Настройка данного раздела производится на уровне settings administrators. В данном разделе описаны настройка параметров защиты учётных записей, настройка администраторов и их профилей.
12.5.5.1. Общие настройки доступа¶
Данный раздел позволяет настроить дополнительные параметры защиты учётных записей администраторов. Настройка производится на уровне settings administrators general.
Для изменения параметров необходимо использовать следующую команду
Admin@UGOS# set settings administrators general
Далее необходимо указать параметры, которые необходимо изменить:
|
Параметр |
Описание |
|---|---|
|
password |
Изменить пароля текущего администратора. |
|
unblock |
Разблокировать администратора. |
|
strong-password |
Использовать сложный пароль:
|
|
num-auth-attempts |
Установить максимальное количество неверных попыток аутентификации. |
|
block-time |
Указать время блокировки учётной записи в случае достижения администратором максимального количества попыток аутентификации; указывается в секундах (максимальное значение: 3600 секунд). |
|
min-length |
Определить минимальную длину пароля (максимальное значение: 100 символов). |
|
min-uppercase |
Определить минимальное количество символов в верхнем регистре (максимальное значение: 100 символов). |
|
min-lowercase |
Определить минимальное количество символов в нижнем регистре (максимальное значение: 100 символов). |
|
min-digits |
Определить минимальное количество цифр (максимальное значение: 100 символов). |
|
min-special-characters |
Определить минимальное количество специальных символов (максимальное значение: 100 символов). |
|
max-characters-repetition |
Указать максимальную длину блока из одного и того же символа (максимальное значение: 100 символов). |
Для просмотра текущих параметров защиты учётных записей администраторов используйте команду:
Admin@UGOS# show settings administrators general
12.5.5.2. Настройка учётных записей администраторов¶
Настройка учётных записей администраторов производится на уровне settings administrators administrators.
Для создания или обновления параметров учётной записи администратора используется следующая команда:
Admin@UGOS# create settings administrators administrators
Далее необходимо указать тип учётной записи администратора (локальный, пользователь LDAP, группа LDAP, с профилем авторизации) и указать соответствующие параметры:
|
Параметр |
Описание |
|---|---|
|
local |
Добавить локального администратора:
|
|
ldap-user |
Добавить пользователя из существующего домена (необходим корректно настроенный LDAP-коннектор; подробнее читайте в разделе Настройка LDAP-коннектора):
|
|
ldap-group |
Добавить группу пользователей из существующего домена (необходим корректно настроенный LDAP-коннектор; подробнее читайте в разделе Настройка LDAP-коннектора):
|
|
admin-auth-profile |
Добавить администратора с профилем авторизации (необходимы корректно настроенные серверы авторизации; подробнее читайте в разделе Настройка серверов авторизации):
|
Для удаления учётной записи используется команда:
Admin@UGOS# delete settings administrators administrators <admin-type> <admin-login>
Для отображения информации о всех учётных записях администраторов:
Admin@UGOS# show settings administrators administrators
Для отображения информации об определённой учётной записи администратора:
Admin@UGOS# show settings administrators administrators <admin-type> <admin-login>
12.5.5.3. Настройка прав доступа профилей администраторов¶
Настройка прав доступа профилей администраторов производится на уровне settings administrators admin-profiles.
Для создания профиля администратора предназначена следующая команда:
Admin@UGOS# create settings administrators admin-profiles
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название профиля администратора. |
|
description |
Описание профиля администратора. |
|
api-permissions |
Права доступа к API:
Возможно назначение прав сразу на все или на отдельные объекты: Admin@UGOS# create settings administrators admin-profiles ... api-permissions <permission> all или Admin@UGOS# create settings administrators admin-profiles ... api-permissions <permission> [ object ... ] |
|
webui-permissions |
Права доступа к веб-интерфейсу UserGate:
Возможно назначение прав сразу на все или на отдельные объекты: Admin@UGOS# create settings administrators admin-profiles ... webui-permissions <permission> all или Admin@UGOS# create settings administrators admin-profiles ... webui-permissions <permission> [ object ... ] |
|
cli-permissions |
Права доступа к интерфейсу командной строки (CLI):
Возможно назначение прав сразу на все или на отдельные объекты: Admin@UGOS# create settings administrators admin-profiles ... cli-permissions <permission> all или Admin@UGOS# create settings administrators admin-profiles ... cli-permissions <permission> [ object ... ] |
Следующая команда используется для обновления профиля (параметры аналогичны параметрам создания профиля администратора):
Admin@UGOS# create settings administrators admin-profiles <profile-name>
Чтобы удалить профиль администратора:
Admin@UGOS# delete settings administrators admin-profiles <profile-name>
Для просмотра информации о всех профиля администраторов:
Admin@UGOS# show settings administrators admin-profiles
Для отображения информации об определённом профиле:
Admin@UGOS# show settings administrators admin-profiles <profile-name>
12.5.5.4. Настройка сессий администраторов¶
С использованием следующих команд возможен просмотр сессий администраторов, прошедших авторизацию в веб-консоли или CLI, и закрытие сессий (уровень: settings administrators sessions).
Просмотр сессий администраторов текущего узла UserGate (возможен просмотр сессии отдельного администратора: необходимо из предложенного списка выбрать IP-адрес, с которого была произведена авторизация):
Admin@UGOS# show settings administrators sessions
Для отображения сессий доступно использование фильтра:
-
ip: IP-адрес, с которого авторизован администратор.
-
source: где была произведена авторизация: CLI (cli), веб-консоль (web) или подключение по SSH (ssh).
-
admin-login: имя администратора.
-
node: узел кластера UserGate.
Admin@UGOS# show settings administrators sessions ( node <node-name> ip <session-ip> source <cli | web | ssh> admin-login <administrator-login> )
Команда для закрытия сессии администратора; необходимо из предложенного списка выбрать IP-адрес, с которого была произведена авторизация:
Admin@UGOS# execute terminate settings administrators sessions
При закрытии сессии администраторов возможно использование фильтра ( <filter> ). Параметры фильтрации аналогичны параметрам команды show.
Admin@UGOS# execute terminate settings administrators sessions ( node <node-name> ip <session-ip> source <cli | web | ssh> admin-login <administrator-login> )