Практическая работа: Модуль 6. Управление политиками ALD Pro
См. также Требования, правила и цели выполнения практической работы
Практические задания
Подготовка
Для корректного прохождения практических заданий необходимо выключить мандатный контроль целостности (МКЦ) на компьютере pc-1.
Для этого войдите на компьютер под учётной записью admin, выполните команду sudo astra-mic-control disable и перезагрузите машину:
admin@pc-1:~$ sudo astra-mic-control disable
admin@pc-1:~$ sudo reboot
Задание 1.
Создайте групповую политику «Переменная location», которая создает переменную окружения пользователя LOCATION и присваивает ей значение Moscow. Политика должна применяться к подразделению «Московский офис».
Создайте групповую политику «Ограничение прав на выключение компьютера», ограничивающую возможность как локального, так и удаленного выключения компьютера только от имени суперпользователя. Политика должна применяться к подразделению «Московский офис».
Убедитесь, что созданные групповые политики работают корректно.
Практическая работа (с ответами)
Задание 1.
Создайте групповую политику «Переменная location», которая создает переменную окружения пользователя LOCATION и присваивает ей значение Moscow. Политика должна применяться к подразделению «Московский офис».
На портале управления перейдем в раздел «Групповые политики» и создадим новую групповую политику «Переменная location».
Добавим параметр пользователя «Переменная окружения»:
Имя: LOCATION
Значение: Московский офис
Не забудьте нажать кнопку .
Примените политику на подразделение «Московский офис».
Создайте групповую политику «Ограничение прав на выключение компьютера», ограничивающую возможность как локального, так и удаленного выключения компьютера только от имени суперпользователя. Политика должна применяться к подразделению «Московский офис».
На портале управления перейдем в раздел «Групповые политики» и создадим новую групповую политику «Ограничение прав на выключение компьютера».
Добавим параметр компьютера Выключение:
Локально: Root
Удаленно: Root
Не забудьте нажать кнопку .
Применим политику на подразделение «Московский офис».
Убедитесь, что созданные групповые политики работают корректно.
Войдем на pc-1 под учетной записью admin.
Выполним принудительное применение политик с переформированием pillar от имени пользователя admin:
$ sudo aldpro-gpupdate --gp --verbose
Выполним вход в систему под пользователем iivanov.
Проверим содержимое файлов с pillar:
iivanov@pc-1:~$ sudo cat /opt/rbta/aldpro-salt/minion/gp-user_pillar.json
[sudo] пароль для iivanov:
{"aldpro-users": {"iivanov": {"rbta_ldap_env_vars_u": {"rbta_ldap_env_vars_u__variables": [{"rbta_ldap_env_vars_u__variables__name": "LOCATION", "rbta_ldap_env_vars_u__variables__value": "\u041c\u043e\u0441\u043a\u043e\u0432\u0441\u043a\u0438\u0439 \u043e\u0444\u0438\u0441", "rbta_ldap_env_vars_u__variables__description": "", "rbta_ldap_env_vars_u__variables__important": ""}]}}}, "aldpro-hosts": {}}iivanov
sudo cat /opt/rbta/aldpro/standalone/gp-host_pillar.json
iivanov@pc-1:~$ sudo cat /opt/rbta/aldpro-salt/minion/gp-host_pillar.json
{"aldpro-users": {}, "aldpro-hosts": {"pc-1.ald.company.lan": {"rbta_ldap_security_policy": {"rbta_ldap_security_policy__local_login_policy": {"rbta_ldap_security_policy__local_login_policy__policy": "all"}}, "rbta_ldap_login": {"rbta_ldap_login__shutdown": {"rbta_ldap_login__shutdown__local": "root", "rbta_ldap_login__shutdown__remote": "root"}}}}}
Как видим, наши политики применились. Проверим на практике.
Проверим переменную среды LOCATION:
iivanov@pc-1:~$ env | grep LOCATION
LOCATION=Московский офис
Попробуем выключить компьютер. Будет выведено сообщение о запрете.
Попробуем перезагрузить компьютер. Будет выведено то же сообщение о запрете.
Попробуем перезагрузить компьютер через командную строку от имени суперпользователя:
$ sudo reboot
Как видим, с правами суперпользователя мы смогли перезагрузить компьютер.