public/admx-basealt
1
0
Fork 0
mirror of https://github.com/altlinux/admx-basealt.git synced 2025-03-28 06:50:49 +03:00
Code Issues Projects Releases Wiki Activity

Add sssd controls in separate category

Browse Source 
In Services/SSSD added next controls:
- sssd-ad-gpo-acess-control
- sssd-ad-gpo-cache-credentials
- sssd-ad-gpo-ignore-unreadable
- sssd-dyndns-update
- sssd-dyndns-update-ptr
This commit is contained in:
Alenka Glukhovskaya 2021-02-04 19:38:32 +04:00
parent f35ff4ef49
commit 58ead041df
6 changed files with 366 additions and 0 deletions

3
BaseALT.admx

@ -64,6 +64,9 @@
<category name="ALT_Services" displayName="$(string.ALT_Services)" explainText="$(string.ALT_Services_Help)">
<parentCategory ref="ALT_System" />
</category>
<category name="ALT_SSSD" displayName="$(string.ALT_SSSD)" explainText="$(string.ALT_SSSD_Help)">
<parentCategory ref="ALT_Services" />
</category>
<category name="ALT_Network" displayName="$(string.ALT_Network)" explainText="$(string.ALT_Network_Help)">
<parentCategory ref="ALT_System" />
</category>

143
BaseALTControl.admx

@ -849,6 +849,149 @@
<string>disabled</string>
</disabledValue>
</policy>
<policy class="Machine" displayName="$(string.sssd-ad-gpo-access-control)" explainText="$(string.sssd-ad-gpo-access-control_help)" key="Software\BaseALT\Policies\Control" name="sssd-ad-gpo-access-control" presentation="$(presentation.sssd-ad-gpo-access-control)">
<parentCategory ref="system:ALT_SSSD"/>
<supportedOn ref="system:SUPPORTED_AltP9"/>
<elements>
<enum id="sssd-ad-gpo-access-control_setter" required="true" valueName="sssd-ad-gpo-access-control">
<item displayName="$(string.sssd-ad-gpo-access-control_enforced)">
<value>
<string>enforced</string>
</value>
</item>
<item displayName="$(string.sssd-ad-gpo-access-control_permissived)">
<value>
<string>permissived</string>
</value>
</item>
<item displayName="$(string.sssd-ad-gpo-access-control_disabled)">
<value>
<string>disabled</string>
</value>
</item>
<item displayName="$(string.sssd-ad-gpo-access-control_default)">
<value>
<string>default</string>
</value>
</item>
</enum>
</elements>
</policy>
<policy class="Machine" displayName="$(string.sssd-ad-gpo-ignore-unreadable)" explainText="$(string.sssd-ad-gpo-ignore-unreadable_help)" key="Software\BaseALT\Policies\Control" name="sssd-ad-gpo-ignore-unreadable" presentation="$(presentation.sssd-ad-gpo-ignore-unreadable)">
<parentCategory ref="system:ALT_SSSD"/>
<supportedOn ref="system:SUPPORTED_AltP9"/>
<elements>
<enum id="sssd-ad-gpo-ignore-unreadable_setter" required="true" valueName="sssd-ad-gpo-ignore-unreadable">
<item displayName="$(string.sssd-ad-gpo-ignore-unreadable_enabled)">
<value>
<string>enabled</string>
</value>
</item>
<item displayName="$(string.sssd-ad-gpo-ignore-unreadable_disabled)">
<value>
<string>disabled</string>
</value>
</item>
<item displayName="$(string.sssd-ad-gpo-ignore-unreadable_default)">
<value>
<string>default</string>
</value>
</item>
</enum>
</elements>
</policy>
<policy class="Machine" displayName="$(string.sssd-cache-credentials)" explainText="$(string.sssd-cache-credentials_help)" key="Software\BaseALT\Policies\Control" name="sssd-cache-credentials" presentation="$(presentation.sssd-cache-credentials)">
<parentCategory ref="system:ALT_SSSD"/>
<supportedOn ref="system:SUPPORTED_AltP9"/>
<elements>
<enum id="sssd-cache-credentials_setter" required="true" valueName="sssd-cache-credentials">
<item displayName="$(string.sssd-cache-credentials_enabled)">
<value>
<string>enabled</string>
</value>
</item>
<item displayName="$(string.sssd-cache-credentials_disabled)">
<value>
<string>disabled</string>
</value>
</item>
<item displayName="$(string.sssd-cache-credentials_default)">
<value>
<string>default</string>
</value>
</item>
</enum>
</elements>
</policy>
<policy class="Machine" displayName="$(string.sssd-drop-privileges)" explainText="$(string.sssd-drop-privileges_help)" key="Software\BaseALT\Policies\Control" name="sssd-drop-privileges" presentation="$(presentation.sssd-drop-privileges)">
<parentCategory ref="system:ALT_SSSD"/>
<supportedOn ref="system:SUPPORTED_AltP9"/>
<elements>
<enum id="sssd-drop-privileges_setter" required="true" valueName="sssd-drop-privileges">
<item displayName="$(string.sssd-drop-privileges_privileged)">
<value>
<string>privileged</string>
</value>
</item>
<item displayName="$(string.sssd-drop-privileges_unprivileged)">
<value>
<string>unprivileged</string>
</value>
</item>
<item displayName="$(string.sssd-drop-privileges_default)">
<value>
<string>default</string>
</value>
</item>
</enum>
</elements>
</policy>
<policy class="Machine" displayName="$(string.sssd-dyndns-update)" explainText="$(string.sssd-dyndns-update_help)" key="Software\BaseALT\Policies\Control" name="sssd-dyndns-upudate" presentation="$(presentation.sssd-dyndns-update)">
<parentCategory ref="system:ALT_SSSD"/>
<supportedOn ref="system:SUPPORTED_AltP9"/>
<elements>
<enum id="sssd-dyndns-update_setter" required="true" valueName="sssd-dyndns-update">
<item displayName="$(string.sssd-dyndns-update_enabled)">
<value>
<string>enabled</string>
</value>
</item>
<item displayName="$(string.sssd-dyndns-update_disabled)">
<value>
<string>disabled</string>
</value>
</item>
<item displayName="$(string.sssd-dyndns-update_default)">
<value>
<string>default</string>
</value>
</item>
</enum>
</elements>
</policy>
<policy class="Machine" displayName="$(string.sssd-dyndns-update-ptr)" explainText="$(string.sssd-dyndns-update-ptr_help)" key="Software\BaseALT\Policies\Control" name="sssd-dyndns-upudate-ptr" presentation="$(presentation.sssd-dyndns-update)">
<parentCategory ref="system:ALT_SSSD"/>
<supportedOn ref="system:SUPPORTED_AltP9"/>
<elements>
<enum id="sssd-dyndns-update_setter" required="true" valueName="sssd-dyndns-update-ptr">
<item displayName="$(string.sssd-dyndns-update-ptr_enabled)">
<value>
<string>enabled</string>
</value>
</item>
<item displayName="$(string.sssd-dyndns-update-ptr_disabled)">
<value>
<string>disabled</string>
</value>
</item>
<item displayName="$(string.sssd-dyndns-update-ptr_default)">
<value>
<string>default</string>
</value>
</item>
</enum>
</elements>
</policy>
<policy class="Machine" displayName="$(string.su)" explainText="$(string.su_help)" key="Software\BaseALT\Policies\Control" name="su" presentation="$(presentation.su)">
<parentCategory ref="system:ALT_Security"/>
<supportedOn ref="system:SUPPORTED_AltP8"/>

2
en-US/basealt.adml

@ -19,6 +19,8 @@
<string id="ALT_Security_Help">Configuration of security components settings.</string>
<string id="ALT_Services">Services</string>
<string id="ALT_Services_Help">Configuration of system services settings.</string>
<string id="ALT_SSSD">SSSD</string>
<string id="ALT_SSSD_Help">SSSD options configuration.</string>
<string id="ALT_Network">Network Applications</string>
<string id="ALT_Network_Help">Configuration of system.</string>
<string id="ALT_CD_DVD">CD/DVD Applications</string>

110
en-US/basealtcontrol.adml

@ -497,6 +497,92 @@ Enable — GSS API support on sshd client is disabled
Disable — GSS API support on sshd client is disabled
</string>
<string id="sssd-ad-gpo-access-control">SSSD option for GPO-based access control</string>
<string id="sssd-ad-gpo-access-control_help">This policy defines SSSD option specifies the operation mode for GPO-based access control functionality
Enforced — SSSD GPO-based access control rules are evaluated and enforced
Permissived — SSSD GPO-based access control rules are evaluated, but not enforced
Disabled — SSSD GPO-based access control rules are neither evaluated nor enforced
Default — SSSD GPO-based access control rules are evaluated and enforced
</string>
<string id="sssd-ad-gpo-access-control_enforced">Enforced</string>
      <string id="sssd-ad-gpo-access-control_permissived">Permissived</string>
      <string id="sssd-ad-gpo-access-control_disabled">Disabled</string>
      <string id="sssd-ad-gpo-access-control_default">Default</string>
<string id="sssd-ad-gpo-ignore-unreadable">SSSD option for ignore unreadable GPO's</string>
<string id="sssd-ad-gpo-ignore-unreadable_help">This policy defines ignore policy for SSSD if GPO (group policy AD object) templates (GPT) are not readable for SSSD
Enabled — Ignore group policies if theirs attributes in GPT are not readable for SSSD
Disabled — Deny access SSSD AD users when group policy templates are not readable
Default — Deny access SSSD AD users when group policy templates are not readable
</string>
<string id="sssd-ad-gpo-ignore-unreadable_enabled">Enabled</string>
      <string id="sssd-ad-gpo-ignore-unreadable_disabled">Disabled</string>
      <string id="sssd-ad-gpo-ignore-unreadable_default">Default</string>
<string id="sssd-cache-credentials">SSSD option for user password is cached</string>
<string id="sssd-cache-credentials_help">This policy determines SSSD user credentials are also cached in the local LDB cache
Enabled — SSSD users credentials cached in the local LDB cache is enabled
Disabled — SSSD users credentials cached in the local LDB cache is disabled
Default — SSSD users credentials cached in the local LDB cache is disabled
</string>
<string id="sssd-cache-credentials_enabled">Enabled</string>
      <string id="sssd-cache-credentials_disabled">Disabled</string>
      <string id="sssd-cache-credentials_default">Default</string>
<string id="sssd-drop-privileges">Drop the user's privileges</string>
<string id="sssd-drop-privileges_help">SSSD option drops the user's privileges to where appropriate to avoid running as the root user.
Privileged — SSSD running from privileged user (as the root user)
Unprivileged — SSSD running from unprivileged user (as the _sssd user)
Default — SSSD running from default user (different in various versions)
</string>
<string id="sssd-drop-privileges_privileged">Privileged</string>
      <string id="sssd-drop-privileges_unprivileged">Unprivileged</string>
      <string id="sssd-drop-privileges_default">Default</string>
<string id="sssd-dyndns-update">Update forward DNS record</string>
<string id="sssd-dyndns-update_help">This policy defines SSSD option specifies the automatically update DNS record (secured using GSS-TSIG) together with the IP address of this client
Enabled — Automatically update DNS record together with the IP address using SSSD is enabled
Disabled — Automatically update DNS record together with the IP address using SSSD is disabled
Default — Automatically update DNS record together with the IP address using SSSD by default is disabled
</string>
<string id="sssd-dyndns-update_enabled">Enabled</string>
      <string id="sssd-dyndns-update_disabled">Disabled</string>
      <string id="sssd-dyndns-update_default">Default</string>
<string id="sssd-dyndns-update-ptr">Update reverse DNS record</string>
<string id="sssd-dyndns-update-ptr_help">This policy defines SSSD option specifies the automatically update DNS record for forward zone (secured using GSS-TSIG) together with the PTR record for reverse zone of this client, when dyndns update in enabled only
Enabled — Automatically update DNS record together with the PTR record for reverse zone using SSSD is enabled
Disabled — Automatically update DNS record together with the PTR record for reverse zone using SSSD is disabled
Default — Automatically update DNS record together with the PTR record for reverse zone using SSSD by default is enabled
</string>
<string id="sssd-dyndns-update-ptr_enabled">Enabled</string>
      <string id="sssd-dyndns-update-ptr_disabled">Disabled</string>
      <string id="sssd-dyndns-update-ptr_default">Default</string>
<string id="su">Permissions for /bin/su</string>
<string id="su_help">This policy defines permissions for /bin/su
@ -798,6 +884,30 @@ Only root — Only superuser (root) is permitted to run /usr/bin/Xorg
<dropdownList noSort="true" defaultItem="3" refId="sshd-permit-root-login_setter">Select an operating mode:
</dropdownList>
</presentation>
<presentation id="sssd-ad-gpo-access-control">
<dropdownList noSort="true" defaultItem="0" refId="sssd-ad-gpo-access-control_setter">Select an operating mode:
</dropdownList>
</presentation>
<presentation id="sssd-ad-gpo-ignore-unreadable">
<dropdownList noSort="true" defaultItem="0" refId="sssd-ad-gpo-ignore-unreadable_setter">Select an operating mode:
</dropdownList>
</presentation>
<presentation id="sssd-cache-credentials">
<dropdownList noSort="true" defaultItem="0" refId="sssd-cache-credentials_setter">Select an operating mode:
</dropdownList>
</presentation>
<presentation id="sssd-drop-privileges">
<dropdownList noSort="true" defaultItem="0" refId="sssd-drop-privileges_setter">Select an operating mode:
</dropdownList>
</presentation>
<presentation id="sssd-dyndns-update">
<dropdownList noSort="true" defaultItem="0" refId="sssd-dyndns-update_setter">Select an operating mode:
</dropdownList>
</presentation>
<presentation id="sssd-dyndns-update-ptr">
<dropdownList noSort="true" defaultItem="1" refId="sssd-dyndns-update-ptr_setter">Select an operating mode:
</dropdownList>
</presentation>
<presentation id="su">
<dropdownList noSort="true" defaultItem="2" refId="su_setter">Who has the right to use:
</dropdownList>

2
ru-RU/basealt.adml

@ -19,6 +19,8 @@
<string id="ALT_Security_Help">Настройка параметров безопасности различных компонентов системы.</string>
<string id="ALT_Services">Службы</string>
<string id="ALT_Services_Help">Настройка параметров базовых системных служб.</string>
<string id="ALT_SSSD">SSSD опции</string>
<string id="ALT_SSSD_Help">Настройка опций SSSD.</string>
<string id="ALT_Network">Сетевые приложения</string>
<string id="ALT_Network_Help">Настройка параметров сетевых приложений.</string>
<string id="ALT_CD_DVD">Приложения для CD/DVD</string>

106
ru-RU/basealtcontrol.adml

@ -499,6 +499,88 @@ TCB — любой пользователь может изменить свой
Отключить — поддержка API GSS на клиенте sshd отключена
      </string>
<string id="sssd-ad-gpo-access-control">Режимы контроля доступа в SSSD для контроля политик</string>
<string id="sssd-ad-gpo-access-control_help">Эта политика определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на GPO
Принудительный режим — Правила управления доступом в SSSD основанные на GPO выполняются и ведётся логирование
Разрешающий режим — Такой режим необходим администратору, чтобы оценить как срабатывают новые правила. В таком режиме ведётся логирование срабатывания новых правил, но сами правила ещё не выполняются
Отключить — Правила управления доступом в SSSD основанные на GPO не логируются и не выполняются
По умолчанию — Разрешающий режим, когда правила управления доступом в SSSD основанные на GPO логируются, но не выполняются
</string>
<string id="sssd-ad-gpo-access-control_enforced">Принудительный режим</string>
      <string id="sssd-ad-gpo-access-control_permissived">Разрешающий режим</string>
      <string id="sssd-ad-gpo-access-control_disabled">Отключить</string>
      <string id="sssd-ad-gpo-access-control_default">По умолчанию</string>
<string id="sssd-ad-gpo-ignore-unreadable">Опция игнорирования политик, если они не доступны для чтения</string>
<string id="sssd-ad-gpo-ignore-unreadable_help">Эта политика определяет политику будут ли проигнорированы шаблоны (GPT) для SSSD групповой политики (GPO), если они не читаются.
Включить - игнорировать групповые политики, если их атрибуты в GPT не читаются для SSSD
Отключить - запретить доступ пользователям SSSD AD, когда шаблоны групповой политики не читаются
По умолчанию - запретить доступ пользователям SSSD AD, когда шаблоны групповой политики не читаются
</string>
<string id="sssd-ad-gpo-ignore-unreadable_enabled">Включить</string>
      <string id="sssd-ad-gpo-ignore-unreadable_disabled">Отключить</string>
      <string id="sssd-ad-gpo-ignore-unreadable_default">По умолчанию</string>
<string id="sssd-cache-credentials">Кэширование в локальном кэше LDB учетных данных пользователей для SSSD</string>
<string id="sssd-cache-credentials_help">Эта политика определяет будут ли учетные данные пользователя SSSD кэшироваться в локальном кэше LDB.
Включить - кэширование в локальном кэше LDB учетных данных пользователей для SSSD включено
Отключить - кэширование в локальном кэше LDB учетных данных пользователей для SSSD отключено
По умолчанию - кэширование в локальном кэше LDB учетных данных пользователей для SSSD отключено
</string>
<string id="sssd-cache-credentials_enabled">Включить</string>
      <string id="sssd-cache-credentials_disabled">Отключить</string>
      <string id="sssd-cache-credentials_default">По умолчанию</string>
<string id="sssd-drop-privileges">Удалить привилегии пользователя</string>
<string id="sssd-drop-privileges_help">Опция SSSD сбрасывает права пользователя там, где это необходимо, чтобы избежать работы от имени пользователя root.
Привилегированный — SSSD запущен от привилегированного пользователя (как пользователь root)
Непривилегированный — SSSD запущен от непривилегированного пользователя (как пользователь _sssd)
По умолчанию — SSSD запущен от пользователя по умолчанию (в разных версиях различается)
</string>
<string id="sssd-drop-privileges_privileged">Привилегированный</string>
      <string id="sssd-drop-privileges_unprivileged">Непривилегированный</string>
      <string id="sssd-drop-privileges_default">По умолчанию</string>
<string id="sssd-dyndns-update">Обновление DNS-записей прямой зоны</string>
<string id="sssd-dyndns-update_help">Эта политика определяет параметр SSSD, указывающий на автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) вместе с IP-адресом этого клиента. Клиент по умолчанию каждые 24 часа обновляет информацию о себе на DNS-сервере, отправляя имя и ip-адрес для прямой зоны.
Включить - включено автоматическое обновление DNS-записей.
Отключить - автоматическое обновление DNS-записей отключено.
По умолчанию - автоматическое обновление DNS-записей по умолчанию отключено.
</string>
<string id="sssd-dyndns-update_enabled">Включить</string>
      <string id="sssd-dyndns-update_disabled">Отключить</string>
      <string id="sssd-dyndns-update_default">По умолчанию</string>
<string id="sssd-dyndns-update-ptr">Обновление DNS-записей обратной зоны</string>
<string id="sssd-dyndns-update-ptr_help">Эта политика работает только если включена "Опция SSSD включает режим автоматического обновления DNS-записи самого клиента". Данная политика определяет будет ли обновляться вместе с записями прямой зоны также запись PTR для обратной зоны этого клиента.
Включить - автоматическое обновление DNS-записи обратной зоны включено.
Отключить - автоматическое обновление DNS-записи обратной зоны отключено.
По умолчанию - автоматическое обновление DNS-записи обратной зоны по умолчанию включено.
</string>
<string id="sssd-dyndns-update-ptr_enabled">Включить</string>
      <string id="sssd-dyndns-update-ptr_disabled">Отключить</string>
      <string id="sssd-dyndns-update-ptr_default">По умолчанию</string>
      <string id="su">Разрешения для /bin/su</string>
      <string id="su_help">Эта политика определяет разрешения для /bin/su
@ -795,6 +877,30 @@ SSSD — использовать метод проверки подлиннос
        <dropdownList noSort="true" defaultItem="3" refId="sshd-permit-root-login_setter">Выберите режим работы:
        </dropdownList>
      </presentation>
<presentation id="sssd-ad-gpo-access-control">
<dropdownList noSort="true" defaultItem="0" refId="sssd-ad-gpo-access-control_setter">Выберите режим работы:
</dropdownList>
</presentation>
<presentation id="sssd-ad-gpo-ignore-unreadable">
<dropdownList noSort="true" defaultItem="0" refId="sssd-ad-gpo-ignore-unreadable_setter">Выберите режим работы:
</dropdownList>
</presentation>
<presentation id="sssd-cache-credentials">
<dropdownList noSort="true" defaultItem="0" refId="sssd-cache-credentials_setter">Выберите режим работы:
</dropdownList>
</presentation>
<presentation id="sssd-drop-privileges">
<dropdownList noSort="true" defaultItem="0" refId="sssd-drop-privileges_setter">Выберите режим работы:
</dropdownList>
</presentation>
<presentation id="sssd-dyndns-update">
<dropdownList noSort="true" defaultItem="0" refId="sssd-dyndns-update_setter">Выберите режим работы:
</dropdownList>
</presentation>
<presentation id="sssd-dyndns-update-ptr">
<dropdownList noSort="true" defaultItem="1" refId="sssd-dyndns-update-ptr_setter">Выберите режим работы:
</dropdownList>
</presentation>
      <presentation id="su">
        <dropdownList noSort="true" defaultItem="2" refId="su_setter">Кто имеет право использовать:
        </dropdownList>