD запущена от имени привилегированного суперпользователя (root)
  • Непривилегированный — служба SSSD запущена от имени непривилегированного пользователя (_sssd)
  • По умолчанию — режим привилегий службы SSSD задан по умолчанию в пакете
  • Privileged — The SSSD service is running on behalf of a privileged superuser (root)
  • Unprivileged — The SSSD service is running on behalf of an unprivileged user (_sssd)
  • Default — The SSSD privilege mode is set by default in the packager
Обновление DNS-записей прямой зоны sssd-dyndns-update Эта политика позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD
  • Включить — автоматическое обновление DNS-записи клиента через SSSD включено
  • Отключить — автоматическое обновление DNS-записи клиента через SSSD отключено
  • По умолчанию — настройка автоматического обновления DNS-записи клиента через SSSD задана по умолчанию в пакете
  • Enabled — Automatic client DNS record update via SSSD is enabled
  • Disabled — Automatic client DNS record update via SSSD is disabled
  • Default — The configuration of automatic updating of client DNS records via SSSD is set by default in the package
Обновление DNS-записей обратной зоны sssd-dyndns-update-ptr Данная политика определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG). Эта политика работает только если включено «Обновление DNS-записей прямой зоны»
  • Включить — автоматическое обновление DNS-записи обратной зоны через SSSD включено
  • Отключить — автоматическое обновление DNS-записи обратной зоны через SSSD отключено
  • По умолчанию — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете
  • Enabled — Automatic DNS update of the reverse zone record via SSSD is enabled
  • Disabled — Automatic DNS update of the reverse zone record via SSSD is disabled
  • Default — The configuration of automatic updating of client PTR record for reverse zone records using SSSD is set by default in the package

Сетевые приложения

Политика Control Описание Режимы на русском Режимы на английском
Разрешение на использование /usr/bin/mtr mtr Разрешение на использование сетевого инструмента /usr/bin/mtr
  • Любой пользователь — любой пользователь может выполнить /usr/bin/mtr
  • Группа netadmin — только члены группы «netadmin» могут выполнять /usr/bin/mtr
  • Только root — только суперпользователь (root) может выполнить /usr/bin/mtr
  • Any user — Any user can execute /usr/bin/mtr
  • Group netadmin — Only "netadmin" group members can execute /usr/bin/mtr
  • Only root — Only root can execute /usr/bin/mtr
Разрешения для /usr/bin/ping ping Эта политика определяет разрешения для /usr/bin/ping
  • Любой пользователь — любой пользователь может запускать /usr/bin/ping
  • Группа netadmin — пользователям из группы «netadmin» разрешено запускать /usr/bin/ping
  • Только root — только суперпользователь (root) может запускать /usr/bin/ping
  • Любой пользователь (в контейнерах) — любой пользователь может запускать /usr/bin/ping (в контейнерах)
  • Группа netadmin (в контейнерах) — пользователям из группы «netadmin» разрешено запускать /usr/bin/ping (в контейнерах)
  • Any user — Any user is permitted to run /usr/bin/ping
  • Group netadmin — Users from the "netadmin" group are permitted to run /usr/bin/ping
  • Only root — Only root is permitted to run /usr/bin/ping
  • Any user (in containers) — Any user is permitted to run /usr/bin/ping (in containers)
  • Group netadmin (in containers) — Users from the "netadmin" group are permitted to run /usr/bin/ping (in containers)
Разрешения для /usr/sbin/pppd ppp Эта политика определяет разрешения для /usr/sbin/pppd
  • Только root — только суперпользователю (root) разрешено запускать /usr/sbin/pppd
  • Традиционный — любой пользователь имеет право запускать /usr/sbin/pppd без повышения привилегий
  • Группа uucp — пользователи группы «uucp» имеют право запускать /usr/sbin/pppd с правами суперпользователя
  • Любой пользователь — любой пользователь имеет право запускать /usr/sbin/pppd с правами суперпользователя
  • Only root — Only root is permitted to run /usr/sbin/pppd
  • Traditional — Any user has the right to run /usr/sbin/pppd without elevating privileges
  • Group uucp — Users of the "uucp" group have the right to run /usr/sbin/pppd with superuser rights
  • Public — Any user has the right to run /usr/sbin/pppd with superuser rights
Разрешения для wireshark-capture (dumpcap) wireshark-capture Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (/usr/bin/dumpcap)
  • Любой пользователь — любой пользователь имеет право запустить /usr/bin/dumpcap, захват трафика включен
  • Любой пользователь, без захвата трафика — любой пользователь имеет право запускать /usr/bin/dumpcap, захват трафика отключен
  • Группа netadmin — пользователи группы «netadmin» имеют право запускать /usr/bin/dumpcap
  • Только root — только суперпользователь (root) имеет право запускать /usr/bin/dumpcap
  • Any user — Any user has the right to run /usr/bin/dumpcap, traffic capture is enabled
  • Any user, no traffic capture — Any user has the right to run /usr/bin/dumpcap, traffic capture is disabled
  • Group netadmin — Users of the group "netadmin" have the right to run /usr/bin/dumpcap
  • Only root — Only the superuser has the right to run /usr/bin/dumpcap

Приложения для CD/DVD

Политика Control Описание Режимы на русском Режимы на английском
Разрешение на использование /usr/bin/dvd-ram-control dvd-ram-control Эта политика определяет права доступа к /usr/bin/dvd-ram-control
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd-ram-control
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd-ram-control
  • Режим совместимости — режим совместимости, не должен использоваться
  • Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd-ram-control
  • Only root — Only root can execute /usr/bin/dvd-ram-control
  • Compatibility mode — Compatibility mode, should not be used
Разрешение на использование /usr/bin/dvd+rw-booktype dvd+rw-booktype Эта политика определяет права доступа к /usr/bin/dvd+rw-booktype
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-booktype
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-booktype
  • Режим совместимости — режим совместимости, не должен использоваться
  • Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-booktype
  • Only root — Only root can execute /usr/bin/dvd+rw-booktype
  • Compatibility mode — Compatibility mode, should not be used
Разрешение на использование /usr/bin/dvd+rw-format dvd+rw-format Эта политика определяет права доступа к /usr/bin/dvd+rw-format
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-format
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-format
  • Режим совместимости — режим совместимости, не должен использоваться
  • Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-format
  • Only root — Only root can execute /usr/bin/dvd+rw-format
  • Compatibility mode — Compatibility mode, should not be used
Разрешение на использование /usr/bin/dvd+rw-mediainfo dvd+rw-mediainfo Эта политика определяет права доступа к /usr/bin/dvd+rw-mediainfo
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-mediainfo
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-mediainfo
  • Режим совместимости — режим совместимости, не должен использоваться
  • Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-mediainfo
  • Only root — Only root can execute /usr/bin/dvd+rw-mediainfo
  • Compatibility mode — Compatibility mode, should not be used
Разрешение на использование /usr/bin/growisofs growisofs Политика определяет права на использование инструмента /usr/bin/growisofs
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/growisofs
  • Только root — только суперпользователь (root) может выполнять /usr/bin/growisofs
  • Режим совместимости — режим совместимости, не должен использоваться
  • Only cdwriter — Only cdwriter group members can execute /usr/bin/growisofs
  • Only root — Only root can execute /usr/bin/growisofs
  • Compatibility mode — Compatibility mode, should not be used

Монтирование

Политика Control Описание Режимы на русском Режимы на английском
Доступ к инструментам FUSE fusermount Эта политика определяет права доступа для монтирования файловой системы FUSE (выполнение программ /usr/bin/fusermount и /usr/bin/fusermount3)
  • Любой пользователь — любой пользователь может выполнить /usr/bin/fusermount и /usr/bin/fusermount3
  • Только fuse — только члены группы «fuse» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3
  • Только wheel — только члены группы «wheel» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3
  • Только root — только суперпользователь (root) может выполнять /usr/bin/fusermount и /usr/bin/fusermount3
  • Any user — Any user can execute /usr/bin/fusermount and /usr/bin/fusermount3
  • Only fuse — Only "fuse" group members can execute /usr/bin/fusermount and /usr/bin/fusermount3
  • Only wheel — Only "wheel" group members can execute /usr/bin/fusermount and /usr/bin/fusermount3
  • Only root — Only root can execute /usr/bin/fusermount and /usr/bin/fusermount3
Разрешения для /bin/mount и /bin/umount mount Эта политика определяет разрешения для /bin/mount и /bin/umount
  • Любой пользователь — любому пользователю разрешено запускать /bin/mount и /bin/umount
  • Только wheel — пользователям из группы «wheel» разрешено запускать /bin/mount и /bin/umount
  • Непривилегированный пользователь — любой пользователь может запускать /bin/mount и /bin/umount для непривилегированных действий (не от имени root)
  • Только root — только суперпользователю (root) разрешено запускать /bin/mount и /bin/umount
  • Any user — Any user is permitted to run /bin/mount and /bin/umount
  • Only wheel — Users from the "wheel" group are permitted to run /bin/mount and /bin/umount
  • Unprivileged user — Any user is permitted to run /bin/mount and /bin/umount for unprivileged actions
  • Only root — Only root is permitted to run /bin/mount and /bin/umount
Разрешения для /sbin/mount.nfs nfsmount Эта политика определяет разрешения для /sbin/mount.nfs
  • Любой пользователь — любому пользователю разрешено запускать /sbin/mount.nfs
  • Только wheel — пользователям из группы «wheel» разрешено запускать /sbin/mount.nfs
  • Только root — только суперпользователь (root) может запускать /sbin/mount.nfs
  • Any user — Any user is permitted to run /sbin/mount.nfs
  • Only wheel — Users from the "wheel" group are permitted to run /sbin/mount.nfs
  • Only root — Only root is permitted to run /sbin/mount.nfs
Правила подключения USB-накопителей udisks2 Эта политика определяет правила подключения USB-накопителей
  • По умолчанию — подключить накопитель индивидуально (/run/media/$user/) для каждого пользователя
  • Общий — подключить накопитель к общедоступной точке (/media/)
  • Default — Connect storage media individually (/run/media/$user/) for each user
  • Shared — Connect storage media to a public point (/media/)



Виртуализация

Политика Control Описание Режимы на русском Режимы на английском
Разрешения для VirtualBox virtualbox Эта политика определяет разрешения для VirtualBox
  • Любой пользователь — любому пользователю разрешено использовать VirtualBox
  • Группа vboxusers — пользователям группы «vboxusers» разрешено использовать VirtualBox
  • Только root — только суперпользователю (root) разрешено использовать VirtualBox
  • Any user — Any user is permitted to use VirtualBox
  • Group vboxusers — Users of the "vboxusers" group are permitted to use VirtualBox
  • Only root — Only root is permitted to use VirtualBox

Графическая подсистема

Политика Control Описание Режимы на русском Режимы на английском
Cписок пользователей в greeter (LightDM) lightdm-greeter-hide-users Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет
  • Показать — показать список доступных пользователей в greeter
  • Скрыть — не перечислять всех пользователей в greeter
  • Show — Show available users list in greeter
  • Hide — Don't list all users in greeter
Стандартные каталоги в home xdg-user-dirs Эта политика определяет, работает ли функция стандартных каталогов (Документы, Загрузки, Изображения и т.д.) xdg-user-dirs в домашнем каталоге (home) пользователя
  • Отключено — функция сохранения списка пользовательских каталогов отключена
  • Включено — функция сохранения списка пользовательских каталогов включена
  • Disabled — The function to save the list of user directories is disabled
  • Enabled — The option to save the list of user directories is enabled
Разрешения для Xorg xorg-server Эта политика определяет разрешения для Xorg (/usr/bin/Xorg)
  • Не сконфигурировано — любому пользователю разрешено запускать /usr/bin/Xorg
  • Любой пользователь — любому пользователю разрешено запускать /usr/bin/Xorg
  • Группа xgrp — пользователям группы «xgrp» разрешено запускать /usr/bin/Xorg
  • Только root — только суперпользователь (root) может запускать /usr/bin/Xorg
  • Not Configured — Any user is permitted to run /usr/bin/Xorg
  • Any user — Any user is permitted to run /usr/bin/Xorg
  • Group xgrp — Users of the "xgrp" group are permitted to run /usr/bin/Xorg
  • Only root — Only root is permitted to run /usr/bin/Xorg