Администрирование объектов групповых политик (GPO)
Групповые политики обеспечивают централизованное управление настройками операционных систем, приложений и пользователей в домене Эллес. Набор настроек, назначенный администратором определенной группе компьютеров и пользователей, объединяется в объект групповой политики (Group Policy Object, GPO).
Инфраструктура управления и применения GPO в домене состоит из двух уровней:
-
серверные расширения (Server Side Extensions, SSE) — отвечают за работу с GPO на контроллере домена, позволяя администраторам задавать и применять настройки к определенным компьютерам и пользователям в домене (в случае Эллес это — группа подкоманд
samba-tool gpo); -
клиентские расширения (Client Side Extensions, CSE) — модули на клиентских машинах, обеспечивающие установку и применение определенных политик (в случае Эллес клиентское расширение представляет собой файл на Python).
В случае настройки автоматического обновления политик их применение происходит с интервалом в диапазоне от 90 до 120 минут.
|
При необходимости данный интервал может быть изменен с помощью конфигурационного параметра См. подробное описание параметра в разделе «Работа с samba-gpupdate». |
Для принудительного применения политик вручную на участнике домена под управлением ОС Linux используется команда samba-gpupdate --force. Аналогичная команда на участнике домена под управлением ОС Windows — gpupdate /force.
Для администрирования объектов групповых политик (GPO) в домене Эллес с помощью утилиты samba-tool (/app/inno-samba/bin/samba-tool) используется группа подкоманд gpo.
Установка административных шаблонов на контроллере домена
Административные шаблоны — файлы в формате ADMX, используемые в инструментах редактирования групповых политик для изменения параметров компьютера, приложения или пользователя. В шаблонах описываются изменения, которые требуется выполнить для применения настроек, предусмотренных определенной групповой политикой.
Для установки шаблонов на контроллере домена используется следующая подкоманда:
samba-tool gpo admxload [options]
Подкоманда копирует файлы шаблонов в формате ADMX, путь к которым может быть указан с помощью параметра --admx-dir, в каталог <domain>/Policies/PolicyDefinitions в SysVol.
| Для обеспечения возможности администрирования участников домена под управлением ОС Windows после установки административных шаблонов, поставляемых с inno-samba (/app/inno-samba/share/samba/admx/), также требуется загрузить и установить административные шаблоны Microsoft для используемой версии Windows. |
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--admx-dir=ADMXDIR— каталог с загруженными файлами ADMX.
Установка административных шаблонов Эллес
Пример установки административных шаблонов, поставляемых с inno-samba:
samba-tool gpo admxload -U Administrator
Если в домене более одного контроллера, для обеспечения корректной установки требуется использовать опцию -H для указания требуемого контроллера:
samba-tool gpo admxload \ -H ldap://dc1.samdom.example.com \ --use-kerberos=required
Установка административных шаблонов Windows
Административные шаблоны Windows требуются для применения групповых политик к участникам домена под управлением ОС Windows.
Для установки административных шаблонов Windows:
-
Загрузите файл .msi с шаблонами с веб-сайта Microsoft (например, административные шаблоны (.admx) для Windows 10 2022 Update (22H2)).
-
При необходимости установите пакет инструментов msitools для работы с файлами .msi.
Например:
sudo apt install msitools
-
Распакуйте загруженный файл с шаблонами с помощью утилиты
msiextractиз составаmsitools, указав в качестве параметра путь к загруженному файлу .msi:msiextract /path/to/downloaded/templates/Administrative\ Templates\ \(.admx\)\ for\ Windows\ 10\ October\ 2022\ Update.msi
-
Установите шаблоны с помощью подкоманды
admxload, передав путь к распакованным файлам в параметре--admx-dir:samba-tool gpo admxload -U Administrator \ --admx-dir=/path/to/extracted/msi/Program\ Files/Microsoft\ Group\ Policy/Windows\ 10\ October\ 2022\ Update\ \(22H2\)/PolicyDefinitions/
Установка административных шаблонов Firefox
Для установки административных шаблонов Firefox:
-
Загрузите архив с файлами шаблонов в формате ADMX из репозитория Mozilla на Github.
-
Распакуйте архив:
unzip /path/to/downloaded/archive/policy_templates_v6.0.zip
-
Установите шаблоны с помощью подкоманды
admxload, передав путь к распакованным файлам в параметре--admx-dir:samba-tool gpo admxload \ --admx-dir=/path/to/extracted/zip/policy_templates_v6.0/windows -U Administrator
В результате применения политик на клиентской машине формируется файл /etc/firefox/policies/policies.json, содержащий параметры групповых политик для применения при запуске веб-браузера Mozilla Firefox.
Установка административных шаблонов Chromium
Для установки административных шаблонов Chromium:
-
Загрузите архив с файлами шаблонов в формате ADMX.
-
Распакуйте архив:
unzip /path/to/downloaded/archive/policy_templates.zip
-
Установите шаблоны с помощью подкоманды
admxload, передав путь к распакованным файлам в параметре--admx-dir:samba-tool gpo admxload \ --admx-dir=/path/to/extracted/zip/policy_templates/windows/admx -U Administrator
В результате применения политик на клиентской машине формируется набор файлов, содержащий параметры групповых политик для применения при запуске веб-браузеров Google Chrome и Chromium:
-
/etc/chromium/policies/managed/policies.json;
-
/etc/chromium/policies/recommended/policies.json;
-
/etc/opt/chrome/policies/managed/policies.json;
-
/etc/opt/chrome/policies/recommended/policies.json.
Применение групповых политик
Применение политик на участнике домена Эллес обеспечивается утилитой samba-gpupdate (/app/inno-samba/sbin/samba-gpupdate).
| См. подробное описание доступных параметров в разделе «Работа с samba-gpupdate». |
Некоторые примеры использования утилиты на машине, являющейся участником домена Эллес:
-
применение настроек групповых политик на локальной машине:
sudo samba-gpupdate
-
принудительное применение настроек групповых политик на участнике домена:
sudo samba-gpupdate --force
sudo samba-gpupdate --force --target=Computer
sudo samba-gpupdate --force --target=User -U<username>
-
отмена применения настроек групповых политик на участнике домена:
sudo samba-gpupdate --unapply
sudo samba-gpupdate --unapply --target=Computer
sudo samba-gpupdate --unapply --target=User -U<username>
-
получение информации о всех групповых политиках, доступных для применения (объекты GPO и реализующие их клиентские расширения):
sudo samba-gpupdate --rsop -U Administrator
sudo samba-gpupdate --rsop --target=Computer -U Administrator
sudo samba-gpupdate --rsop --target=User -U<username> -U Administrator
Настройка автоматического применения политик при использовании Winbind
Для включения автоматического применения политик на машине, присоединенной к домену Эллес с использованием Winbind, достаточно после присоединения добавить в файл smb.conf на участнике в раздел [global] следующую настройку:
apply group policies = Yes
При необходимости также может быть задан интервал запуска скрипта samba-gpupdate (по умолчанию скрипт запускается с интервалом 90–120 минут) в разделе [global] в конфигурационном файле smb.conf в следующем формате:
apply group policies : period = <num>
В параметре num соответствует количеству минут не более 120. При значении 0 используется интервал по умолчанию.
Данная настройка может быть включена централизованно через механизм групповых политик с помощью следующей команды, использующей GUID доменной политики по умолчанию:
samba-tool gpo manage smb_conf set \
{31B2F340-016D-11D2-945F-00C04FB984F9} 'apply group policies' yes
В этом случае для первого применения GPO на отдельном участнике домена требуется вручную выполнить команду:
samba-gpupdate
Настройка автоматического применения политик при использовании SSSD
Для автоматического применения политик при использовании SSSD требуется установить скрипт samba-gpupdate на введенную в домен машину и настроить автоматический запуск samba-gpupdate с помощью инструмента oddjob-gpupdate.
Базовые операции по работе с объектами групповых политик
Подкоманда samba-tool gpo позволяет выполнять следующие базовые операции:
Получение списка всех GPO в домене
Для получения списка всех GPO, существующих в домене Эллес, используется следующий формат вызова:
samba-tool gpo listall [options]Для каждого объекта GPO подкоманда выводит следующие атрибуты:
-
GPO— глобальный уникальный идентификатор (Globally Unique Identifier, GUID) объекта групповой политики; данный идентификатор используется при выполнении других операций с помощью командыsamba-tool gpo; -
display name— имя GPO для отображения в инструментах редактирования; -
path— расположение GPO в SysVol; -
dn— полное уникальное доменное имя объектаgroupPolicyContainer; -
version— текущий номер версии объектаgroupPolicyContainer, соответствующего GPO; увеличивается при каждом изменении GPO, указывая на необходимость обновления соответствующего объекта групповой политики у участников домена; -
flags— статус GPO:-
0— объект GPO включен (все заданные в нем настройки применяются к целевым объектам); -
1— отключен раздел GPO, относящийся к настройкам пользователей; -
2— отключен раздел GPO, относящийся к настройкам компьютеров; -
3— объект GPO отключен (заданные в нем настройки не применяются к целевым объектам).
-
Например:
GPO : {31B2F340-016D-11D2-945F-00C04FB984F9}
display name : Default Domain Policy
path : \\samdom.example.com\sysvol\samdom.example.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
dn : CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=samdom,DC=example,DC=com
version : 2097290
flags : NONE
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример получения списка существующих объектов GPO с указанием удаленного сервера:
samba-tool gpo listall \
-H ldap://dc1.samdom.example.com \
--use-kerberos=required
GPO : {31B2F340-016D-11D2-945F-00C04FB984F9}
display name : Default Domain Policy
path : \\samdom.example.com\sysvol\samdom.example.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
dn : CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=samdom,DC=example,DC=com
version : 4
flags : NONE
GPO : {4735F4B1-6371-496D-8FA5-B5D04571EFC0}
display name : Configuration Settings
path : \\samdom.example.com\sysvol\samdom.example.com\Policies\{4735F4B1-6371-496D-8FA5-B5D04571EFC0}
dn : CN={4735F4B1-6371-496D-8FA5-B5D04571EFC0},CN=Policies,CN=System,DC=samdom,DC=example,DC=com
version : 1
flags : NONE
GPO : {6AC1786C-016F-11D2-945F-00C04FB984F9}
display name : Default Domain Controllers Policy
path : \\samdom.example.com\sysvol\samdom.example.com\Policies\{6AC1786C-016F-11D2-945F-00C04FB984F9}
dn : CN={6AC1786C-016F-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=samdom,DC=example,DC=com
version : 0
flags : NONE
GPO : {6891D8EB-0497-4E24-9AE7-662D0A3F7D94}
display name : Security Settings
path : \\samdom.example.com\SysVol\samdom.example.com\Policies\{6891D8EB-0497-4E24-9AE7-662D0A3F7D94}
dn : CN={6891D8EB-0497-4E24-9AE7-662D0A3F7D94},CN=Policies,CN=System,DC=samdom,DC=example,DC=com
version : 40
flags : NONE
Получение списка GPO, назначенных учетной записи
Для получения списка всех GPO, назначенных учетной записи пользователя или компьютера в домене Эллес, используется следующий формат вызова:
samba-tool gpo list <username|machinename> [options]Переданное в команде значение username или machinename интерпретируется как sAMaccountName.
Для каждого объекта GPO, назначенного учетной записи, выводится отображаемое имя и GUID.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример получения списка объектов GPO, назначенным учетной записи User, с указанием удаленного сервера:
samba-tool gpo list Computer1$ \
-H ldap://dc1.samdom.example.com \
--use-kerberos=required
GPOs for user Computer1
Security Settings {6891D8EB-0497-4E24-9AE7-662D0A3F7D94}
Configuration Settings {4735F4B1-6371-496D-8FA5-B5D04571EFC0}
Default Domain Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Получение информации о GPO
Для получения атрибутов GPO в домене Эллес используется следующий формат вызова:
samba-tool gpo show <gpo> [options]В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Для указанного объекта GPO подкоманда выводит тот же набор атрибутов, что и listall, а также (при использовании опции -U) перечень заданных для объекта ACL, ACE и политик.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример получения атрибутов объекта GPO с указанием удаленного сервера:
samba-tool gpo show {31B2F340-016D-11D2-945F-00C04FB984F9} \
-H ldap://dc1.samdom.example.com \
-U Administrator
Password for [SAMDOM\Administrator]:
GPO : {4735F4B1-6371-496D-8FA5-B5D04571EFC0}
display name : Configuration Settings
path : \\samdom.example.com\sysvol\samdom.example.com\Policies\{4735F4B1-6371-496D-8FA5-B5D04571EFC0}
dn : CN={4735F4B1-6371-496D-8FA5-B5D04571EFC0},CN=Policies,CN=System,DC=samdom,DC=example,DC=com
version : 1
flags : NONE
ACL : O:S-1-5-21-3324729455-2135688933-2286696549-512G:S-1-5-21-3324729455-2135688933-2286696549-512D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-3324729455-2135688933-2286696549-512)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-3324729455-2135688933-2286696549-519)(A;CIIO;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-3324729455-2135688933-2286696549-512)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)S:AI(OU;CIIOIDSA;WP;f30e3bbe-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)(OU;CIIOIDSA;WP;f30e3bbf-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)
Policies :
[
{
"keyname": "Software\\Policies\\Samba\\smb_conf",
"valuename": "log file",
"class": "MACHINE",
"type": "REG_SZ",
"data": "/app/log/inno-samba/inno-samba.log"
}
]
Получение списка связей с GPO, заданных для контейнера
Для получения списка GPO, связанных с контейнером (домен, сайт, подразделение) в домене Эллес, в порядке их приоритетности используется следующий формат вызова:
samba-tool gpo getlink <container_dn> [options]В качестве значения container_dn ожидается уникальное имя (DN) контейнера в домене.
Для каждого объекта GPO команда выводит следующие атрибуты:
-
GPO— глобальный уникальный идентификатор (GUID) объекта GPO, связанного с контейнером; -
Name— отображаемое имя GPO; -
Options— статус связи контейнера с GPO (enabled|disabled|enforced), определяющий применимость настроек политики к нему (свойствоlinkOptions).
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример получения списка GPO для подразделения:
samba-tool gpo getlink 'OU=OrgUnit,DC=samdom,DC=example,DC=com' \
-H ldap://dc1.samdom.example.com \
--use-kerberos=required
GPO(s) linked to DN OU=OrgUnit,DC=samdom,DC=example,DC=com
GPO : {4735F4B1-6371-496D-8FA5-B5D04571EFC0}
Name : Configuration Settings
Options : NONE
Добавление связи с GPO для контейнера
Для добавления связи с GPO для контейнера (домен, сайт, подразделение) в домене Эллес используется следующий формат вызова:
samba-tool gpo setlink <container_dn> <gpo> [options]В качестве значения container_dn ожидается уникальное имя (DN) контейнера в домене. В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
По умолчанию связь создается со значением enabled свойства linkOptions, то есть настройки политики, заданные в GPO, применяются к контейнеру.
Для задания других значений для свойства или изменения текущего значения могут использоваться параметры --disable (GPLINK_OPT_DISABLE) и --enforce (GPLINK_OPT_ENFORCE).
В результате выполнения подкоманды к указанному контейнеру применяются настройки политики, заданные в объекте GPO, с учетом переданных опций.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--disable— отключение связи контейнера с объектом GPO для исключения применения к нему настроек GPO; -
--enforce— включение принудительного применения настроек GPO.
Примеры
Пример создания связи с GPO для контейнера:
samba-tool gpo setlink 'OU=OrgUnit,DC=samdom,DC=example,DC=com' \
{4735F4B1-6371-496D-8FA5-B5D04571EFC0} \
-H ldap://dc1.samdom.example.com \
--use-kerberos=required
Added/Updated GPO link
GPO(s) linked to DN OU=OrgUnit,DC=samdom,DC=example,DC=com
GPO : {4735F4B1-6371-496D-8FA5-B5D04571EFC0}
Name : Configuration Settings
Options : NONE
Удаление связи с GPO, заданной для контейнера
Для удаления связи с GPO для контейнера (домен, сайт, подразделение) в домене Эллес используется следующий формат вызова:
samba-tool gpo dellink <container_dn> <gpo> [options]В качестве значения container_dn ожидается уникальное имя (DN) контейнера в домене. В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
В результате выполнения подкоманды удаляется связь между указанными GPO и контейнером.
Получение списка контейнеров, для которых задана связь с GPO
Для получения списка контейнеров (домен, сайт, подразделение), которым назначен определенный объект GPO в домене Эллес, используется следующий формат вызова:
samba-tool gpo listcontainers <gpo> [options]В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда выводит список DN-имен контейнеров.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример получения списка контейнеров для GPO:
samba-tool gpo listcontainers {4735F4B1-6371-496D-8FA5-B5D04571EFC0} \
-H ldap://dc1.samdom.example.com \
--use-kerberos=required
Container(s) using GPO {4735F4B1-6371-496D-8FA5-B5D04571EFC0}
DN: DC=samdom,DC=example,DC=com
DN: OU=OrgUnit,DC=samdom,DC=example,DC=com
Получение признака наследования для контейнера
Для получения признака наследования GPO для контейнера (домен, сайт, подразделение) в домене Эллес используется следующий формат вызова:
samba-tool gpo getinheritance <container_dn> [options]В качестве значения container_dn ожидается уникальное имя (DN) контейнера в домене.
Подкоманда выводит значение свойства gPOptions, управляющего блокировкой наследования GPO:
-
Container has GPO_INHERIT— наследование GPO включено; -
Container has GPO_BLOCK_INHERITANCE— наследование заблокировано.
Установка признака наследования для контейнера
Для изменения значения признака наследования GPO для контейнера (домен, сайт, подразделение) в домене Эллес используется следующий формат вызова:
samba-tool gpo setinheritance <container_dn> <block|inherit> [options]В качестве значения container_dn ожидается уникальное имя (DN) контейнера в домене. В зависимости от текущего значения признака может использоваться следующие дополнительные команды:
-
block—GPO_INHERIT→GPO_BLOCK_INHERITANCE; -
inherit—GPO_BLOCK_INHERITANCE→GPO_INHERIT.
Загрузка файлов GPO
Для загрузки файлов GPO используется следующий формат вызова:
samba-tool gpo fetch <gpo> [options]В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда копирует файлы политики во временный каталог /tmp/ или в каталог, указанный в параметре --tmpdir.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--tmpdir=TMPDIR— временный каталог для копирования файлов.
Примеры
Пример изменения признака блокировки наследования GPO для контейнера:
samba-tool gpo fetch {4735F4B1-6371-496D-8FA5-B5D04571EFC0} \
-H ldap://dc1.samdom.example.com \
-U Administrator
Password for [SAMDOM\Administrator]:
Using temporary directory /tmp/tmpgfekx5d3 (use --tmpdir to change)
GPO copied to /tmp/tmpgfekx5d3/policy/{4735F4B1-6371-496D-8FA5-B5D04571EFC0}
Создание GPO
Для создания пустого нового объекта GPO в домене Эллес используется следующий формат вызова:
samba-tool gpo create <displayname> [options]
При вызове подкоманды необходимо задать отображаемое имя (displayname) создаваемой политики.
В случае успешного выполнения в каталоге /app/inno-samba/var/locks/sysvol/<domain-name>/Policies/<policy-GUID>/ создаются файлы и подкаталоги объекта GPO (GPT.INI, подкаталоги User и Machine).
В общем случае процесс задания новой политики состоит из следующих шагов:
-
Создание нового объекта GPO с помощью подкоманды
samba-tool gpo create. -
Создание файлов с настройками политики в подкаталоге GPO в SysVol.
-
Назначение GPO контейнерам, к которым должны применяться настройки политики, с помощью подкоманды
samba-tool gpo setlink. -
Применение политики на участниках домена с помощью команды
samba-gpupdate.
Удаление GPO
Для удаления объекта GPO в домене Эллес используется следующий формат вызова:
samba-tool gpo del <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Удаление включает удаление связей GPO с контейнерами.
| Данная операция необратима. |
Проверка разрешений (ACL) для GPO
Для проверки соответствия разрешений ACL, заданных для объектов GPO в файловой системе (SysVol) и службе каталогов, используется следующий формат вызова:
samba-tool gpo aclcheck
В случае полного соответствия разрешений для всех объектов подкоманда ничего не выводит.
При обнаружении несоответствия подкоманда выводит сообщение с указанием:
-
текущего дескриптора безопасности объекта GPO как объекта файловой системы на языке определения дескрипторов безопасности (SDDL);
-
пути к GPO в SysVol;
-
ожидаемого набора ACL, в качестве которого выступает значение
nTSecurityDescriptorдля объекта GPO в службе каталогов (groupPolicyContainer).
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример проверки ACL для GPO:
samba-tool gpo aclcheck -U Administrator
Password for [SAMDOM\Administrator]:
ERROR: Invalid GPO ACL O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) on path (samdom.example.com\Policies\{38A4873E-6286-4BF1-8630-2EA2D3BCBD19}), should be O:DAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED)
Управление флагами применения GPO
Для управления флагами применения объекта GPO используется следующий формат вызова:
samba-tool gpo setflags <gpo> <GPO_FLAG_ALL_ENABLE|GPO_FLAG_MACHINE_DISABLE|GPO_FLAG_USER_DISABLE|GPO_FLAG_ALL_DISABLE>
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда изменяет значение атрибута flags указанного объекта GPO в соответствии с переданным значением. Возможные значения:
-
GPO_FLAG_ALL_ENABLE— объект GPO включен (все заданные в нем настройки применяются к целевым объектам); -
GPO_FLAG_MACHINE_DISABLE— отключен раздел GPO, относящийся к настройкам пользователей; -
GPO_FLAG_USER_DISABLE— отключен раздел GPO, относящийся к настройкам компьютеров; -
GPO_FLAG_ALL_DISABLE— объект GPO отключен (заданные в нем настройки не применяются к целевым объектам).
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример отключения раздела GPO, относящегося к настройкам пользователей:
samba-tool gpo setflags {B5CC6FF0-98A3-4BD0-8B09-E33D1B55F8D6} \
GPO_FLAG_USER_DISABLE \
-H ldap://dc1.samdom.example.com \
--use-kerberos=required
dn : CN={B5CC6FF0-98A3-4BD0-8B09-E33D1B55F8D6}
flags before : NONE
flags after : GPO_FLAG_USER_DISABLE
Пример включения всех разделов объекта GPO:
samba-tool gpo setflags {B5CC6FF0-98A3-4BD0-8B09-E33D1B55F8D6} \
GPO_FLAG_ALL_ENABLE \
-H ldap://dc1.samdom.example.com \
--use-kerberos=required
dn : CN={B5CC6FF0-98A3-4BD0-8B09-E33D1B55F8D6}
flags before : GPO_FLAG_USER_DISABLE
flags after : NONE
Резервное копирование и восстановление GPO
Для удобства выполнения различных задач по работе с настройками групповых политик (синхронизация между доменами, дублирование с внесением незначительных изменений, автоматизация и т. п.) подкоманда samba-tool gpo предоставляет инструменты для экспорта и импорта объектов GPO, включая возможность генерализации сущностей, используемых в GPO, и их выгрузки в формате XML для редактирования и последующей загрузки.
Создание резервной копии GPO
Для создания резервной копии (экспорта) объекта GPO в домене Эллес используется следующий формат вызова:
samba-tool gpo backup <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Для генерализации GPO, например, с целью переноса соответствующей политики в другой домен могут использоваться параметры --generalize и --entities:
samba-tool gpo backup --generalize --entities=<output path>
Генерализации подлежат следующие типы сущностей:
-
пользовательские идентификаторы (SID, имена пользователей);
-
ACL (SDDL);
-
UNC-пути к ресурсам для совместного использования.
Пример вывода:
<!ENTITY SAMBA__NETWORK_PATH__82419dafed126a07d6b96c66fc943735__ "\\realm.com"> <!ENTITY SAMBA__NETWORK_PATH__0484cd41ded45a0728333a9c5e5ef619__ "\\test"> <!ENTITY SAMBA____SDDL_ACL____4ce8277be3f630300cbcf80a80e21cf4__ "D:PAR(A;CI;KA;;;BA)(A;CIIO;KA;;;CO)(A;CI;KR;;;S-1-0-0)"> <!ENTITY SAMBA____USER_ID_____d0970f5a1e19cb803f916c203d5c39c4__ "*S-1-5-21-3075996733-1131693954-1131023892-501"> <!ENTITY SAMBA____USER_ID_____7b7bc2512ee1fedcd76bdc68926d4f7b__ "Guest">
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--tmpdir=TMPDIR— временный каталог для копирования файлов; -
--generalize— выполнить генерализацию используемых в GPO сущностей (по умолчанию данный режим выгрузки отключен); -
--entities=OUTPUTPATH— путь для сохранения файла с экспортированными сущностями в XML.
Примеры
Пример экспорта GPO с генерализацией сущностей:
sudo samba-tool gpo backup --tmpdir=/tmp/gpo/computer/\{38A4873E-6286-4BF1-8630-2EA2D3BCBD19\} \
--generalize \
--entities=/tmp/gpo/computer/{38A4873E-6286-4BF1-8630-2EA2D3BCBD19}.ent \
{38A4873E-6286-4BF1-8630-2EA2D3BCBD19} \
-H ldap://dc1.samdom.example.com \
-U Administrator
Password for [SAMDOM\Administrator]:
GPO copied to /tmp/gpo/computer/{38A4873E-6286-4BF1-8630-2EA2D3BCBD19}
Attempting to generalize XML entities:
Entities successfully written to tmp/gpo/computer/{38A4873E-6286-4BF1-8630-2EA2D3BCBD19}.ent
Восстановление GPO из резервной копии
Для восстановления (импорта) объекта GPO в домене Эллес используется следующий формат вызова:
samba-tool gpo restore <displayname> <backup location> [options]
При вызове подкоманды необходимо указать отображаемое имя для нового объекта GPO (displayname) и путь к файлам, полученным в результате экспорта GPO (backup location).
Если при экспорте GPO использовалась генерализации сущностей, соответствующий файл может быть указан с помощью параметра --entities.
Чтобы сохранить исходный файл GPT.INI и указанный в нем номер версии, может быть передан параметр --restore-metadata.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--tmpdir=TMPDIR— временный каталог для копирования файлов; -
--entities=INPUTPATH— путь к файлу с экспортированными сущностями в XML; -
--restore-metadata— сохранить исходный файл GPT.INI и указанный в нем номер версии.
Примеры
Пример импорта GPO с генерализацией сущностей:
samba-tool gpo restore 'New Policy' \
/tmp/gpo/computer/policy/\{38A4873E-6286-4BF1-8630-2EA2D3BCBD19\}/ \
-U Administrator
Password for [SAMDOM\Administrator]:
Using temporary directory /tmp/tmp5j1zfags (use --tmpdir to change)
GPO 'New Policy' created as {1C18AE5F-AC1C-4B4F-8E24-4F17ECFB2AF2}
Using temporary directory /tmp/tmpo2nu9cnm (use --tmpdir to change)
Изменение настроек групповых политик в GPO (через Registry.pol)
Подкоманды samba-tool gpo load и samba-tool gpo remove позволяют вносить изменения в файлы Registry.pol, содержащие настройки групповых политик в каталоге SysVol.
Для удобства работы подкоманды принимают на вход настройки в формате JSON (в виде файла либо через стандартный ввод до достижения EOF).
Пример политики, задающей начальную страницу для веб-браузера Mozilla Firefox:
[
{
"keyname": "Software\\Policies\\Mozilla\\Firefox\\Homepage",
"valuename": "StartPage",
"class": "MACHINE",
"type": "REG_SZ",
"data": "homepage"
},
{
"keyname": "Software\\Policies\\Mozilla\\Firefox\\Homepage",
"valuename": "URL",
"class": "MACHINE",
"type": "REG_SZ",
"data": "samba.org"
}
]
Значения полей keyname и valuename соответствуют значениям изменяемых атрибутов из административных шаблонов (в данном случае — административных шаблонов Firefox).
Целевые объекты для политики указываются в поле class. Возможные значения — MACHINE|USER|BOTH.
В поле type указывается тип значения реестра — REG_NONE|REG_SZ|REG_EXPAND_SZ|REG_BINARY|REG_DWORD|REG_DWORD_BIG_ENDIAN|REG_LINK|REG_MULTI_SZ|REG_RESOURCE_LIST|
REG_QWORD.
В поле data указывается задаваемое значение для политики.
Добавление настроек групповых политик в GPO
Для добавления настроек групповых политик в GPO путем изменения файла Registry.pol используется следующий формат вызова:
samba-tool gpo load <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Для задания значений для атрибутов gPCMachineExtensionNames и gPCUserExtensionNames объекта GPO могут использоваться опции --machine-ext-name и --user-ext-name. В качестве значений данных атрибутов ожидаются GUID клиентских расширений, обеспечивающих применение политик на машине. Они необходимы для корректной работы политик на клиентах под управлением ОС Windows. Данное ограничение не распространяется на применение групповых политик на клиентах под управлением ОС Linux, для которых по умолчанию данным атрибутам присваивается значение {35378EAC-683F-11D2-A89A-00C04FBBCFA2}.
Настройки могут передаваться в виде JSON-файла, указанного с помощью параметра --content, или, если параметр --content не задан, через стандартный ввод (до достижения символа EOF).
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--content=FILE.JSON— имя файла с настройками политик в формате JSON; -
--machine-ext-name=MACHINEXTNAME— имя клиентского расширения, обеспечивающего применение групповых политик к компьютеру, для добавления в атрибутgPCMachineExtensionNames(значение по умолчанию —{35378EAC-683F-11D2-A89A-00C04FBBCFA2}); -
--user-ext-name=USEREXTNAME— имя клиентского расширения, обеспечивающего применение групповых политик к пользователю, для добавления в атрибутgPCUserExtensionNames(значение по умолчанию —{35378EAC-683F-11D2-A89A-00C04FBBCFA2}); -
--replace— замена существующих групповых политик указанными при выполнении подкоманды вместо объединения.
Примеры
Пример JSON-файла для добавления настроек групповых политик в Registry.pol (policies.json):
[
{
"keyname": "Software\\Policies\\Mozilla\\Firefox\\Homepage",
"valuename": "StartPage",
"class": "USER",
"type": "REG_SZ",
"data": "homepage"
},
{
"keyname": "Software\\Policies\\Mozilla\\Firefox\\Homepage",
"valuename": "URL",
"class": "USER",
"type": "REG_SZ",
"data": "google.com"
},
{
"keyname": "Software\\Microsoft\\Internet Explorer\\Toolbar",
"valuename": "IEToolbar",
"class": "USER",
"type": "REG_BINARY",
"data": [0]
},
{
"keyname": "Software\\Policies\\Microsoft\\InputPersonalization",
"valuename": "RestrictImplicitTextCollection",
"class": "USER",
"type": "REG_DWORD",
"data": 1
}
]
Пример добавления настроек в Registry.pol с указанием имени JSON-файла:
samba-tool gpo load {1C18AE5F-AC1C-4B4F-8E24-4F17ECFB2AF2} \
--content=/tmp/policies.json \
-H ldap://dc1.samdom.example.com \
-U Administrator
Password for [SAMDOM\Administrator]:
Проверка корректности добавления настроек:
samba-tool gpo show {1C18AE5F-AC1C-4B4F-8E24-4F17ECFB2AF2} \
-H ldap://dc1.samdom.example.com \
-U Administrator
Password for [SAMDOM\Administrator]:
GPO : {1C18AE5F-AC1C-4B4F-8E24-4F17ECFB2AF2}
display name : New Policy
path : \\samdom.example.com\sysvol\samdom.example.com\Policies\{1C18AE5F-AC1C-4B4F-8E24-4F17ECFB2AF2}
Machine Exts : [{35378eac-683f-11d2-a89a-00c04fbbcfa2}]
User Exts : [{35378eac-683f-11d2-a89a-00c04fbbcfa2}]
dn : CN={1C18AE5F-AC1C-4B4F-8E24-4F17ECFB2AF2},CN=Policies,CN=System,DC=samdom,DC=example,DC=com
version : 65536
flags : NONE
ACL : O:S-1-5-21-3324729455-2135688933-2286696549-512G:S-1-5-21-3324729455-2135688933-2286696549-512D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-3324729455-2135688933-2286696549-512)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-3324729455-2135688933-2286696549-519)(A;CIIO;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-3324729455-2135688933-2286696549-512)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)S:AI(OU;CIIOIDSA;WP;f30e3bbe-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)(OU;CIIOIDSA;WP;f30e3bbf-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)
Policies :
[
{
"keyname": "Software\\Policies\\Mozilla\\Firefox\\Homepage",
"valuename": "StartPage",
"class": "USER",
"type": "REG_SZ",
"data": "homepage"
},
{
"keyname": "Software\\Policies\\Mozilla\\Firefox\\Homepage",
"valuename": "URL",
"class": "USER",
"type": "REG_SZ",
"data": "google.com"
},
{
"keyname": "Software\\Microsoft\\Internet Explorer\\Toolbar",
"valuename": "IEToolbar",
"class": "USER",
"type": "REG_BINARY",
"data": [
0
]
},
{
"keyname": "Software\\Policies\\Microsoft\\InputPersonalization",
"valuename": "RestrictImplicitTextCollection",
"class": "USER",
"type": "REG_DWORD",
"data": 1
}
]
Удаление настроек групповых политик из GPO
Для удаления настроек групповых политик из GPO путем изменения файла Registry.pol используется следующий формат вызова:
samba-tool gpo remove <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Для удаления имен клиентских расширений из атрибутов gPCMachineExtensionNames и gPCUserExtensionNames объекта GPO могут использоваться опции --machine-ext-name и --user-ext-name.
Удаляемые настройки могут передаваться в виде JSON-файла, указанного с помощью параметра --content, или, если параметр --content не задан, через стандартный ввод (до достижения символа EOF).
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--content=FILE.JSON— имя файла с настройками политик в формате JSON; -
--machine-ext-name=MACHINEXTNAME— имя клиентского расширения, обеспечивающего применение групповых политик к компьютеру, для удаления из атрибутаgPCMachineExtensionNames; -
--user-ext-name=USEREXTNAME— имя клиентского расширения, обеспечивающего применение групповых политик к пользователю, для удаления из атрибутаgPCUserExtensionNames.
Примеры
Пример JSON-файла для удаления настроек групповых политик из Registry.pol (policies.json):
[
{
"keyname": "Software\\Policies\\Mozilla\\Firefox\\Homepage",
"valuename": "StartPage",
"class": "USER",
},
{
"keyname": "Software\\Policies\\Mozilla\\Firefox\\Homepage",
"valuename": "URL",
"class": "USER",
},
{
"keyname": "Software\\Microsoft\\Internet Explorer\\Toolbar",
"valuename": "IEToolbar",
"class": "USER"
},
{
"keyname": "Software\\Policies\\Microsoft\\InputPersonalization",
"valuename": "RestrictImplicitTextCollection",
"class": "USER"
}
]
Пример удаления настроек из Registry.pol с указанием имени JSON-файла:
samba-tool gpo remove {31B2F340-016D-11D2-945F-00C04FB984F9} \
-H ldap://dc1.samdom.example.com \
--content=policies.json
-U Administrator
Password for [GMSA\Administrator]:
Проверка корректности удаления настроек:
samba-tool gpo show {1C18AE5F-AC1C-4B4F-8E24-4F17ECFB2AF2} \
-H ldap://dc1.samdom.example.com \
-U Administrator
Password for [SAMDOM\Administrator]:
GPO : {1C18AE5F-AC1C-4B4F-8E24-4F17ECFB2AF2}
display name : New Policy
path : \\samdom.example.com\sysvol\samdom.example.com\Policies\{1C18AE5F-AC1C-4B4F-8E24-4F17ECFB2AF2}
Machine Exts : [{35378eac-683f-11d2-a89a-00c04fbbcfa2}]
User Exts : [{35378eac-683f-11d2-a89a-00c04fbbcfa2}]
dn : CN={1C18AE5F-AC1C-4B4F-8E24-4F17ECFB2AF2},CN=Policies,CN=System,DC=samdom,DC=example,DC=com
version : 65536
flags : NONE
ACL : O:S-1-5-21-3324729455-2135688933-2286696549-512G:S-1-5-21-3324729455-2135688933-2286696549-512D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-3324729455-2135688933-2286696549-512)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-3324729455-2135688933-2286696549-519)(A;CIIO;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-3324729455-2135688933-2286696549-512)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)S:AI(OU;CIIOIDSA;WP;f30e3bbe-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)(OU;CIIOIDSA;WP;f30e3bbf-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)
Policies :
[]
Управление клиентскими расширениями
Группа подкоманд samba-tool gpo cse позволяет управлять экспериментальными или пользовательскими клиентскими расширениями, заданными в виде файлов на Python, на участниках домена Эллес.
Регистрация клиентского расширения
Для регистрации клиентского расширения используется следующий формат вызова:
samba-tool gpo cse register <cse_file> <cse_name> [options]
В качестве аргументов подкоманда принимает:
-
путь и имя файла, реализующего клиентское расширение (
cse_file);Файл должен находится по указанному пути в течение всего периода использования клиентского расширения. Подкоманда регистрации не копирует файл в какой-либо другой каталог. При обновлении политик командой samba-gpupdateбудет исполняться указанный файл. -
наименование групповой политики в формате
gp_<name>_ext.
Также для указания целевых объектов политики при вызове подкоманды могут передаваться аргументы --user и --machine.
В процессе выполнения подкоманда автоматически формирует GUID для объекта CSE.
Просмотр списка клиентских расширений на хосте
Для просмотра списка клиентских расширений, зарегистрированных на текущем хосте, используется следующий формат вызова:
samba-tool gpo cse list [options]
Подкоманда выводит следующую информацию о каждом клиентском расширении:
-
UniqueGUID— уникальный идентификатор, сформированный при регистрации клиентского расширения; -
FileName— путь и имя файла, реализующего клиентское расширение; -
ProcessGroupPolicy— наименование групповой политики; -
MachinePolicy— признак применимости политики к компьютерам; -
UserPolicy— признак применимости политики к пользователям.
Примеры
Пример получения списка клиентских расширений, зарегистрированных на локальной машине:
sudo samba-tool gpo cse list
UniqueGUID : {abee81bb-1c34-4b73-93ba-a4b06bf0e301}
FileName : /root/policies/gp_chromium_ext.py
ProcessGroupPolicy : pg_chromium_ext
MachinePolicy : True
UserPolicy : False
UniqueGUID : {bf05c177-7228-4519-bc88-07b282b8b2ed}
FileName : /root/policies/gp_env_vars_ext.py
ProcessGroupPolicy : pg_env_vars_ext
MachinePolicy : True
UserPolicy : True
UniqueGUID : {043f8b58-f175-4769-9a33-214447706507}
FileName : /root/policies/gp_folders_ext.py
ProcessGroupPolicy : pg_folders_ext
MachinePolicy : True
UserPolicy : True
Отмена регистрации клиентского расширения
Для отмены регистрации клиентского расширения используется следующий формат вызова:
samba-tool gpo cse unregister <GUID> [options]
В качестве аргумента передается уникальный идентификатор клиентского расширения (GUID). Для получения GUID может использоваться подкоманда samba-tool gpo cse list.
Управление групповыми политиками для изменения smb.conf
Назначение групповых политик по изменению файла smb.conf — обеспечить изменение существующих глобальных настроек (раздел [global]) в файлах smb.conf на клиентских машинах под управлением ОС Linux в домене Эллес.
Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/Registry.pol в подкаталоге соответствующего объекта GPO в SysVol в формате записей реестра (см. подраздел «Изменение настроек групповых политик в GPO (через Registry.pol)»).
Серверное расширение (SSE) для политик по изменению smb.conf распространяется в виде административного шаблона в формате ADMX (см. «Установка административных шаблонов на контроллере домена»).
Клиентское расширение (CSE) непосредственно изменяет файл smb.conf: оно открывает существующий файл smb.conf, анализирует текущие глобальные настройки, изменяет их в соответствии с GPO и записывает файл на диск.
| В процессе изменения могут быть перезаписаны внесенные в smb.conf пользовательские элементы форматирования и комментарии. |
Добавление групповой политики для изменения smb.conf
Для задания или изменения глобальных настроек в файле smb.conf с помощью групповой политики используется следующий формат вызова:
samba-tool gpo manage smb_conf set <gpo> <setting> <value> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Для установки определенного значения укажите его (value) после названия настройки (setting). Чтобы сбросить установленное ранее значение, передайте только название настройки без значения.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример добавления в smb.conf настройки apply group policies со значением yes для включения автоматического применения групповых политик на клиентских машинах, введенных в домен с использованием Winbind:
-
Настройте политику:
samba-tool gpo manage smb_conf set {31B2F340-016D-11D2-945F-00C04FB984F9} \ 'apply group policies' yes \ -H ldap://dc01.samdom.example.com \ --use-kerberos=required -
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: gp_smb_conf_ext ----------------------------------------------------------- Policy Type: smb.conf ----------------------------------------------------------- [ apply group policies ] = 1 ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
Сравните файлы:
diff -u /app/inno-samba/etc/smb.conf.BAK /app/inno-samba/etc/smb.conf --- /app/inno-samba/etc/smb.conf.BAK +++ /app/inno-samba/etc/smb.conf @@ -1,5 +1,6 @@ # Global parameters [global] + apply group policies = Yes kerberos method = secrets and keytab ...
Пример отмены настройки apply group policies:
samba-tool gpo manage smb_conf set {31B2F340-016D-11D2-945F-00C04FB984F9} \
'apply group policies' \
-H ldap://dc01.samdom.example.com \
--use-kerberos=required
Получение информации о групповой политике для изменения smb.conf
Для получения информации об объекте GPO, обеспечивающем изменение настроек в файле smb.conf на клиентских машинах, в SysVol используется следующий формат вызова:
samba-tool gpo manage smb_conf list <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда выводит содержимое файла MACHINE\Registry.pol для указанного объекта GPO.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример получения настроек, применяемых в рамках групповой политики по изменению smb.conf:
samba-tool gpo manage smb_conf list {31B2F340-016D-11D2-945F-00C04FB984F9} \
-H ldap://dc01.samdom.example.com \
--use-kerberos=required
Password for [administrator@SAMDOM.EXAMPLE.COM]:
apply group policie s= True
Управление групповыми политиками безопасности (пароли, Kerberos)
Назначение групповых политик безопасности — управление некоторыми атрибутами парольной политики и выдачи билетов Kerberos на контроллерах домена Эллес. На рядовых участниках домена данные политики автоматически отключаются и игнорируются.
Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf в подкаталоге соответствующего объекта GPO в SysVol в формате ini. Они могут редактироваться вручную с помощью любого текстового редактора.
Серверное расширение (SSE) для политик безопасности распространяется в виде административного шаблона в формате ADMX (см. «Установка административных шаблонов на контроллере домена»).
Клиентские расширения (CSE) для политик безопасности — gp_access_ext и gp_krb_ext. Парольные политики (System Access) обеспечивают применение правил использования паролей через соответствующие атрибуты LDAP непосредственно в базе данных Эллес на контроллере домена. Политики Kerberos (Kerberos Policy) хранятся в кэше групповых политик и загружаются непосредственно службой inno-samba при запуске.
Добавление групповой политики безопасности
Для задания или изменения настроек парольной политики и настроек Kerberos с помощью групповой политики используется следующий формат вызова:
samba-tool gpo manage security set <gpo> <setting> <value> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Для установки определенного значения укажите его (value) после названия настройки (setting). Чтобы сбросить установленное ранее значение, передайте только название настройки без значения.
Список доступных настроек:
-
атрибуты парольной политики:
-
MinimumPasswordAge— минимальный срок использования пароля до его смены (в днях); -
MaximumPasswordAge— максимальный срок использования пароля до его смены (в днях); -
MinimumPasswordLength— минимальная длина пароля; -
PasswordComplexity— соответствие требованиям к сложности пароля; возможные значения:-
1—Enabled; -
0—Disabled;
-
-
-
атрибуты блокировки учетных записей:
-
атрибуты выдачи билетов Kerberos:
-
MaxTicketAge— максимальный период действия выданного пользователю TGT-билета для аутентификации Kerberos (в часах); -
MaxRenewAge— максимальный период, в течение которого может быть обновлен TGT-билет пользователя для аутентификации Kerberos (в днях); -
MaxServiceAge— максимальный период действия сервисного билета для аутентификации Kerberos (в минутах).
-
Также поддерживаются атрибуты PasswordHistorySize, LockoutDuration, ResetLockoutCount и LockoutBadCount, но они доступны для настройки только в оснастке Group Policy Management Editor (GPME). См. подробнее в разделе
«Работа с samba-gpupdate».
|
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример задания максимального периода действия TGC-билета с помощью групповой политики:
-
Настройте политику:
samba-tool gpo manage security set {31B2F340-016D-11D2-945F-00C04FB984F9} \ MaxTicketAge 10 \ -H ldap://dc01.samdom.example.com \ --use-kerberos=required -
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: gp_krb_ext ----------------------------------------------------------- Policy Type: Kerberos Policy ----------------------------------------------------------- [ MaxTicketAge ] = 10 ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
Для проверки применения политики выполните:
sudo tdbdump /app/inno-samba/var/cache/gpo.tdb \ -k 'kdc:user_ticket_lifetime'; echo 10
Получение информации о групповой политике безопасности
Для получения информации об объекте GPO, задающем настройки парольной политики и Kerberos, в SysVol используется следующий формат вызова:
samba-tool gpo manage security list <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда выводит содержимое файла MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf для указанного объекта GPO.
Настройки группируются в два раздела по типу политики:
-
System Access— настройки парольной политики:-
MinimumPasswordAge— минимальный срок использования пароля до его смены (в днях); -
MaximumPasswordAge— максимальный срок использования пароля до его смены (в днях); -
MinimumPasswordLength— минимальная длина пароля; -
PasswordComplexity— соответствие требованиям к сложности пароля; возможные значения:-
1—Enabled; -
0—Disabled;
-
-
-
Kerberos Policy— настройки Kerberos:-
MaxTicketAge— максимальный период действия выданного пользователю TGT-билета (в часах); -
MaxRenewAge— максимальный период, в течение которого может быть обновлен TGT-билет пользователя (в днях); -
MaxServiceAge— максимальный период действия сервисного билета (в минутах).
-
| Подкоманда выводит настройки только на контроллере домена Эллес. |
Соответствие между настройками политики Kerberos и настройкам службы inno-samba:
| Kerberos Policy | Samba Setting | Преобразование |
|---|---|---|
|
|
- |
|
|
Минуты в часы |
|
|
Дни в часы |
Пример проверки текущих значений настроек inno-samba в кэше:
sudo tdbdump /app/inno-samba/var/cache/gpo.tdb -k 'kdc:user_ticket_lifetime'; echo
Соответствие между настройками парольной политики и атрибутами LDAP:
| Password Policy | LDAP Attribute | Преобразование |
|---|---|---|
|
|
Дни в NTTIME |
|
|
Дни в NTTIME |
|
|
- |
|
|
- |
Пример проверки текущих значений атрибутов в LDAP:
ldapsearch -H ldap://samdom.example.com -x -W \ -D "Administrator@samdom.example.com" \ -b DC=samdom,DC=example,DC=com \ -s base minPwdAge maxPwdAge minPwdLength pwdProperties
Управление групповыми политиками для запуска скриптов
Назначение групповых политик для запуска скриптов — настройка запуска заданий с помощью планировщика cron на клиентских машинах под управлением ОС Linux. Данные политики не загружают скрипты в виде файлов в SysVol — они обеспечиваются только настройку их запуска. Для загрузки скриптов на клиентские машины могут использоваться групповые политики для работы с файлами.
Настройки, применяемые в рамках данных политик, хранятся в файлах MACHINE/Registry.pol и USER/Registry.pol в подкаталоге соответствующего объекта GPO в SysVol в формате записей реестра (см. подраздел «Изменение настроек групповых политик в GPO (через Registry.pol)»).
Серверное расширение (SSE) для политик для запуска скриптов распространяется в виде административного шаблона в формате ADMX (см. «Установка административных шаблонов на контроллере домена»).
Клиентское расширение (CSE) создает задания в планировщике cron на клиентской машине. Для политик Machine задания добавляются в файл в каталогах /etc/cron.daily, /etc/cron.monthly, /etc/cron.weekly и /etc/cron.hourly. Для политик User — изменяется непосредственно файл crontab пользователя.
Команда samba-tool gpo manage не предоставляет отдельные подкоманды для работы с объектами GPO с настройками групповых политик для запуска скриптов. Для этой цели может использоваться редактор групповых политик (Group Policy Management Editor, GPME) в составе RSAT на участнике домена под управлением ОС Windows.
Пример создания простейшего скрипта, создающего задание в cron, которое будет ежедневно выдавать определенное сообщение:
-
Выполните вход на компьютер — участник домена под управлением ОС Windows с установленным набором инструментов RSAT и административными шаблонами Samba, используя учетную запись с правами на редактирование групповых политик, и откройте консоль Group Policy Management (gpmc.msc).
-
Правой кнопкой щелкните на имени домена и выберите Create a GPO in this domain, and Link it here (Создать объект групповой политики в этом домене и связать его).
-
Укажите имя для объекта GPO и нажмите OK.
-
Правой кнопкой щелкните на имени созданного объекта GPO в списке в области просмотра и выберите Edit.
-
В области навигации редактора в левой панели раскройте Computer configuration → Policies → Administrative templates → Samba → Unix Settings → Scripts (Конфигурация компьютера → Политики → Административные шаблоны → Samba → Unix Settings → Scripts).
-
В панели справа выберите политику Daily.
-
В диалоговом окне Daily выберите опцию Enabled (Включено) и в области Options (Параметры) нажмите Show… (Показать).
-
В диалоговом окне Show Contents (Вывод содержания) введите в поле Value (Значение) простейший скрипт. Например:
echo hello world
-
Нажмите ОК, чтобы закрыть диалоговое окно Show Contents (Вывод содержания), и затем еще раз нажмите ОК, чтобы закрыть диалоговое окно Daily.
-
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: gp_scripts_ext ----------------------------------------------------------- Policy Type: Daily Scripts ----------------------------------------------------------- [ echo hello world ] ----------------------------------------------------------- ----------------------------------------------------------- -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
В результате применения политики в каталоге /etc/cron.daily/ создается скрипт:
sudo cat /etc/cron.daily/gp_m95kdru6 #!/bin/sh ### autogenerated by samba # # This file is generated by the gp_scripts_ext Group Policy # Client Side Extension. To modify the contents of this file, # modify the appropriate Group Policy objects which apply # to this machine. DO NOT MODIFY THIS FILE DIRECTLY. # echo hello world
Управление групповыми политиками для запуска скриптов при входе в систему
Назначение групповых политик для запуска скриптов при входе в систему — настройка сценариев входа пользователей в систему на клиентских машинах под управлением ОС Linux. При назначении политики указанный файл скрипта автоматически загружается в SysVol.
Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/VGP/VTLA/Unix/Scripts/Startup/manifest.xml в подкаталоге соответствующего объекта GPO в SysVol. При необходимости они могут быть отредактированы в любом текстовом редакторе.
Серверное расширение (SSE) для работы с данными политиками в GPME отсутствует. Для их администрирования может использоваться только подкоманда samba-tool gpo manage scripts startup.
Клиентское расширение (CSE) создает на клиентских машинах задания в планировщике cron с переменной @reboot. Настройки политики применяются только к целевому объекту Machine.
Добавление групповой политики для запуска скриптов при входе в систему
Для задания настроек запуска скрипта при входе в систему с помощью групповой политики используется следующий формат вызова:
samba-tool gpo manage scripts startup add <gpo> <script> [args] [run_as] [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall. Второй обязательный аргумент — относительный путь и имя файла скрипта (script), который должен быть создан заранее.
При необходимости также могут быть заданы:
-
аргументы (
args) для передачи скрипту при запуске;Аргументы заключаются в кавычки. Символы '-' должны быть экранированы. Например:
'\\-n \\-p all'. -
пользователь (
run_as), от имени которого должен запускаться скрипт.По умолчанию скрипт запускается от имени пользователя root.
Если скрипт необходимо выполнить только один раз (при следующем входе в систему), должен быть передан параметр --run-once.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--run-once— выполнить скрипт один раз при следующем входе в систему.
Примеры
Пример добавления скрипта для запуска при входе в систему на клиентской машине:
-
Создайте скрипт. Например:
cat test_script.sh #!/bin/sh echo Something is happening here at startup
-
Выполните подкоманду:
samba-tool gpo manage scripts startup add \ {31B2F340-016D-11D2-945F-00C04FB984F9} test_script.sh -U Administrator -
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: vgp_startup_scripts_ext ----------------------------------------------------------- Policy Type: VGP/Unix Settings/Startup Scripts ----------------------------------------------------------- [ @reboot root /app/inno-samba/var/cache/gpo_cache/SAMDOM.EXAMPLE.COM/ POLICIES/{31B2F340-016D-11D2-945F-00C04FB984F9}/ MACHINE/VGP/VTLA/UNIX/SCRIPTS/STARTUP/ TEST_SCRIPT.SH ] ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
В результате применения политики в каталоге /etc/cron.d/ создается скрипт:
sudo cat /etc/cron.d/gp_vzldfcii ### autogenerated by samba # # This file is generated by the vgp_startup_scripts_ext Group # Policy Client Side Extension. To modify the contents of this # file, modify the appropriate Group Policy objects which apply # to this machine. DO NOT MODIFY THIS FILE DIRECTLY. # @reboot root /app/inno-samba/var/cache/gpo_cache/SAMDOM.EXAMPLE.COM/POLICIES/ {31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/VGP/VTLA/UNIX/ SCRIPTS/STARTUP/TEST_SCRIPT.SH -
Для просмотра содержимого скрипта выполните:
sudo cat /app/inno-samba/var/cache/gpo_cache/SAMDOM.EXAMPLE.COM/POLICIES/ {31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/VGP/VTLA/UNIX/ SCRIPTS/STARTUP/TEST_SCRIPT.SH #!/bin/sh echo Something is happening here at startup
Получение информации о групповой политике для запуска скриптов при входе в систему
Для получения информации о настройках групповой политики, обеспечивающей запуск скрипта при входе в систему на клиентских машинах, в SysVol используется следующий формат вызова:
samba-tool gpo manage scripts startup list <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда выводит:
-
параметры запуска скрипта;
-
пользователя, от имени которого запускается скрипт;
-
путь к скрипту и имя скрипта в SysVol.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример получения настроек, применяемых в рамках групповой политики для запуска скрипта при входе в систему:
samba-tool gpo manage scripts startup list \
{31B2F340-016D-11D2-945F-00C04FB984F9} -U Administrator
@reboot root \\samdom.example.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\VGP\VTLA\Unix\Scripts\Startup\test_script.sh
Удаление групповой политики для запуска скриптов при входе в систему
Для удаления настроек групповой политики для запуска скрипта при входе в систему из SysVol используется следующий формат вызова:
samba-tool gpo manage scripts startup remove <gpo> <script> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall. Также указывается имя скрипта (script), выполнение которого обеспечивает политика.
Управление групповыми политиками для работы с файлами
Назначение групповых политик для работы с файлами — загрузка файлов (например, скриптов или конфигурационных файлов) на клиентские машины под управлением ОС Linux. При назначении политики указанный файл скрипта автоматически загружается в SysVol.
Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/VGP/VTLA/Unix/Files/manifest.xml в подкаталоге соответствующего объекта GPO в SysVol. При необходимости они могут быть отредактированы в любом текстовом редакторе.
Серверное расширение (SSE) для работы с данными политиками в GPME отсутствует. Для их администрирования может использоваться только подкоманда samba-tool gpo manage files.
Клиентское расширение (CSE) копирует файлы из SysVol в целевой каталог на клиентских машинах, указанный в настройках политики. Настройки политики применяются только к целевому объекту Machine.
Добавление групповой политики для работы с файлами
Для задания настроек загрузки файлов с помощью групповой политики используется следующий формат вызова:
samba-tool gpo manage files add <gpo> <source> <target> <user> <group> <mode> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Также задаются:
-
путь к файлу-источник (
source) на хосте, на котором выполняется подкоманда; -
целевой каталог (
target), в который должен быть помещен файл на клиентской машине; -
атрибуты доступа (
user,group,mode), которые должны быть назначены файлу в целевом каталоге.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример настройки загрузки файла скрипта на клиентские машины:
-
Создайте скрипт. Например:
cat test_script.sh #!/bin/sh echo Something is happening here at startup
-
Выполните подкоманду:
samba-tool gpo manage files add \ {31B2F340-016D-11D2-945F-00C04FB984F9} ./test_script.sh \ /usr/bin/test_script.sh root root 555 -U Administrator -
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: vgp_files_ext ----------------------------------------------------------- Policy Type: VGP/Unix Settings/Files ----------------------------------------------------------- [ -r-xr-xr-x root root /usr/bin/test_script.sh -> test_script.sh ] ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
В результате применения политики указанный в настройках файл физически копируется в указанный каталог с указанными параметрами доступа:
-
для проверки атрибутов доступа скрипта выполните:
ls -l /usr/bin/test_script.sh -r-xr-xr-x 1 root root 45 Sep 15 12:07 /usr/bin/test_script.sh
-
для просмотра содержимого скрипта выполните:
cat /usr/bin/test_script.sh #!/bin/sh echo Something is happening daily
-
Получение информации о групповой политике для работы с файлами
Для получения информации о настройках групповой политики, обеспечивающей загрузку файлов на клиентские машины, в SysVol используется следующий формат вызова:
samba-tool gpo manage files list <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда выводит:
-
атрибуты доступа;
-
целевой каталог и имя файла;
-
исходный каталог и имя файла.
Удаление групповой политики для работы с файлами
Для удаления файлов, которые должны быть скопированы из SysVol в целевые каталоги на клиентских машинах, используется следующий формат вызова:
samba-tool gpo manage files remove <gpo> <target> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall. Также указываются целевой каталог и имя файла (target).
Управление групповыми политиками для работы с символическими ссылками
Назначение групповых политик для работы с файлами — создание символических ссылок на клиентских машинах под управлением ОС Linux.
Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/VGP/VTLA/Unix/Symlink/manifest.xml в подкаталоге соответствующего объекта GPO в SysVol. При необходимости они могут быть отредактированы в любом текстовом редакторе.
Серверное расширение (SSE) для работы с данными политиками в GPME отсутствует. Для их администрирования может использоваться только подкоманда samba-tool gpo manage symlink.
Клиентское расширение (CSE) создает символическую ссылку для объектов, указанных в настройках политики. Настройки политики применяются только к целевому объекту Machine.
Добавление групповой политики для работы с символическими ссылками
Для задания настроек создания символических ссылок с помощью групповой политики используется следующий формат вызова:
samba-tool gpo manage symlink add <gpo> <source> <target> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Также задаются:
-
путь к объекту-источнику, для которого создается символическая ссылка;
-
путь к целевому объекту для создания символической ссылки.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример настройки создания символической ссылки для файла, загруженного на клиентские машины:
-
Настройте загрузку файла:
samba-tool gpo manage files add \ {31B2F340-016D-11D2-945F-00C04FB984F9} servlist.conf \ /usr/share/servlist.conf 'SAMDOM\User1' \ 'SAMDOM\Domain Users' 600 -U Administrator -
Настройте создание символической ссылки:
samba-tool gpo manage symlink add \ {31B2F340-016D-11D2-945F-00C04FB984F9} /usr/share/servlist.conf \ /home/SAMDOM/User1/.config/hexchat/servlist.conf -U Administrator -
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: vgp_symlink_ext ----------------------------------------------------------- Policy Type: VGP/Unix Settings/Symbolic Links ----------------------------------------------------------- [ ln -s /usr/share/servlist.conf /home/SAMDOM/User1/.config/hexchat/servlist.conf ] ----------------------------------------------------------- ----------------------------------------------------------- CSE: vgp_files_ext ----------------------------------------------------------- Policy Type: VGP/Unix Settings/Files ----------------------------------------------------------- [ -rw------- SAMDOM\User1 SAMDOM\Domain Users /usr/share/servlist.conf -> servlist.conf ] ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
В результате применения политики создается символическая ссылка для указанных объектов:
-
для проверки атрибутов доступа исходного файла выполните:
ls -l /usr/share/servlist.conf -rw------- 1 SAMDOM\User1 SAMSOM\Domain Users 87 Sep 15 13:51 /usr/share/servlist.conf
-
для просмотра атрибутов доступа символической ссылки выполните:
sudo ls -l /home/SAMDOM/User1/.config/hexchat/servlist.conf lrwxrwxrwx 1 root root 24 Sep 15 13:52 /home/SAMDOM/User1/.config/hexchat/servlist.conf -> /usr/share/servlist.conf
-
Получение информации о групповой политике для работы с символическими ссылками
Для получения информации о настройках групповой политики, обеспечивающей создание символических ссылок на клиентских машинах, в SysVol используется следующий формат вызова:
samba-tool gpo manage symlink list <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда выводит информацию об источнике и цели символической ссылке в формате: ln -s <source> <target>.
Удаление групповой политики для работы с символическими ссылками
Для удаления настроек создания символических ссылок в рамках групповой политики из SysVol используется следующий формат вызова:
samba-tool gpo manage symlink remove <gpo> <source> <target> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall. Также указываются источник (source) и целевой объект (target) символической ссылки.
Управление групповыми политиками для работы с правилами sudo (sudoers)
Назначение групповых политик sudoers — настройка правил, разрешающих или запрещающих отдельным пользователям и группам пользователей выполнять определенные команды с помощью sudo на клиентских машинах под управлением ОС Linux.
Настройки, применяемые в рамках данных политик, хранятся в двух файлах в подкаталоге соответствующего объекта GPO в SysVol:
-
MACHINE/Registry.pol в формате записей реестра (см. подраздел «Изменение настроек групповых политик в GPO (через Registry.pol)»);
-
MACHINE/VGP/VTLA/Sudo/SudoersConfiguration/manifest.xml (могут быть отредактированы в любом текстовом редакторе).
Серверное расширение (SSE) распространяется в виде административного шаблона в формате ADMX (см. «Установка административных шаблонов на контроллере домена»). При этом правила, добавленные с помощью GPME, могут редактироваться с помощью группы samba-tool gpo manage sudoers. Однако правила, созданные с помощью samba-tool gpo manage sudoers, недоступны для редактирования в GPME.
Клиентское расширение (CSE) создает для каждого правила, указанного в настройках политики в SysVol, файл /etc/sudoers.d. Перед установкой каждое правило проверяется с тем, чтобы его применение не привело к неработоспособности системы.
Добавление групповой политики для работы с правилами sudo (sudoers)
Для задания настроек sudo с помощью групповой политики используется следующий формат вызова:
samba-tool gpo manage sudoers add <gpo> <command> <user> <users> [groups] [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Остальные аргументы соответствуют различным элементам синтаксиса sudoers:
-
последнее поле в правиле sudo (
command); -
пользователь, указываемый в правиле sudo в скобках (
user); -
списки пользователей и групп пользователей (через запятую) для формирования первого поля в правиле sudo (
users,groups).
Если для выполнения команды требуется аутентификация пользователя, может быть передан параметр --passwd. По умолчанию данный параметр имеет значение False, что соответствует использованию поля NOPASSWD в правиле sudo.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--passwd— признак необходимости аутентификации пользователя для выполнения команды (значение по умолчанию —False, что соответствует использованию поляNOPASSWDв правиле).
Примеры
Пример настройки правила sudo для установки на клиентских машинах:
-
Настройте правило sudo:
samba-tool gpo manage sudoers add \ {31B2F340-016D-11D2-945F-00C04FB984F9} ALL ALL fakeu fakeg -U Administrator -
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: vgp_sudoers_ext ----------------------------------------------------------- Policy Type: VGP/Unix Settings/Sudo Rights ----------------------------------------------------------- [ fakeu,fakeg% ALL=(ALL) NOPASSWD: ALL ] ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
В результате применения создется файл с правилами:
sudo cat /etc/sudoers.d/gp_qy2eo07y ### autogenerated by samba # # This file is generated by the gp_sudoers_ext Group Policy # Client Side Extension. To modify the contents of this file, # modify the appropriate Group Policy objects which apply # to this machine. DO NOT MODIFY THIS FILE DIRECTLY. # fakeu,fakeg% ALL=(ALL) NOPASSWD: ALL
Получение информации о групповой политике для работы с правилами sudo (sudoers)
Для получения информации о настройках групповой политики, обеспечивающей установку правила sudo (sudoers) на клиентских машинах, в SysVol используется следующий формат вызова:
samba-tool gpo manage sudoers list <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда выводит запись о правиле из файла /etc/sudoers.d.
Удаление групповой политики для работы с правилами sudo (sudoers)
Для удаления настроек установки правила sudo (sudoers) в рамках групповой политики из SysVol используется следующий формат вызова:
samba-tool gpo manage symlink remove <gpo> <entry> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall. Также указывается запись с правилом sudo, которую требуется удалить.
Управление групповыми политиками для работы с сообщениями
Назначение групповых политик для работы с сообщениями — настройка содержимого файлов /etc/issue (сообщение Issue of the Day; сообщение, отображаемое перед входом пользователя в систему) и /etc/motd (сообщение Message of the Day; сообщение, отображаемое при входе пользователя в систему) на клиентских машинах под управлением ОС Linux.
Настройки, применяемые в рамках данных политик, хранятся в трех файлах в подкаталоге соответствующего объекта GPO в SysVol:
-
MACHINE/Registry.pol в формате записей реестра (см. подраздел «Изменение настроек групповых политик в GPO (через Registry.pol)»);
-
MACHINE/VGP/VTLA/Unix/Issue/manifest.xml (могут быть отредактированы в любом текстовом редакторе);
-
MACHINE/VGP/VTLA/Unix/MOTD/manifest.xml (могут быть отредактированы в любом текстовом редакторе).
Серверные расширения (SSE) распространяются в виде административных шаблонов в формате ADMX (см. «Установка административных шаблонов на контроллере домена»). При этом правила, добавленные с помощью GPME, недоступны для редактирования с помощью подкоманд samba-tool gpo manage motd и samba-tool gpo manage issue. И наоборот.
Клиентские расширения (CSE) задают содержимое для /etc/motd и /etc/issue.
Добавление групповой политики для работы с сообщениями
Для задания настроек формирования сообщений Issue of the Day и Message of the Day с помощью групповой политики используется следующий формат вызова:
-
Issue of the Day:
samba-tool gpo manage issue set <gpo> <value> [groups] [options]
-
Message of the Day:
samba-tool gpo manage motd set <gpo> <value> [groups] [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall. Также необходимо указать текст сообщения (value). Если значение не передается, существующая политика сбрасывается.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример задания сообщений:
-
Задайте Issue of the Day:
samba-tool gpo manage issue set \ {31B2F340-016D-11D2-945F-00C04FB984F9} "issue set from samba-tool" -U Administrator -
Задайте Message of the Day:
samba-tool gpo manage motd set \ {31B2F340-016D-11D2-945F-00C04FB984F9} "motd set from samba-tool" -U Administrator -
Для проверки доступности политик на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: vgp_motd_ext ----------------------------------------------------------- Policy Type: /etc/motd ----------------------------------------------------------- motd set from samba-tool ----------------------------------------------------------- ----------------------------------------------------------- CSE: vgp_issue_ext ----------------------------------------------------------- Policy Type: /etc/issue ----------------------------------------------------------- issue set from samba-tool ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
Для проверки сообщения Issue of the Day выполните:
cat /etc/issue; echo issue set from samba-tool
-
Для проверки сообщения Message of the Day выполните:
cat /etc/motd; echo motd set from samba-tool
Получение информации о групповой политике для работы с сообщениями
Для получения информации о настройках групповой политики, обеспечивающей установку сообщений Issue of the Day и Message of the Day на клиентских машинах, в SysVol используется следующий формат вызова:
-
Issue of the Day:
samba-tool gpo manage issue list <gpo> [options]
-
Message of the Day:
samba-tool gpo manage motd list <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда выводит echo и текст сообщения.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример получения настроек, применяемых в рамках групповой политики для установки сообщения Issue of the Day:
samba-tool gpo manage issue list \
{31B2F340-016D-11D2-945F-00C04FB984F9} -U Administrator
echo issue set from samba-tool
Пример получения настроек, применяемых в рамках групповой политики для установки сообщения Message of the Day:
samba-tool gpo manage motd list \
{31B2F340-016D-11D2-945F-00C04FB984F9} -U Administrator
echo motd set from samba-tool
Управление групповыми политиками контроля доступа (PAM)
Назначение групповых политик контроля доступа (PAM) — настройка правил доступа пользователей к клиентским машинам под управлением ОС Linux.
Настройки, применяемые в рамках данных политик, хранятся в двух файлах в подкаталоге соответствующего объекта GPO в SysVol:
-
MACHINE/VGP/VTLA/VAS/HostAccessControl/Allow/manifest.xml (могут быть отредактированы в любом текстовом редакторе);
-
MACHINE/VGP/VTLA/VAS/HostAccessControl/Deny/manifest.xml (могут быть отредактированы в любом текстовом редакторе).
Серверное расширение (SSE) может администрироваться только с помощью группы подкоманд samba-tool gpo manage access.
Клиентское расширение (CSE) создает для каждого правила управления доступом новый файл в /etc/security/access.d.
Чтобы клиентское расширение работало, предварительно должен быть сконфигурирован PAM-модуль pam_access (см. man pam_access).
|
При задании групповой политики клиентское расширение автоматически дополнительно создает запись, запрещающую доступ к хосту для всех остальных пользователей. Модуль pam_access обрабатывает правила управления доступом к хосту, находящиеся в каталоге /etc/security/access.d, в порядке их номеров. Поэтому запись, запрещающая доступ всем остальным пользователям, получает такой номер (например, 9000000001), который бы гарантировал, что она будет обработана последней.
Таким образом, не имеет смысла задавать одновременно разрешающие и запрещающие правила. Применение к клиентской машине любого разрешающего правила автоматически подразумевает запрет доступа для всех остальных пользователей. Если в рамках политики задаются только запрещающие правила, то подразумевается, что всем остальным пользователям доступ разрешен (поведение по умолчанию до момента задания дополнительных правил).
Добавление групповой политики контроля доступа (PAM)
Для задания настроек управления доступом с помощью групповой политики используется следующий формат вызова:
samba-tool gpo manage access add <gpo> <allow/deny> <CN> <domain> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Также передаются следующие аргументы:
-
allow/deny— разрешить или запретить доступ; -
общее имя (
CN) пользователя или хоста, для которого должно действовать правило; -
домен (
domain).
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример настройки правила управления доступом для установки на клиентских машинах:
-
Настройте правило для пользователя Administrator:
samba-tool gpo manage access add \ {31B2F340-016D-11D2-945F-00C04FB984F9} allow Administrator samdom.example.com -UAdministrator -
Настройте правило для пользователя User1:
samba-tool gpo manage access add \ {31B2F340-016D-11D2-945F-00C04FB984F9} allow User1 samdom.example.com -UAdministrator -
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: vgp_access_ext ----------------------------------------------------------- Policy Type: VGP/Unix Settings/Host Access ----------------------------------------------------------- [ +:Administrator\samdom.example.com:ALL ] [ +:User1\samdom.example.com:ALL ] ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
В результате применения создаются файлы с правилами:
cat /etc/security/access.d/0000000001_gp.conf; echo ### autogenerated by samba # # This file is generated by the vgp_access_ext Group Policy # Client Side Extension. To modify the contents of this file, # modify the appropriate Group Policy objects which apply # to this machine. DO NOT MODIFY THIS FILE DIRECTLY. # +:samdom.example.com\Administrator:ALL +:samdom.example.com\User1:ALL
cat /etc/security/access.d/9000000001_gp_DENY_ALL.conf; echo ### autogenerated by samba # # This file is generated by the vgp_access_ext Group Policy # Client Side Extension. To modify the contents of this file, # modify the appropriate Group Policy objects which apply # to this machine. DO NOT MODIFY THIS FILE DIRECTLY. # -:ALL:ALL
Получение информации о групповой политике контроля доступа (PAM)
Для получения информации о настройках групповой политики, обеспечивающей управление доступом к клиентским машинам, в SysVol используется следующий формат вызова:
samba-tool gpo manage access list <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда выводит записи в стандартном для модуля pam_access формате (см. man pam_access).
Удаление групповой политики контроля доступа (PAM)
Для удаления настроек управления доступом в рамках групповой политики из SysVol используется следующий формат вызова:
samba-tool gpo manage access remove <gpo> <allow/deny> <name> <domain> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall. Также указывается запись с правилом sudo, которую требуется удалить.
Также передаются следующие аргументы:
-
allow/deny— разрешить или запретить доступ; -
общее имя (
CN) пользователя или хоста, для которого действует правило; -
домен (
domain).
Управление групповыми политиками для автоматической регистрации сертификатов
Назначение групповых политик для автоматической регистрации сертификатов — обеспечить возможность получения клиентскими машинами сертификатов, выдаваемых службами сертификатов Active Directory (Active Directory Certificate Services, AD CS). Для отслеживания сертификатов Samba использует службу certmonger с плагином cepces.
Серверное расширение (SSE) доступно только в составе GPME. Команда samba-tool gpo manage не предоставляет отдельные подкоманды для работы с политиками для автоматической регистрации сертификатов.
Для работы политик требуется доступ к центру сертификации на сервере под управлением ОС Windows, на котором должны быть установлены и настроены роли «Центр сертификации» (Certification Authority), «Веб-служба политик регистрации сертификатов» (Certificate Enrollment Policy Web Service) и «Веб-служба регистрации сертификатов» (Certificate Enrollment Web Service). Для упрощения процесса получения цепочки корневых сертификатов клиентами дополнительно может быть установлена и настроена роль «Служба регистрации на сетевых устройствах» (Network Device Enrollment Service).
Клиентское расширение (CSE) добавляет новые центры сертификации в certmonger и обеспечивает автоматическое отслеживание новых сертификатов на основе назначенных шаблонов сертификатов. Для работы CSE требуется установка пакетов certmonger и cepces.
По умолчанию сертификаты устанавливаются в каталог /var/lib/samba/certs, а приватные ключи — в каталог /var/lib/samba/private/certs. Для размещения файлов в более удобном месте может потребоваться настроить групповую политику для создания соответствующих символических ссылок.
Пример настройки груповой политики для автоматической регистрации сертификатов с помощью GPME:
-
На сервере под управлением ОС Windows с необходимыми ролями AD CS откройте GPME и в области навигации редактора в левой панели раскройте Конфигурация компьютера > Политики > Конфигурация Windows > Параметры безопасности > Политики открытого ключа.
-
В панели справа дважды нажмите пункт Клиент служб сертификации: автоматическая регистрация.
-
В диалоговом окне Свойства установите Включено и выберите опции обновления сертификатов с истекшим сроком действия и обновления сертификатов, использующих шаблоны сертификатов. Нажмите Применить и ОК.
-
В панели редактора политик дважды нажмите пункт Клиент служб сертификации: политика регистрации сертификатов.
-
В диалоговом окне Свойства установите Включено и нажмите Добавить.
-
В диалоговом окне Сервер политики регистрации сертификатов укажите URI сервера и выберите в поле Тип проверки подлинности значение Встроенная проверка подлинности Windows. Нажмите Добавить.
-
В диалоговом окне Свойства нажмите Применить и ОК.
-
Откройте консоль управления центром сертификации (certsrv.msc) и в области навигации в левой панели выберите Шаблоны сертификатов, нажмите правую кнопку мыши и в контекстном меню выберите Управлять.
-
В правой панели оснастки выберите один из существующих шаблонов, нажмите правую кнопку мыши и в контекстном меню выберите Скопировать шаблон.
-
В диалоговом окне Свойства нового шаблона задайте параметры шаблона: имя (например, TestComputerTemplate), срок действия, периодичность обновления, требования к шифрованию и т. д. Нажмите Применить и ОК.
-
Чтобы подключить новый шаблон, в области навигации в левой панели выберите Шаблоны сертификатов, нажмите правую кнопку мыши и в контекстном меню выберите Создать и затем Выдаваемый шаблон сертификата.
-
В диалоговом окне Включение шаблонов сертификатов выберите добавленный шаблон и нажмите ОК.
Новый шаблон отображается в списке подключенных шаблонов в правой панели оснастки для управления центром сертификации.
-
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена с установленными пакетами
certmongerиcepcesвыполните:sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: gp_cert_auto_enroll_ext ----------------------------------------------------------- Policy Type: Auto Enrollment Policy ----------------------------------------------------------- [ samdom-WIN-VUR8LN6A0DA-CA ] = [ CA Certificate ] = -----BEGIN CERTIFICATE----- <REDACTED> -----END CERTIFICATE----- [ Auto Enrollment Server ] = WIN-VUR8LN6A0DA.samdom.example.com [ Templates ] = [ Machine ] [ TestComputerTemplate ] ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
Для получения списка центров аутентификации выполните:
sudo getcert list-cas CA 'samdom-WIN-VUR8LN6A0DA-CA': is-default: no ca-type: EXTERNAL helper-location: /usr/libexec/certmonger/cepces-submit \ --server=WIN-VUR8LN6A0DA.samdom.example.com \ --auth=Kerberos -
Для получения списка сертификатов выполните:
sudo getcert list Number of certificates and requests being tracked: 2. Request ID 'samdom-WIN-VUR8LN6A0DA-CA.Machine': status: MONITORING stuck: no key pair storage: type=FILE, location='/app/inno-samba/private/certs/ samdom-WIN-VUR8LN6A0DA-CA.Machine.key' certificate: type=FILE, location='/app/inno-samba/certs/ samdom-WIN-VUR8LN6A0DA-CA.Machine.crt' CA: samdom-WIN-VUR8LN6A0DA-CA issuer: CN=samdom-WIN-VUR8LN6A0DA-CA, DC=samdom,DC=example,DC=com subject: CN=dc1.samdom.example.com issued: 2023-09-15 11:30:13 UTC expires: 2024-09-15 11:30:13 UTC dns: dc1.samdom.example.com key usage: digitalSignature,keyEncipherment eku: id-kp-clientAuth,id-kp-serverAuth certificate template/profile: Machine profile: Machine pre-save command: post-save command: track: yes auto-renew: yes Request ID 'samdom-WIN-VUR8LN6A0DA-CA.TestComputerTemplate': status: MONITORING stuck: no key pair storage: type=FILE, location='/app/inno-samba/private/certs/ samdom-WIN-VUR8LN6A0DA-CA.TestComputerTemplate.key' certificate: type=FILE, location='/app/inno-samba/certs/ samdom-WIN-VUR8LN6A0DA-CA.TestComputerTemplate.crt' CA: samdom-WIN-VUR8LN6A0DA-CA issuer: CN=samdom-WIN-VUR8LN6A0DA-CA, DC=samdom,DC=example,DC=com subject: issued: 2023-09-15 11:30:13 UTC expires: 2024-09-15 11:30:13 UTC dns: dc1.samdom.example.com key usage: digitalSignature,keyEncipherment eku: id-kp-serverAuth,id-kp-clientAuth profile: TestComputerTemplate pre-save command: post-save command: track: yes auto-renew: yes
Управление групповыми политиками веб-браузеров (Firefox, Chromium/Chrome)
Назначение групповых политик веб-браузеров — управление настройками веб-браузеров на клиентских машинах под управлением ОС Linux в домене Эллес.
Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/Registry.pol в подкаталоге соответствующего объекта GPO в SysVol в формате записей реестра (см. подраздел «Изменение настроек групповых политик в GPO (через Registry.pol)»).
Серверные расширения (SSE) распространяются в виде административных шаблонов в формате ADMX (см. «Установка административных шаблонов на контроллере домена»).
Клиентские расширения (CSE) формируют на клиентских машинах файлы с настройками для соответствующего веб-браузера (например, /etc/firefox/policies/policies.json при применении политики для веб-браузера Firefox).
Для настройки политик могут использоваться:
-
подкоманды
samba-tool gpo loadиsamba-tool gpo remove(см. примеры в подразделе «Изменение настроек групповых политик в GPO (через Registry.pol)») -
GPME.
Пример настройки политики, задающей samba.org в качестве страницы по умолчанию в веб-браузере Mozilla Firefox:
-
На участнике домена под управлением ОС Windows с установленным набором инструментов RSAT и административными шаблонами Mozilla Firefox откройте GPME и в области навигации редактора в левой панели раскройте Computer configuration → Policies → Administrative Templates → Mozilla → Firefox (Конфигурация компьютера → Политики → Административные шаблоны →Mozilla → Firefox).
-
В дереве настроек Mozilla Firefox выберите Home page → URL for Home page и в открывшемся диалоговом окне выберите опцию Enabled (Включено) и в области Options (Параметры) задайте https://samba.org. Нажмите Apply (Применить) и ОК.
-
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: gp_firefox_ext ----------------------------------------------------------- Policy Type: Software\Policies\Mozilla\Firefox\ Homepage\StartPage ----------------------------------------------------------- homepage-locked ----------------------------------------------------------- Policy Type: Software\Policies\Mozilla\Firefox\ Homepage\URL ----------------------------------------------------------- https://samba.org ----------------------------------------------------------- Policy Type: Software\Policies\Mozilla\Firefox\ Homepage\Locked ----------------------------------------------------------- 1 ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
В результате применения политики на клиентской машине создается файл policies.json:
cat /etc/firefox/policies/policies.json | jq { "policies": { "Homepage": { "StartPage": "homepage-locked", "URL": "https://samba.org", "Locked": true } } }
Управление групповыми политиками OpenSSH
Назначение групповых политик OpenSSH — загрузка и применения настроек OpenSSH на клиентских машинах под управлением ОС Linux.
Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/VGP/VTLA/SshCfg/SshD/manifest.xml (могут быть отредактированы в любом текстовом редакторе) в подкаталоге соответствующего объекта GPO в SysVol.
Серверное расширение (SSE) администрируется с помощью группы подкоманд samba-tool gpo manage openssh. В GPME оно недоступно.
Клиентское расширение (CSE) создает новый файл с настройками в /etc/ssh/sshd_config.d.
Добавление групповой политики OpenSSH
Для задания настроек OpenSSH с помощью групповой политики используется следующий формат вызова:
samba-tool gpo manage openssh <gpo> <setting> [value] [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Для установки определенного значения укажите его (value) после названия настройки (setting). Чтобы сбросить установленное ранее значение, передайте только название настройки без значения (см. список доступных настроек man sshd_config).
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример задания настройки OpenSSH с помощью групповой политики:
-
Задайте требуемое значение для настройки:
samba-tool gpo manage openssh set \ {31B2F340-016D-11D2-945F-00C04FB984F9} KerberosAuthentication Yes -U Administrator -
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: vgp_openssh_ext ----------------------------------------------------------- Policy Type: VGP/Unix Settings/OpenSSH ----------------------------------------------------------- [ KerberosAuthentication ] = Yes ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
В каталоге /etc/ssh/sshd_config.d/ создан файл, содержащий требуемую настройку:
### autogenerated by samba # # This file is generated by the vgp_openssh_ext Group Policy # Client Side Extension. To modify the contents of this file, # modify the appropriate Group Policy objects which apply # to this machine. DO NOT MODIFY THIS FILE DIRECTLY. # KerberosAuthentication Yes
Получение информации о групповой политике OpenSSH
Для получения информации о настройках групповой политики OpenSSH в SysVol используется следующий формат вызова:
samba-tool gpo manage openssh list <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда выводит задаваемые политикой настройки OpenSSH.
Управление групповыми политиками Firewalld
Назначение групповых политик Firewalld — загрузка и применения настроек Firewalld на клиентских машинах под управлением ОС Linux.
Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/Registry.pol в подкаталоге соответствующего объекта GPO в SysVol в формате записей реестра (см. подраздел «Изменение настроек групповых политик в GPO (через Registry.pol)»).
Серверное расширение (SSE) распространяется в виде административного шаблона в формате ADMX (см. «Установка административных шаблонов на контроллере домена»).
Клиентское расширение (CSE) получает правила, заданные с помощью серверного расширения, и применяет их с помощью команды firewalld-cmd.
Пример настройки групповой политики для применения правил Firewalld с помощью GPME:
-
На участнике домена под управлением ОС Windows с установленным набором инструментов RSAT и административными шаблонами Samba откройте GPME и в области навигации редактора в левой панели раскройте Конфигурация компьютера > Политики > Административные шаблоны > Sabma > Unix Settings > Firewalld.
-
В правой панели нажмите дважды на Zones.
-
В диалоговом окне Zones установите Включено и в области Параметры нажмите Показать.
-
В диалоговом окне Вывод содержания введите в поле Значение название зоны. Например:
Work. Нажмите Применить и ОК. -
В правой панели нажмите дважды на Rules.
-
В диалоговом окне Rules установите Включено и в области Параметры задайте правила для зоны в формате JSON. Например:
{ "work": [ { "rule": { "family": "ipv4"}, "source address": "172.25.1.7", "service name": "ftp", "reject": {} } ] } -
Нажмите Применить и ОК.
-
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: gp_firewalld_ext ----------------------------------------------------------- Policy Type: Rules ----------------------------------------------------------- [ [ work ] = [ [ rule ] = [ family ] = ipv4 [ source address ] = 172.25.1.7 [ service name ] = ftp [ reject ] = ] ] ----------------------------------------------------------- Policy Type: Zones ----------------------------------------------------------- [ work ] ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
Для проверки того, что правило задано, попробуйте задать его повторно с помощью
firewall-cmd. Если правило уже существует, будет выдано соответствующее предупреждение:sudo firewall-cmd --permanent --zone=work --add-rich-rule \ 'rule family=ipv4 source address=172.25.1.7 service name=ftp reject' Warning: ALREADY_ENABLED: rule family=ipv4 source address=172.25.1.7 service name=ftp reject success
Управление групповыми политиками GNOME
Назначение групповых политик GNOME — загрузка и применение настроек GNOME (dconf) на клиентских машинах под управлением ОС Linux.
Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/Registry.pol в подкаталоге соответствующего объекта GPO в SysVol в формате записей реестра (см. подраздел «Изменение настроек групповых политик в GPO (через Registry.pol)»).
Серверное расширение (SSE) распространяется в виде административного шаблона в формате ADMX (см. «Установка административных шаблонов на контроллере домена»).
Клиентское расширение (CSE) создает файлы dconf для реализации заданных политикой настроек. После создания файлов CSE применяет их с помощью команды dconf update. Для завершения применения настроек пользователь должен повторно войти в систему.
Пример настройки групповой политики для задания настроек GNOME с помощью GPME:
-
На участнике домена под управлением ОС Windows с установленным набором инструментов RSAT и административными шаблонами Samba откройте GPME и в области навигации редактора в левой панели раскройте Конфигурация компьютера > Политики > Административные шаблоны > Настройки GNOME.
-
В правой панели нажмите дважды на пункте Онлайн-аккаунты только из белого списка.
-
В открывшемся диалоговом окне установите Включено и в области Параметры нажмите Показать.
-
В диалоговом окне Вывод содержания введите в поле Значение, например,
google. -
Нажмите Применить и ОК.
-
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: gp_gnome_settings_ext ----------------------------------------------------------- Policy Type: Whitelisted Online Accounts ----------------------------------------------------------- [ google ] ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
Для проверки того, что правило задано, выполните:
dconf dump / \ | grep -E "(whitelisted-providers|org/gnome/online-accounts)" [org/gnome/online-accounts] whitelisted-providers=['google']