Групповые политики/Polkit

Материал из ALT Linux Wiki

Описание

Через групповые политики реализовано управление настройками службы Polkit (PolicyKit).

В настоящий момент реализованы следующие настройки:

  • «Разрешения Udisks2» — формирований правил PolKit для монтирования файловых систем (демон udisk2);
  • «Разрешения PackageKit» — формирование правил PolKit для установки, удаления, обновления пакетов;
  • «Разрешения NetworkManager» — формирование правил PolKit для операций с сетевыми подключениями и настройкой сетевых интерфейсов;
  • «Разрешения для работы с токенами и смарткартами» — формирование правил PolKit для работы с токенами и смарткартами.

Настройка политики

На рабочей станции

Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, куда входят машины, для которых создаётся политика.

Шаг 3. Запустить GPUI: 

$ gpui-main -p "smb://dc.test.alt/SysVol/test.alt/Policies/{C5CBB0CF-07E7-41E4-A5AC-FCA0B0C82672}"

где dc.test.alt — имя контроллера домена, а "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}" — GUID шаблона групповой политики для редактирования.

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Административные шаблоны» -> «Система ALT» -> «Правила Polkit». Здесь есть четыре раздела («Разрешения для работы с токенами и смарткартами», «Разрешения NetworkManager», «Разрешения PackageKit» и «Разрешения Udisks2»):

GPUI. Политики настройки службы Polkit

Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик:

GPUI. Список политик PackageKit

Шаг 6. При выборе политики, откроется диалоговое окно настройки соответствующей политики:

GPUI. Диалоговое окно настройки ограничения Polkit

Можно не задавать настройку политики, включить или отключить. Если политика находится в состоянии «Отключено»/«Не сконфигурировано» разрешения определяются системными параметрами (по умолчанию — «Auth_admin»).

Если выбрать параметр «Включено», в разделе «Опции» в выпадающем списке можно выбрать вариант ограничения для данного разрешения:

GPUI. Диалоговое окно настройки ограничения Polkit


Если выбран параметр «Включено», для каждой из этих политик доступны следующие разрешения:

  • «No» — заблокировать разрешения (пользователю не разрешено выполнять действие);
  • «Yes» — предоставить разрешения (пользователь может выполнять действие без какой-либо аутентификации);
  • «Auth_self» — пользователь должен ввести свой пароль для аутентификации. Обратите внимание, этого разрешения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется разрешение «Auth_admin»;
  • «Auth_admin» — пользователь должен ввести пароль администратора при каждом запросе. Требуется аутентификация пользователя с правами администратора;
  • «Auth_self_keep» — подобно «Auth_self», но авторизация сохраняется в течение короткого периода времени (например, пять минут). Обратите внимание, этого разрешения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется разрешение «Auth_admin_keep»;
  • «Auth_admin_keep» — аналогично «Auth_admin», но авторизация сохраняется в течение короткого периода времени (например, пять минут).
Примечание: Администратор — в Альт определён в правиле /etc/polkit-1/rules.d/50-default.rules: 
polkit.addAdminRule(function(action, subject) {
        return ["unix-group:wheel"];
});
По умолчанию, запрашивается пароль пользователя, находящегося в группе wheel.


На машине Windows

Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).

Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU.

Шаг 3. В контекстном меню GPO выбрать пункт «Изменить». Откроется редактор GPO.

Шаг 4. Перейти в «Конфигурация компьютера»/«Конфигурация пользователя» -> «Политики» -> «Административные шаблоны» -> «Система ALT» -> «Правила Polkit». Здесь есть два раздела («Разрешения PackageKit» и «Разрешения Udisks2»):

RSAT. Правила Polkit

Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик и их состояние:

RSAT. Список политик PackageKit

Шаг 6. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики:

RSAT. Диалоговое окно настройки ограничения Polkit

Можно не задавать настройку политики, включить или отключить. Можно не задавать настройку политики, включить или отключить. Если политика находится в состоянии «Отключить»/«Не задано» разрешения определяются системными параметрами (по умолчанию — «Auth_admin»).

Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно выбрать вариант ограничения для данного разрешения:

RSAT. Выбор ограничения Polkit

Правила Polkit

Разрешения PackageKit

Политика Описание Правило Polkitd для демона PackageKit
Разрешение на восстановление пакетов в системе Данная политика предоставляет или ограничивает пользователям права на восстановление системы пакетов, если в ней возникли проблемы, например, пропали зависимости, посредством интерфейса управления пакетами PackageKit. org.freedesktop.packagekit.repair-system
Разрешение на добавление ключа электронной подписи Данная политика предоставляет или ограничивает пользователям право на добавление ключа подписи в список доверенных ключей системы посредством интерфейса управления пакетами PackageKit. org.freedesktop.packagekit.system-trust-signing-key
Разрешение на обновление пакетов Данная политика предоставляет или ограничивает пользователям права на обновление пакетов, установленных в систему, посредством интерфейса управления пакетами PackageKit. org.freedesktop.packagekit.system-update
Разрешение на обновление системных источников пакетов Данная политика предоставляет или ограничивает пользователям права на обновление системных источников пакетов посредством интерфейса управления пакетами PackageKit. org.freedesktop.packagekit.system-sources-refresh
Разрешение на переустановку пакетов Данная политика предоставляет или ограничивает пользователям право на переустановку пакетов посредством интерфейса управления пакетами PackageKit. org.freedesktop.packagekit.package-reinstall
Разрешение на принятие лицензионного соглашения Данная политика предоставляет или ограничивает право на принятие пользовательского соглашения программ посредством интерфейса управления пакетами PackageKit. org.freedesktop.packagekit.package-eula-accept
Разрешение на редактирование источников пакетов Данная политика предоставляет или ограничивает пользователям права на редактирование источников пакетов в системе посредством интерфейса управления пакетами PackageKit. org.freedesktop.packagekit.system-sources-configure
Разрешение на удаление пакетов Данная политика предоставляет или ограничивает пользователям права на удаление пакетов посредством интерфейса управления пакетами PackageKit. org.freedesktop.packagekit.package-remove
Разрешение на установку пакетов Данная политика предоставляет или ограничивает пользователям права на установку пакетов посредством интерфейса управления пакетами PackageKit. org.freedesktop.packagekit.package-install
Разрешение на установку непроверенных пакетов Данная политика предоставляет или ограничивает пользователям права на установку ненадёжных или непроверенных пакетов посредством интерфейса управления пакетами PackageKit. org.freedesktop.packagekit.package-install-untrusted

Разрешения Udisks2

Политика Описание Правило Polkitd для демона udisk2
Общая политика монтирования Данная политика предоставляет или ограничивает разрешения на монтирование файловой системы, монтирование файловых систем системных устройств, монтирование файловых систем в удалённых сеансах.

org.freedesktop.udisks2.filesystem-mount org.freedesktop.udisks2.filesystem-mount-other-seat org.freedesktop.udisks2.filesystem-mount-system

Разрешение на монтирование файловой системы Данная политика управляет разрешением на монтирование файловой системы устройства. org.freedesktop.udisks2.filesystem-mount
Разрешение на монтирование файловых систем в удалённых сеансах Данная политика предоставляет или ограничивает разрешения на монтирование файловых систем с устройства, подключенного к удалённому рабочему месту (например, на другом компьютере или удаленной сессии). org.freedesktop.udisks2.filesystem-mount-other-seat
Разрешение на монтирование файловых систем системных устройств Политика предоставляет или ограничивает разрешения на монтирование файловых систем системных устройств.

(Системное устройство хранения информации — это неизвлекаемое устройство. Для таких устройств переменная HintSystem установлена в значение "True". Жёсткий диск с установленной ОС относится к системным устройствам.)

org.freedesktop.udisks2.filesystem-mount-system

Файлы настроек политики

Все настройки политики хранятся в:

  • {GUID GPT}/Machine/Registry.pol
  • {GUID GPT}/User/Registry.pol

Пример Registry.pol: 

PReg[Software\BaseALT\Policies\PolkitLocks;org.freedesktop.udisks2.filesystem-mount;;;][Software\BaseALT\Policies\Polkit;org.freedesktop.udisks2.filesystem-mount;;;No][Software\BaseALT\Policies\Polkit;org.freedesktop.packagekit.system-update;;;Auth_self]
Групповые политики
Групповые политики/ALT System Control • Групповые политики/ALT System SystemdUnits • Групповые политики/Chromium • Групповые политики/Firefox • Групповые политики/Gsettings • Групповые политики/KDE • Групповые политики/Polkit • Групповые политики/Yandex • Групповые политики/Настройка реестра • Групповые политики/Общие каталоги • Групповые политики/Переменные среды • Групповые политики/Периодичность запроса конфигураций • Групповые политики/Подключение сетевых дисков • Групповые политики/Политика замыкания • Групповые политики/Политики доступа к съемным носителям • Групповые политики/Прокси-сервер • Групповые политики/Управление ini-файлами • Групповые политики/Управление logon-скриптами • Групповые политики/Управление каталогами • Групповые политики/Управление пакетами • Групповые политики/Управление файлами • Групповые политики/Управление ярлыками