Мандатное управление доступом

Зона ответственности: Printum + Заказчик / Интегратор 
 Коротко: Printum поддерживает работу в средах, использующих мандатное управление доступом на базе SELinux. Ограничения доступа процессов реализуются средствами операционной системы и профилей безопасности. 
 Требование 
 Система должна обеспечивать возможность эксплуатации в средах, использующих мандатное управление доступом. 
 Мандатное управление доступом позволяет ограничивать действия процессов независимо от полномочий пользователя и предотвращать выполнение несанкционированных операций. 
 Как это реализовано в Printum 
 Поддержка мандатного управления доступом реализуется за счёт использования SELinux и специализированных профилей безопасности для компонентов Printum. 
 При использовании SELinux в режиме Enforcing процессы Мониторинга, ПринтМенеджера и Агентов работают в соответствии с установленными политиками безопасности и могут выполнять только разрешённые действия. 
 Ограничения доступа определяются профилями безопасности и контролируются средствами операционной системы. 
 Такой подход позволяет реализовать принцип: 
 запрещено всё, что явно не разрешено политикой безопасности. 
 Что требуется от инфраструктуры 
 Для использования мандатного управления доступом необходимо: 
 
 использовать операционную систему с поддержкой SELinux; 
 включить SELinux; 
 установить профили безопасности Printum; 
 использовать режим Enforcing. 
 
 Настройка и сопровождение SELinux выполняются администраторами инфраструктуры заказчика. 
 Ограничения и особенности 
 Мандатное управление доступом обеспечивается средствами операционной системы и не функционирует при отключённом SELinux.