Смоленск 1.4 В ALD домене отваливается smb шара

kostia

New member
Сообщения
157
#1
Возможно проблема известная, поэтому для начала кратко.
Развернут домен на Astra-Linux 1.4 SE. С сервера ALD экспортируется каталог /opt/data, на клиентах он монтируется посредством pam_mount так же в каталог /opt/data.
В каталоге /opt/data созданы подкаталоги ns, s, ss соответственно не секретно, секретно, совсекретно. Когда пользователь на клиенте логиниться в систему под не нулевым мандатным уровнем, шара корректно монтируется. Но если в течении 12 - 15 минут не заходить в подмонтированный каталог, просто бездейстовать, то в каталоге /opt/data на клиенте остаётся видимым только не секретный каталог. Если на секретные каталоги выставить признак ccnr, то они остаются видимыми и после 12 - 15 минут бездействия но, что самое интересное, создаваемые в секретном мандатном уровне файлы в этом каталоге получают нулевую мандатную метку, т.е. являются не секретными! А это понижение уровня секретности!
Готов предоставить все необходимые логи. Да даже по ssh могу пустить на стенд.
 

cogniter

Moderator
Team Astra Linux
Сообщения
142
#2
зачем вы ставите флаг ccnr, который позволяет игнорировать мандатную политику?
 

kostia

New member
Сообщения
157
#3
флаг ccnr не игнорирует мандатную политику, флаг ccnr позволяет в один контейнер записывать информацию с разным уровнем секретности. Разве нет?
Ну и получается, что в секретной сесси пользователя создается не секретный файл на самбовой шаре, а такого быть не должно. Но это второй вопрос. Первый вопрос, почему через некторое время бездействия пользователя в секретной сессии на самбовой шаре перестают отображаться каталоги (и файлы) с мандатным уровнем выше чем не секретно?
 

kostia

New member
Сообщения
157
#4
Всё, похоже докопался до причины. В ALD есть шаблон конфигурационного файла для самбы /etc/ald/config-templates/smb.conf
В этом шаблоне в секции global задан параметр deadtime = 10
из описания
Значением данного параметра (десятичное целое число) является время бездействия в минутах, по истечении которого соединение считается утраченным и происходит разъединение. Этот параметр срабатывает, если нет открытых файлов. Он используется для освобождения ресурсов сервера, нагруженного большим количеством неактивных соединений. Если соединение разрывается, большинство клиентов подключаются к серверу повторно, поэтому параметр прозрачен для пользователя. Для большинства систем рекомендуется устанавливать параметр времени ожидания в несколько минут. Установка этого параметра в ‘0′ говорит о том, что соединение разрываться не будет.
Установил в 0, теперь в шаре всегда отображаются и секретные файлы тоже.
Но вообще это глюк, после переустановления соединения мандатный контент тоже должен подниматься.