4.4. Управление доступом к консоли UserGate

Доступ к веб-консоли UserGate регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети. Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.

Примечание

При первоначальной настройке UserGate создается локальный суперпользователь Admin.

Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать профиль доступа администратора.

В разделе Администраторы --> Профили администраторов нажать кнопку Добавить и указать необходимые настройки.

Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора.

В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:

  • Добавить локального администратора - создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа.

  • Добавить пользователя LDAP - добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.

  • Добавить группу LDAP - добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.

  • Добавить администратора с профилем авторизации - создать пользователя, назначить созданный ранее профиль администратора и профиль авторизации (необходимы корректно настроенные серверы авторизации).

При создании профиля доступа администратора необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля.

Описание

Описание профиля.

Разрешения для API

Список объектов, доступных для делегирования доступа при работе через программный интерфейс (API). Объекты описаны документации API. В качестве доступа можно указать:

  • Нет доступа.

  • Чтение.

  • Чтение и запись.

Разрешения для веб-консоли

Список объектов дерева веб-консоли, доступных для делегирования. В качестве доступа можно указать:

  • Нет доступа.

  • Чтение.

  • Чтение и запись.

Разрешения для CLI

Позволяет разрешить доступ к CLI. В качестве доступа можно указать:

  • Нет доступа.

  • Чтение.

  • Чтение и запись.

Администратор UserGate может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации.

Для настройки этих параметров необходимо:

Наименование

Описание

Шаг 1. Настроить политику паролей.

В разделе Администраторы --> Администраторы нажать кнопку Настроить.

Шаг 2. Заполнить необходимые поля.

Указать значения следующих полей:

  • Сложный пароль - включает дополнительные параметры сложности пароля, задаваемые ниже, такие как - минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа.

  • Число неверных попыток аутентификации - количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки.

  • Время блокировки - время, на которое блокируется учетная запись.

Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8001).

Примечание

Не рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети интернет.

Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе Контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.

Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.

Для включения данного режима необходимо выполнить следующие действия (в качестве примера используется утилита openssl):

Наименование

Описание

Шаг 1. Создать учетные записи дополнительных администраторов.

Произвести настройку, как это описано ранее в этой главе, например, создать учетную запись администратора с именем Administrator54.

Шаг 2. Создать или импортировать существующий сертификат типа УЦ авторизации веб-консоли.

Создать или импортировать существующий сертификат удостоверяющего центра (достаточно только публичного ключа) в соответствии с главой Управление сертификатами.

Например, для создания УЦ с помощью утилиты openssl требуется выполнить команды:

openssl req -x509 -subj '/C=RU/ST=Moscow/O= MyCompany /CN=ca.mycompany.com' -newkey rsa:2048 -keyout ca-key.pem -out ca.pem -nodes
openssl rsa -in ca-key.pem -out ca-key.pem

В файле ca-key.pem будет находиться приватный ключ сертификата, в ca.pem - публичный ключ. Импортировать публичный ключ в UserGate.

Шаг 3. Создать сертификаты для учетных записей администраторов.

С помощью средств сторонних утилит (например, openssl) создать сертификаты для каждого из администраторов. Необходимо, чтобы поле сертификата Common name в точности совпадало с именем учетной записи администратора, как она была создана в UserGate.

Для openssl и пользователя Administrator54 команды будут следующими:

openssl req -subj '/C=RU/ST=Moscow/O= MyCompany /CN=Administrator54' -out admin.csr -newkey rsa:2048 -keyout admin-key.pem -nodes

Шаг 4. Подписать сертификаты администраторов, созданным на шаге 2 сертификатом удостоверяющего центра.

С помощью средств сторонних утилит (например, openssl) подписать сертификаты администраторов сертификатом удостоверяющего центра веб-консоли.

Для openssl команды будут следующими:

openssl x509 -req -days 9999 -CA ca.pem -CAkey ca-key.pem -set_serial 1 -in admin.csr -out admin.pem
openssl pkcs12 -export -in admin.pem -inkey admin-key.pem -out admin.p12 -name 'Administrator54 client certificate'

Файл admin.p12 содержит подписанный сертификат администратора.

Шаг 5. Добавить подписанные сертификаты в ОС, с которой администраторы будут авторизоваться в веб-консоль.

Добавить подписанные сертификаты администраторов (admin.p12 в нашем примере) в ОС (или в браузер Firefox, если он используется для доступа к консоли), с которой администраторы будут авторизоваться в веб-консоль. Более подробно смотрите руководство по используемой вами ОС.

Шаг 6. Переключите режим авторизации веб-консоли в авторизацию по сертификатам x.509.

В разделе Настройки поменяйте Режим авторизации веб-консоли на По X.509 сертификату.

Примечание

Переключить режим авторизации веб-консоли можно с помощью команд CLI.

В разделе Администраторы --> Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования UserGate. При необходимости любую из сессий администраторов можно сбросить (закрыть).