Расширение возможностей администрирования ОС Альт через групповые политики (Антон Абрамов, OSSDEVCONF-2023) — различия между версиями
Материал из 0x1.tv
StasFomin (обсуждение | вклад) (→Thesis) |
StasFomin (обсуждение | вклад) (→Thesis) |
||
(USB-накопителя) только для тех пользователей, которые знают пароль суперпользователя. Действия приложений, для которых заложены Polkit-ограничения, называются «actions». На основе указанных действий «actions» возможно формирование правил «polkit-rules», согласно которым в операционной системе и определится степень ограничений для программ и пользователей. Механизм gpupdate умеет автоматически формировать polkit-правила. Благодаря этому возможно добавление новых групповых политик для polkit-правил: [[File:2023-abramov-img001.svgpng|640pxcenter]] Свободная среда рабочего стола для UNIX-подобных операционных систем под названием Gnome породила большую серию ответвлений прочих популярных окружений рабочего стола (desktop environment — DE). Системные настройки в GNOME хранятся в формате dconf-файлов, для управления которыми применяется утилита GSettings. Ключи в базе данных dconf напоминают реестр операционной системы Windows. В ОС «Альт Рабочая станция» применяется окружение Mate, ставшее ответвлением от GNOME 2. Конфигурация DE Mate хранится в базе dconf, ключами которой управляет консольное |
Версия 23:39, 10 января 2024
- Докладчик
- Антон Абрамов
Групповые политики в Linux-дистрибутивах ОС «Альт» управляют многочисленными параметрами системы — более 1100 наименований. Утилита применения групповых политик в дистрибутиве ОС «Альт» — gpupdate — позволяет гибко использовать внутренние механизмы обработки загружаемых параметров. Устройство административных шаблонов групповых политик — admx-файлов — позволяет удобно и быстро задавать параметры и сохранять их в каталог Sysvol контроллера домена. В совокупности связка admx-шаблонов и gpupdate от «Базальт СПО» дают системным администраторам гибкий механизм управления доменом.
В докладе рассматриваются способы увеличения охвата параметров в системе, управляемых через групповые политики в Linux-дистрибутивах »Альт». Описываются механизмы для расширения групповых политик через admx-шаблоны и утилиту gpupdate. Приводятся примеры практической реализации.
Содержание
Видео
Презентация
Thesis
Управление доменом со службой каталогов на базе Samba DC либо MS Active Directory поддерживается в ОС «Альт» инструментом групповых политик. Исполнение групповых политик в дистрибутивах «Альт» включает: графические инструменты управления службой каталогов, редактирования параметров политик, утилиту применения параметров на клиентских компьютерах. GUI-редактор параметров политик GPUI поддерживает стандарт admx-шаблонов. XML-структура административных шаблонов групповых политик (admx-файлов) подробно документирована и позволяет в простой форме задавать системные настройки для компьютера, пользователя, с поддержкой любого языка. Редактор GPUI позволяет моментально загрузить корректно подготовленный admx-шаблон и применять в работе — наполнять параметрами файлы каталогов групповых политик (GPT — Group Policy Template). Таким образом, системные администраторы сторонних организаций могли бы самостоятельно готовить шаблоны политик под внутренние запросы. Но необходима поддержка второго элемента конструкции — утилиты, применяющей параметры в системе клиента.
Механизмы применения gpupdate
Применение параметров групповых политик в системе для компьютера или пользователя в ОС «Альт» осуществляет утилита gpupdate. Утилита задействует ряд механизмов применения, которые позволяют также самостоятельно расширить функционал вручную. Механизмы применения параметров, которые позволяют создавать собственные политики: polkit, gsettings (dconf), control, systemd, скрипты (logon/logoff/startup/shutdown). Механизмы с коротким описанием:
- Polkit. Возможность добавить новые действия для правил polkit;
- Gsettings. Управление настройками системной базы реестра dconf;
- Systemd. Управление запуском служб Systemd;
- Control. Управление скриптами control в настройке системы;
- Скрипты загрузки системы и авторизации пользователя.
Подробный метод действия
Библиотека Polkit выполняет в операционной системе роль ограничителя действий приложений, преимущественно работающих на шине D-Bus. Polkit позволяет установить степень ограничений для непривилегированного процесса при обращении к привилегированному. Например, ограничить доступ пользователя к настройкам сети или монтированию блочного устройства (USB-накопителя) только для тех пользователей, которые знают пароль суперпользователя. Действия приложений, для которых заложены Polkit-ограничения, называются «actions». На основе указанных действий «actions» возможно формирование правил «polkit-rules», согласно которым в операционной системе и определится степень ограничений для программ и пользователей. Механизм gpupdate умеет автоматически формировать polkit-правила. Благодаря этому возможно добавление новых групповых политик для polkit-правил:
Свободная среда рабочего стола для UNIX-подобных операционных систем под названием Gnome породила большую серию ответвлений прочих популярных окружений рабочего стола (desktop environment — DE). Системные настройки в GNOME хранятся в формате dconf-файлов, для управления которыми применяется утилита GSettings. Ключи в базе данных dconf напоминают реестр операционной системы Windows. В ОС «Альт Рабочая станция» применяется окружение Mate, ставшее ответвлением от GNOME 2. Конфигурация DE Mate хранится в базе dconf, ключами которой управляет консольное приложение GSettings. Механизм gpupdate управляет ключами Gsettings и через них редактирует ключи dconf. На текущий день через групповые политики можно настраивать целый ряд параметров графической среды Mate — от фона рабочего стола до хранителя экрана. Возможно добавить новые политики для незадействованных ключей Gsettings:
org.mate.peripherals-touchpad vertical-edge-scrolling true org.mate.peripherals-touchpad tap-button-three-finger 2 org.mate.peripherals-touchpad natural-scroll false org.mate.peripherals-touchpad left-handed 'mouse' org.mate.peripherals-touchpad tap-button-one-finger 1 org.mate.peripherals-touchpad horizontal-two-finger-scrolling false org.mate.peripherals-touchpad two-finger-click 1 org.mate.peripherals-touchpad motion-acceleration -1.0 org.mate.peripherals-touchpad tap-button-two-finger 3
Подсистема инициализации и управления службами Systemd в групповых политиках «Альт» может запускать или останавливать службы. Systemd является гибким и функциональным инструментом, позволяет задавать расписание запуска служб, выполнять монтирование и многое другое. Через групповые политики «Альт» возможно управление самостоятельно созданной пользовательской службой.
Подсистема control в Linux-дистрибутивах является интерфейсом управления конфигурацией системы. Например, в перечне по умолчанию control в дистрибутивах «Альт» заложена конфигурация прав суперпользователя, включение в группу wheel, настройки Samba-сервера и другое. Возможно написание собственных control-интерфейсов для изменения системных или прикладных настроек, управляемых в дальнейшем через групповые политики:
su wheelonly (public wheel wheelonly restricted) sudo wheelonly (public wheelonly restricted) sudoers strict (strict relaxed) sudopw default (default root target runas) sudoreplay wheelonly (public wheelonly restricted) sudowheel disabled (disabled enabled) system-auth local (krb5 krb5_ccreds ldap local multi pkcs11 pkcs11_strict sss winbind) system-policy local (local remote)
Кроме перечисленных механизмов утилита gpupdate поддерживает работу со сценариями запуска скриптов при входе пользователя в систему, выходе из системы, загрузке и выключении компьютера. Logon/logoff/startup/shutdown сценарии формируются через раздел настроек системы («Preferences» в MS RSAT). В отличие от предыдущих примеров, этот случай не связан с подготовкой admx-файлов. Однако скрипты также позволяют шире использовать возможности дистрибутивов «Альт».
Вывод
Системные администраторы через групповые политики получают возможность добавлять правила Polkit, менять значения параметров базы реестра Dconf, запускать службы Systemd, управлять интерфейсами Control, либо запускать выполнение скриптов (поддерживаемых в системе). Также пользователи могут самостоятельно подготовить шаблоны admx-настроек для задействования графического редактора политик. В итоге получаем простой инструмент расширения возможностей групповых политик в системе.
Ссылки
- Групповые политики [ОС «Альт»] Руководство пользователя [Электронный ресурс]. URL: [1]
- «Альт Рабочая станция» 10.1 Руководство пользователя [Электронный ресурс]. URL: [2]
- «Альт Сервер» 10.1 Руководство пользователя [Электронный ресурс]. URL: [3]
- ALT Linux Wiki: ADMC [Электронный ресурс]. URL: [4]
- ALT Linux Wiki: GPUI [Электронный ресурс]. URL: [5]Групповые_политики[/GPUI]
- ALT Linux Team [Электронный ресурс]. URL: [6]