Доступ к веб-консоли UserGate регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети. Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.
Важно! При первоначальной настройке UserGate создается локальный суперпользователь Admin.
Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:
|
Наименование |
Описание |
|
Шаг 1. Создать профиль доступа администратора |
В разделе Администраторы -->Профили администраторов нажать кнопку Добавить и указать необходимые настройки |
|
Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора |
В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант: * Добавить локального администратора - создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа. * Добавить пользователя LDAP - добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль. * Добавить группу LDAP - добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль. |
При создании профиля доступа администратора необходимо указать следующие параметры:
|
Наименование |
Описание |
|
Название |
Название профиля |
|
Описание |
Описание профиля |
|
Разрешения для API |
Список объектов, доступных для делегирования доступа при работе через программный интерфейс (API). Подробное описание объектов представлено в документации на API. В качестве доступа можно указать: * Нет доступа * Чтение * Чтение и запись |
|
Разрешения для веб-консоли |
Список объектов дерева веб-консоли, доступных для делегирования. В качестве доступа можно указать: * Нет доступа * Чтение * Чтение и запись |
|
Разрешения для CLI |
Позволяет разрешить доступ к CLI. В качестве доступа можно указать: * Нет доступа * Чтение * Чтение и запись |
Администратор UserGate может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации.
Для настройки этих параметров необходимо:
|
Наименование |
Описание |
|
Шаг 1. Настроить политику паролей |
В разделе Администраторы -->Администраторы нажать кнопку Настроить |
|
Шаг 2. Заполнить необходимые поля |
Указать значения следующих полей: * Сложный пароль - включает дополнительные параметры сложности пароля, задаваемые ниже, такие как - минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа * Число неверных попыток аутентификации - количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки * Время блокировки - время, на которое блокируется учетная запись |
Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8001).
Важно! Не рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети интернет.
Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.
Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.
Для включения данного режима необходимо выполнить следующие действия (в качестве примера используется утилита openssl):
|
Наименование |
Описание |
|
Шаг 1. Создать учетные записи дополнительных администраторов |
Произвести настройку, как это описано ранее в этой главе, например, создать учетную запись администратора с именем Administrator54 |
|
Шаг 2. Создать или импортировать существующий сертификат типа УЦ авторизации веб-консоли |
Создать или импортировать существующий сертификат удостоверяющего центра (достаточно только публичного ключа) в соответствии с главой Управление сертификатами. Например, для создания УЦ с помощью утилиты openssl требуется выполнить команды: В файле ca-key.pem будет находиться приватный ключ сертификата, в ca.pem - публичный ключ. Импортировать публичный ключ в UserGate. |
|
Шаг 3. Создать сертификаты для учетных записей администраторов |
С помощью средств сторонних утилит (например, openssl) создать сертификаты для каждого из администраторов. Необходимо, чтобы поле сертификата Common name в точности совпадало с именем учетной записи администратора, как она была создана в UserGate. Для openssl и пользователя Administrator54 команды будут следующими: |
|
Шаг 4. Подписать сертификаты администраторов, созданным на шаге 2 сертификатом удостоверяющего центра |
С помощью средств сторонних утилит (например, openssl) подписать сертификаты администраторов сертификатом удостоверяющего центра веб-консоли Для openssl команды будут следующими: Файл admin.p12 содержит подписанный сертификат администратора |
|
Шаг 5. Добавить подписанные сертификаты в ОС, с которой администраторы будут авторизоваться в веб-консоль |
Добавить подписанные сертификаты администраторов (admin.p12 в нашем примере) в ОС (или в браузер Firefox, если он используется для доступа к консоли), с которой администраторы будут авторизоваться в веб-консоль. Более подробно смотрите руководство по используемой вами ОС |
|
Шаг 6. Переключите режим авторизации веб-консоли в авторизацию по сертификатам x.509 |
В разделе Настройки поменяйте Режим авторизации веб-консоли на По X.509 сертификату. |
Важно! Переключить режим авторизации веб-консоли можно с помощью команд CLI.
В разделе Администраторы --> Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования UserGate. При необходимости любую из сессий администраторов можно сбросить (закрыть).