Доступ к веб-консоли UserGate регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети. Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.
Примечание
При первоначальной настройке UserGate создается локальный суперпользователь Admin.
Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:
Наименование |
Описание |
---|---|
Шаг 1. Создать профиль доступа администратора. |
В разделе Администраторы --> Профили администраторов нажать кнопку Добавить и указать необходимые настройки. |
Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора. |
В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:
|
При создании профиля доступа администратора необходимо указать следующие параметры:
Наименование |
Описание |
---|---|
Название |
Название профиля. |
Описание |
Описание профиля. |
Разрешения для API |
Список объектов, доступных для делегирования доступа при работе через программный интерфейс (API). Объекты описаны документации API. В качестве доступа можно указать:
|
Разрешения для веб-консоли |
Список объектов дерева веб-консоли, доступных для делегирования. В качестве доступа можно указать:
|
Разрешения для CLI |
Позволяет разрешить доступ к CLI. В качестве доступа можно указать:
|
Администратор UserGate может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации.
Для настройки этих параметров необходимо:
Наименование |
Описание |
---|---|
Шаг 1. Настроить политику паролей. |
В разделе Администраторы --> Администраторы нажать кнопку Настроить. |
Шаг 2. Заполнить необходимые поля. |
Указать значения следующих полей:
|
Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8001).
Примечание
Не рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети интернет.
Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе Контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.
Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.
Для включения данного режима необходимо выполнить следующие действия (в качестве примера используется утилита openssl):
Наименование |
Описание |
---|---|
Шаг 1. Создать учетные записи дополнительных администраторов. |
Произвести настройку, как это описано ранее в этой главе, например, создать учетную запись администратора с именем Administrator54. |
Шаг 2. Создать или импортировать существующий сертификат типа УЦ авторизации веб-консоли. |
Создать или импортировать существующий сертификат удостоверяющего центра (достаточно только публичного ключа) в соответствии с главой Управление сертификатами. Например, для создания УЦ с помощью утилиты openssl требуется выполнить команды: openssl req -x509 -subj '/C=RU/ST=Moscow/O= MyCompany /CN=ca.mycompany.com' -newkey rsa:2048 -keyout ca-key.pem -out ca.pem -nodes
openssl rsa -in ca-key.pem -out ca-key.pem
В файле ca-key.pem будет находиться приватный ключ сертификата, в ca.pem - публичный ключ. Импортировать публичный ключ в UserGate. |
Шаг 3. Создать сертификаты для учетных записей администраторов. |
С помощью средств сторонних утилит (например, openssl) создать сертификаты для каждого из администраторов. Необходимо, чтобы поле сертификата Common name в точности совпадало с именем учетной записи администратора, как она была создана в UserGate. Для openssl и пользователя Administrator54 команды будут следующими: openssl req -subj '/C=RU/ST=Moscow/O= MyCompany /CN=Administrator54' -out admin.csr -newkey rsa:2048 -keyout admin-key.pem -nodes |
Шаг 4. Подписать сертификаты администраторов, созданным на шаге 2 сертификатом удостоверяющего центра. |
С помощью средств сторонних утилит (например, openssl) подписать сертификаты администраторов сертификатом удостоверяющего центра веб-консоли. Для openssl команды будут следующими: openssl x509 -req -days 9999 -CA ca.pem -CAkey ca-key.pem -set_serial 1 -in admin.csr -out admin.pem
openssl pkcs12 -export -in admin.pem -inkey admin-key.pem -out admin.p12 -name 'Administrator54 client certificate'
Файл admin.p12 содержит подписанный сертификат администратора. |
Шаг 5. Добавить подписанные сертификаты в ОС, с которой администраторы будут авторизоваться в веб-консоль. |
Добавить подписанные сертификаты администраторов (admin.p12 в нашем примере) в ОС (или в браузер Firefox, если он используется для доступа к консоли), с которой администраторы будут авторизоваться в веб-консоль. Более подробно смотрите руководство по используемой вами ОС. |
Шаг 6. Переключите режим авторизации веб-консоли в авторизацию по сертификатам x.509. |
В разделе Настройки поменяйте Режим авторизации веб-консоли на По X.509 сертификату. |
Примечание
Переключить режим авторизации веб-консоли можно с помощью команд CLI.
В разделе Администраторы --> Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования UserGate. При необходимости любую из сессий администраторов можно сбросить (закрыть).