Bug 47538 - Политика Съёмные запоминающие устройства всех классов: Запретить любой доступ некорректно включается/отключается для Пользователя
Summary: Политика Съёмные запоминающие устройства всех классов: Запретить любой доступ...
Status: NEW
Alias: None
Product: Branch p10
Classification: Unclassified
Component: gpupdate (show other bugs)
Version: не указана
Hardware: x86_64 Linux
: P5 normal
Assignee: Valery Sinelnikov
QA Contact: qa-p10@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2023-09-12 18:35 MSK by Vera Blagoveschenskaya
Modified: 2024-04-16 18:35 MSK (History)
2 users (show)

See Also:

Attachments
screen (745.92 KB, image/png)
2023-09-12 18:35 MSK, Vera Blagoveschenskaya 		no flags Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Vera Blagoveschenskaya 2023-09-12 18:35:20 MSK 
Created attachment 14397 [details]
screen

Стенд: Workstation 10.1 x86_64

gpui-0.2.32-alt1.x86_64
gpupdate-0.9.12.6-alt1.noarch

Выполнено Развертывание групповых политик по инструкции: https://www.altlinux.org/%D0%93%D1%80%D1%83%D0%BF%D0%BF%D0%BE%D0%B2%D1%8B%D0%B5_%D0%BF%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B8/%D0%A0%D0%B0%D0%B7%D0%B2%D1%91%D1%80%D1%82%D1%8B%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5 

1. На сервере получить UUID объекта групповой политики:
# samba-tool gpo listall | grep -B1 'Default Domain Policy' | head -1
2. На клиенте запустить приложение gpui-main с указанием объекта ГП:
$ gpui-main -p "smb://dc.samba.testdomain/sysvol/samba.testdomain/Policies/{UUID}"
3. Перейти в раздел Пользователь - Административные шаблоны - Система - Доступ к съёмным запоминающим устройствам
4. Выбрать политику Съёмные запоминающие устройства всех классов: Запретить любой доступ
- Перевести состояние во Включено
- Нажать OK
- Перезагрузить клиентскую систему
5. Проверить:
# ls -l /etc/polkit-1/rules.d/

Результат: 
# ls -l /etc/polkit-1/rules.d/
итого 4
-rw-r--r-- 1 root root 326 сен 29  2021 50-default.rules

НЕ создался файл /etc/polkit-1/rules.d/48-gpoa_disk_permissions_user.testuser.rules с содержимым: 
polkit.addRule(function (action, subject) {
        if ((action.id == "org.freedesktop.udisks2.filesystem-mount" ||
            action.id == "org.freedesktop.udisks2.filesystem-mount-system" ||
            action.id == "org.freedesktop.udisks2.filesystem-mount-other-seat") &&
            subject.user == "testuser" ) {
                return polkit.Result.NO;
        }
});

Ожидаемый результат: должен создаваться файл /etc/polkit-1/rules.d/48-gpoa_disk_permissions_user.testuser.rules

Дополнительно: Если для указанной политики попытаться выполнить еще одну настройку, например, перевести состояние Включено на Не сконфигурировано и нажать ОК, то файл 48-gpoa_disk_permissions_user.testuser.rules создается.

Такое впечатление, что политика применяется с задержкой в одну транзакцию.
Если после Не сконфигурировано выставить Отключено, то файл 48-gpoa_disk_permissions_user.testuser.rules удаляется, хотя должен оставаться, но с пустым содержимым.

Указанное поведение НЕ воспроизводится для Компьютера. Файл 49-gpoa_disk_permissions.rules воздается сразу при Включении политики.