База знаний
Войти

Применение и наследование групповых политик

Задание статусов политики

Политики управления Dynamic Directory поддерживают отдельные группы политик:

  • политики для пользователей;
  • политики для компьютера.

Для политик реализована возможность задания статусов, при применении политики которых на АРМ будут получены:

  • все заданные параметры для компьютеров и пользователей;
  • только заданные параметры для компьютеров;
  • только заданные параметры для пользователей;
  • никакие из параметров.

Для задания статусов политики пользователь должен иметь права на чтение политик и чтение, создание, изменение и удаление атрибута statuspolicy.

Операция доступна через все интерфейсы Системы.

В CLI для этой операции используются команды вида:

$ ipa ddpo_mod [имя_политики] --status --[общие опции]

Для использования этого функционала, реализованного в графическом интерфейсе Dynamic Directory, необходимо в главном окне Dynamic Directory выбрать политику и из контекстного меню – пункт "Свойства". На вкладке "Общая" в списке "Статус" выбрать один из статусов соответственно (рисунок 80):

  • "Включить все" – применяются параметры конфигурации и пользователя, и компьютера;
  • "Параметры конфигурации пользователя отключены" – применяются только параметры конфигурации компьютера;
  • "Параметры конфигурации компьютера отключены" – применяются только параметры конфигурации пользователя;
  • "Все параметры отключены" – никакие из параметров не будут применены.

Рисунок 80 – Задание статуса политики

Для сохранения статуса нужно нажать кнопку ОК и выбранный статус отобразится для этой политики в правом окне.

Изменение значений параметров политики

Операция возможна при наличии у пользователя прав на чтение шаблонов политик и чтение, создание, изменение и удаление параметров политик.

Операция доступна через командную строку и графический интерфейс Системы.

В CLI для этой операции используются команды вида:

$ ipa ddpp_[add/mod/del/find/show] [имя_параметра] --parent [имя_политики] --[параметры] --[общие опции]

Штатный веб-интерфейс FreeIPA не поддерживает данный функционал.

В графическом интерфейсе Dynamic Directory при выборе секций политики в панели дерева будут отображены параметры политики в панели списка. Доступ к изменению параметров осуществляется двойным нажатием ЛКМ на необходимом параметре политики, при этом будет открыто окно изменения политики (рисунок 81).

Рисунок 81 – Окно редактирования политики

В этом окне можно установить статус при применении политики:

  • "Не задано" – параметр не используется;
  • "Включено" – параметр включает действие;
  • "Выключено" – параметр выключает действие.

Также можно просмотреть описание и изменить значения политики:

  • "Описание" – описание параметра;
  • "Поддерживает" – перечисление поддерживаемых ОС;
  • "Значение" – одно или несколько значений параметра;
  • "Подробно" – подробное описание значений параметра.

После задания значений параметра необходимо нажать кнопку ОК в нижней части окна. Окно будет закрыто, в главном окне интерфейса будут отображены данные параметра политики.

Перечень параметров политик приведен в Приложении А документа "Dynamic Directory. Руководство администратора. Часть 3. Приложения" (RU.69838320.02.06-06 32 03).

Фильтрация применения политик к объектам

Для фильтрации применения политик к объектам с помощью DDEM-фильтров пользователь должен иметь права на чтение политик и чтение, создание, изменение и удаление DDEM-фильтров.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

В CLI для фильтрации применения политики к определенным объектам используются команды вида:

$ ipa ddpo_mod [имя_политики] --ddem [имя_фильтра]

Для назначения или удаления пользователей/компьютеров/групп из вкладки "Участники" окна графического интерфейса используется команда вида:

$ ipa delegate_add_member [имя_политики + ‘Filter DDPO’] --[user/group/host/hostgroup/dgroup/dhostgroup] [имя_объекта]

В графическом интерфейсе Dynamic Directory для фильтрации применения политик только к определенным объектам необходимо в главном окне Системы выбрать политику и из контекстного меню – пункт "Свойства". В появившемся окне перейти на вкладку "Общие" и, используя кнопку …, выбрать DDEM-фильтр, который будет применяться к выбранной политике (рисунок 82).

Рисунок 82 – Применение фильтрации объектов к политике

Для фильтрации применения политик только к участникам – группам пользователей/компьютеров, пользователям/компьютерам – необходимо в главном окне Dynamic Directory выбрать политику и из контекстного меню – пункт "Свойства". В появившемся окне перейти на вкладку "Участники" и переопределить разрешения с помощью кнопок Добавить/Удалить объектам, для которых эту политику требуется разрешить или запретить на применение, с помощью указания значений "Разрешено" или "Запрещено" соответственно в поле "Разрешение" (рисунок 83).

Рисунок 83 – Ограничения для применения политики

Ограничение применения политик по конфигурации АРМ

Операция возможна при наличии у пользователя прав на чтение и изменение политик и чтение, создание, изменение и удаление DDEM-фильтров.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

В CLI для этой операции используются команды вида:

$ ipa ddem_[find/add/mod/del/show] [имя_фильтра] --[параметры] --[общие опции]

Для фильтрации применения политик к АРМ в зависимости от их конфигурации используется секция "Фильтры DDEM", в которой можно создавать и изменять фильтры DDEM.

Для создания фильтра необходимо нажатием ПКМ на секции "Фильтры DDEM" из контекстного меню выбрать пункт "Создать фильтр DDEM". Далее на вкладке "Общие" ввести имя фильтра и его описание (рисунок 84), затем перейти на вкладку "Запрос" и с помощью кнопок Добавить и Удалить задать выражения для фильтрации при применении политик (рисунок 85). Синтаксис для построения запросов определяется набором параметров, логическими операторами и операторами сравнения.

При построении запросов следует учитывать, что сформированный запрос нужно заключить в круглые скобки (по аналогии с рисунком 85).

В качестве параметров АРМ для построения запросов можно использовать:

  • cpu_thread_count – число потоков центрального процессора (например, cpu_thread_count>8);
  • cpu_current_speed – скорость центрального процессора (например, cpu_current_speed<2000);
  • cpu_model – модель центрального процессора (например, cpu_model=Common KVM processor);
  • ram_full – объем оперативной памяти (например, ram_full>=3G);
  • ram_free – объем свободной оперативной памяти (например, ram_free<=2G);
  • disk_root_partition – размещение раздела накопителя (например, disk_root_partition=/dev/sda1);
  • disk_root_partition_full – размер раздела накопителя (например, disk_root_partition_free>=35G);
  • disk_root_partition_type – тип накопителя (например, disk_root_partition_type=hdd);
  • os_id – идентификатор ОС (например, os_id=rosa);
  • os_version_id – идентификатор версии ОС (например, os_version_id=2021.1);
  • os_version_codename – кодовое имя ОС (например, os_version_codename=12.5.1);
  • os_version=12.5.1– версия ОС (например, os_version=12.5.1);
  • os_name – наименование ОС (например, os_name=ROSA Chrome Desktop);
  • de_name – графический интерфейс (например, de_name=01plasma);
  • de_version – версия графического интерфейса (например, de_version=01plasma);
  • network_device_number – порядковый номер сетевого подключения (например, network_device_number=0);
  • network_device_name – имя сетевого подключения (например, network_device_name=eth0);
  • network_device_link_state – статус сетевого подключения (например, network_device_link_state=up, если подключение активно);
  • network_device_address_v4 – адрес сетевого подключения типа IPv4 (например, network_device_address_v4=10.11.28.220);
  • network_device_address_v6 – адрес сетевого подключения типа IPv6 (например, network_device_address_v6=fe80:c7:84b5:91b9:45c3 fe80::721a:c556:2d72:8933);
  • network_device_speed – скорость сетевого подключения с порядковым номером 1 (например, network_device_speed=-1, если скорость определить нельзя);
  • network_device_wireless – является ли беспроводным сетевое подключение с порядковым номером 1 (например, network_device_wireless=no);
  • network_device_virtual – является ли виртуальным сетевое подключение с порядковым номером 1 (например, network_device_virtual=no);
  • network_device_count – количество сетевых подключений (например, network_device_count=1).

Пример запроса фильтра DDEM:

(cpu_thread_count>4 AND ram_full>=1)

Рисунок 84 – Вкладка "Общие" фильтра DDEM

Рисунок 85 – Вкладка "Запрос" фильтра DDEM

Для изменения фильтра нужно с помощью ПКМ на имени фильтра в правой части главного окна Dynamic Directory выбрать из контекстного меню пункт "Свойства". Действия по изменению аналогичны действиям при создании фильтра.

Для сохранения фильтра необходимо нажать кнопку ОК.

Назначение DDEM-фильтров на политику

Операция возможна при наличии у пользователя прав на чтение и изменение политик и чтение, создание, изменение и удаление DDEM-фильтров.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

В CLI для этой операции используются команды вида:

$ ipa ddpo_[add/remove]_ddem [имя_фильтра] --parent [имя_политики]

Для применения фильтра DDEM к политике необходимо из контекстного меню политики выбрать пункт "Свойства" и на вкладке "Общие" в блоке "Фильтр DDEM" по кнопке (три точки) в новом окне "Выбор объекта" применить необходимый фильтр или отменить его применение кнопкой (крест), как показано на рисунке 86.

Рисунок 86 – Применение фильтра DDEM

Переопределение порядка применения политик в рамках подразделения

Операция возможна при наличии у пользователя прав на чтение политик и чтение, создание, изменение и удаление атрибута linkddpo.

Для этой операции командная строка не предусмотрена.

Переопределение порядка применения политик в рамках организационного подразделения осуществляется в графическом интерфейсе Dynamic Directory.

Для выполнения операции переопределения необходима связь организационного подразделения как минимум с двумя объектами политики. Установка таких связей описана в п. Назначение политик настоящего Руководства администратора.

В главном окне Dynamic Directory требуется выбрать подразделение и из контекстного меню – пункт "Свойства". В открывшемся окне на вкладке "Порядок" можно изменить порядок следования политик, используя кнопки (вверх) и (вниз) (рисунок 87). Для сохранения переопределенного порядка нужно нажать кнопку ОК.

Рисунок 87 – Порядок применения политик

Разрешение/запрет на применение политик

Для разрешения или запрета на применение политик пользователь должен иметь права на чтение, создание, изменение и удаление политик.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory Системы.

В CLI для разрешения на применение политики выполняют команду вида:

$ ipa delegate_add_member [имя_ политики] Filter Deny/Admit DDPO --user <str>

Для запрета на применение политики используют команду вида:

$ ipa delegate_remove_member [имя_ политики] Filter Deny/Admit DDPO --user <str>

Система проводит проверку на признак разрешения или запрета на применение политики конкретному пользователю или компьютеру. В случае наличия запрета будет выдано сообщение об ошибке, в противном случае политика будет применена к объекту.

В графическом интерфейсе Dynamic Directory назначение политики подразделению осуществляется выбором политики из секции "Групповые политики" и вызовом из контекстного меню пункта "Свойства".

По умолчанию политика создается с разрешениями для всех пользователей и компьютеров через динамические группы ipausers и ipacomputers (рисунок 88).

Рисунок 88 – Разрешение/запрет на применение политики по умолчанию

Для проверки разрешения или запрета на применение политики для конкретных пользователей во вкладке "Участники" нужно удалить динамические группы ipausers и ipacomputers.

После этого на вкладке "Участники" можно переопределить разрешения с помощью кнопок Добавить/Удалить объектам, для которых эту политику требуется разрешить или запретить на применение, с помощью указания значений "Разрешено" или "Запрещено" в поле "Разрешение" соответственно (рисунок 89).

Рисунок 89 – Разрешение/запрет на применение политики

После переопределения разрешений на политику на вкладке "Участники" в столбце "Разрешение" должны появиться соответствующие опции, например, как показано на рисунке 90.

Рисунок 90 – Определение участников на применение политики

Блокировка наследования и принудительное применение политик для организационных подразделений

Операции возможны при наличии у пользователя прав на чтение и изменение атрибута statusrecord.

Операции доступны через интерфейс командной строки и графический интерфейс Dynamic Directory.

В CLI используются команды вида:

$ ipa ou_mod [имя_подразделения] --inheritance true --[общие опции]

Операция блокировки наследования политик для организационного подразделения выполняется в главном окне графического интерфейса Dynamic Directory. Для этого необходимо в левой части окна на панели дерева выбрать ОП и из контекстного меню – пункт "Блокировать наследование", при этом значок подразделения изменит цвет на синий (рисунок 91). В результате не будут наследоваться политики вышестоящих ОП. Для отмены блокирования нужно повторить ту же операцию, при этом цвет значка подразделения изменится вновь на желтый.

Возможно выполнение операции принудительного применения политики подразделения верхнего уровня, несмотря на наличие блокировки наследования. Для этого нужно в левой части окна на панели дерева выбрать ОП верхнего уровня с блокировкой наследования на нижнем уровне, затем в правой части окна на панели списка выбрать политику для принудительного применения и из контекстного меню – пункт "Принудительно", при этом в контекстном меню рядом с пунктом появится флажок. Для отмены принудительного применения нужно выбрать пункт "Принудительно" из контекстного меню еще раз, флажок при этом снимается.

Рисунок 91 – Блокировка наследования и принудительное применение политик

Моделирование применения групповых политик

Перед рабочим применением возможно моделирование применения групповых политик для имитации развертывания объектов групповой политики на любом целевом компьютере.

Для моделирования пользователь должен иметь права на чтение политик и чтение, создание, изменение и удаление атрибута linkddpo.

Для этой операции командная строка не предусмотрена.

Моделирование применения политик осуществляется в графическом интерфейсе Dynamic Directory.

Для моделирования применения групповой политики нужно создать запись в секции "Результаты применения групповых политик", вызвав контекстное меню и выбрав пункт "Создать результаты групповой политики" (рисунок 92).

Рисунок 92 – Создание результата политики

В открывшемся окне необходимо задать имя моделирования, убрать флажки с полей "Использовать учетную запись текущего пользователя" и "Использовать имя текущего компьютера", выбрать пользователя и компьютер, для которых будет проведено моделирование применения политики (рисунок 93).

Рисунок 93 – Ввод параметров моделирования политики

После нажатия на кнопку ОК моделирование политики будет создано.

Для просмотра результатов моделирования политики нужно вызвать ее контекстное меню и выбрать пункт "Посмотреть результаты выполнения групповой политики" (рисунок 94).

Рисунок 94 – Выбор просмотра результатов

На экран будет выведена информация по моделированию о примененных политиках для выбранных пользователя и компьютера (рисунок 95).

Рисунок 95 – Результаты применения политики

Для изменения моделирования политики нужно выбрать из ее контекстного меню пункт "Свойства", после чего отредактировать параметры на требуемые (например, изменить пользователя или компьютер), после чего нажать кнопку ОК.

Для удаления нужно выбрать моделирование политики, нажать на пиктограмму (крест) и подтвердить удаление, нажав кнопку Да (рисунок 96).

Рисунок 96 – Подтверждение удаления моделирования политики

Применение политик на АРМ в домене

Набор функций применения политик на АРМ осуществляется с помощью перспективы Puppet и позволяет получать данные о настройках политик пользователей и компьютеров, хранящихся в службе каталогов, получать результирующие параметры политик и применять их на конкретном АРМ.

Функция применения параметров политик Puppet интегрирована с системой управления конфигурациями ПК в части применения результирующих политик на АРМ.

Политики применяются:

  1. при включении/выключении компьютера (политики компьютера);
  2. при авторизации пользователя на АРМ в домене (политики пользователя);
  3. периодически с заданным интервалом (политики пользователя и компьютера).

Данный набор функций получает из службы каталогов данные о назначенных параметрах политик и в зависимости от расположения компьютера и пользователя в конкретных ОП применяет их, следуя правилам:

  • будут получены параметры только для политик, связь которых включена;
  • если в политике отключены параметры компьютера/пользователя, то эти параметры не будут получены; если для политики отключены все параметры, то никакие параметры не будут получены;
  • если компьютер/пользователь и группы, к которым они относятся, не определены в фильтрах применения политик, то параметры таких политик не будут получены и применены;
  • чем ближе политика к объекту в иерархии службы каталогов, тем выше будет ее приоритет, при этом, если для подразделения заблокировано наследование, то будут наследоваться только политики, для которых установлено значение принудительного наследования;
  • при наличии нескольких политик, назначенных для данного подразделения, политики, имеющие меньший порядковый номер, имеют более высокий приоритет.

На всех управляемых АРМ в домене используется шлюз LDAP Gateway, который получает значения параметров групповых политик из службы каталогов и передает для применения в Puppet.