|
|
Настройка раздела Пользователи и устройства
Настройка групп пользователей
Настройка групп пользователей производится на уровне users group.
Для добавления новой группы пользователей используется команда:
Admin@UGOS# create users group
Возможно указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Название группы пользователей.
|
|
description
|
Описание группы пользователей.
|
|
transient
|
Указать:
|
|
users
|
Добавление пользователей в группу.
|
|
ldap-users
|
Добавление пользователей LDAP. При добавлении пользователей LDAP необходимо указать LDAP-коннектор (ldap-users connector <ldap-server-name> users + [ <domain\user1> domain\user2> ... ]).
|
Для обновления информации о группе пользователей необходимо воспользоваться следующей командой (параметры, доступные для обновления, аналогичны с параметрами, доступными при создании группы):
Admin@UGOS# set users group <group-name>
С использованием следующих команд можно удалить группу пользователей или отдельных пользователей группы:
Admin@UGOS# delete users group <group-name>
Для удаления локальных пользователей:
Admin@UGOS# delete users group <group-name> users [ <user1> <user2> ... ]
Для удаления пользователей LDAP:
Admin@UGOS# delete users group <group-name> ldap-users connector <ldap-server-name> users [ <domain\user1> <domain\user2> ... ]
Для отображения настроек группы используется следующая команда:
Admin@UGOS# show users group <group-name>
Настройка пользователей производится на уровне users user.
Команда для добавления пользователей:
Admin@UGOS# create users user
Доступно указание следующих параметров:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение пользователя.
|
|
name
|
Имя пользователя.
|
|
login
|
Логин пользователя — для идентификации по имени и паролю. В этом случае потребуется настроить Captive-портал, где пользователь сможет ввести данное имя и пароль для авторизации.
|
|
password
|
Пароль пользователя — для идентификации по имени и паролю. В этом случае потребуется настроить Captive-портал, где пользователь сможет ввести данное имя и пароль для авторизации.
|
|
expiration-date
|
Срок действия учётной записи пользователя. Указывается в формате YYYY-MM-DD.
|
|
groups
|
Группы, в которые будет добавлен пользователь.
|
|
static-addresses
|
Указываются:
-
ip: IP-адреса для идентификации пользователя; пользователь всегда должен получать доступ в сеть с указанных адресов.
-
mac: МАС-адреса для идентификации пользователей; пользователь всегда должен получать доступ в сеть с указанных адресов.
-
ip-range: диапазон IP-адресов для идентификации пользователя; пользователь всегда должен получать доступ в сеть с адреса из указанного диапазона. Диапазон задаётся в формате: <IP_start-IP_end>.
-
ip-mac: идентификация пользователя с помощью комбинации MAC и IP-адресов; пользователь всегда должен получать доступ в сеть с указанных адресов. Указывается в формате <ip-mac>.
|
|
emails
|
Почтовые адреса пользователя.
|
|
phones
|
Номера телефонов пользователя.
|
Для обновления параметров учётной записи пользователя:
Admin@UGOS# set users user <user-name>
Список доступных параметров аналогичен списку параметров, доступному при создании учётной записи пользователя.
Для удаления учётной записи пользователя используется следующая команда:
Admin@UGOS# delete users user <user-login>
Также имеется возможность удаления определённой информации из учётной записи. Для удаления доступны (при удалении требуется ввод значения параметра):
-
groups.
-
static-addresses.
-
emails.
-
phones.
Команда для просмотра учётной записи пользователя:
Admin@UGOS# show users user <user-name>
Настройка серверов аутентификации
Раздел Серверы аутентификации позволяет произвести настройку LDAP-коннектора, серверов RADIUS, TACACS+, NTLM, SAML IDP. Настройка серверов аутентификации производится на уровне users auth-servers и будет рассмотрена далее в соответствующих разделах.
Для сброса авторизации пользователя по IP-адресу используется команда:
Admin@UGOS# set settings usersession terminate <ip>
Настройка LDAP-коннектора
Настройка LDAP-коннектора производится на уровне users auth-servers ldap.
Для создания LDAP-коннектора используется команда:
Admin@UGOS# create users auth-servers ldap
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Имя LDAP-коннектора.
|
|
enabled
|
Включение/отключение сервера аутентификации.
|
|
description
|
Описание LDAP-коннектора.
|
|
ssl
|
Определяет:
|
|
address
|
IP-адрес контроллера или название домена LDAP.
|
|
bind-dn
|
Имя пользователя, которое будет использоваться для подключения к серверу; указывается в формате DOMAIN\username или username@domain. Пользователь должен быть заведён в домене.
|
|
password
|
Пароль пользователя для подключения к домену.
|
|
domains
|
Список доменов, которые обслуживаются указанным контроллером домена.
|
|
search-roots
|
Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com. Если пути поиска не указаны, то поиск производится по всему каталогу, начиная от корня.
|
Команда для обновления информации о существующем LDAP-коннекторе имеет следующую структуру:
Admin@UGOS# set users auth-servers ldap <ldap-server-name>
Параметры, доступные для обновления, аналогичны параметрам создания LDAP-коннектора.
Для удаления LDAP-коннектора используется команда:
Admin@UGOS# delete users auth-servers ldap <ldap-server-name>
Также возможно удаления отдельных параметров LDAP-коннектора. Для удаления доступны следующие параметры:
Структура команды для отображения информации о LDAP-коннекторе:
Admin@UGOS# show users auth-servers ldap <ldap-server-name>
Настройка RADIUS-сервера
Настройка RADIUS-сервера производится на уровне users auth-servers radius.
Для создания сервера аутентификации RADIUS используется команда со следующей структурой:
Admin@UGOS# create users auth-servers radius
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Имя RADIUS-сервера.
|
|
enabled
|
Включение/отключение сервера аутентификации.
|
|
description
|
Описание сервера аутентификации.
|
|
secret
|
Общий ключ, используемый протоколом RADIUS для аутентификации.
|
|
addresses
|
IP-адрес и UDP-порт, на котором сервер RADIUS слушает запросы (по умолчанию порт 1812); указывается в формате <ip:port>.
|
Следующая команда используется для обновления информации о сервере RADIUS:
Admin@UGOS# set users auth-servers radius <radius-server-name>
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers radius <radius-server-name>
Также возможно удаления отдельных параметров RADIUS-сервера. Для удаления доступны следующие параметры:
Структура команды для отображения информации о RADIUS-сервере:
Admin@UGOS# show users auth-servers radius <radius-server-name>
Настройка сервера TACACS+
Настройка сервера TACACS+ производится на уровне users auth-servers tacacs.
Для создания сервера аутентификаци TACACS+ используется команда со следующей структурой:
Admin@UGOS# create users auth-servers tacacs
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Имя сервера TACACS+.
|
|
enabled
|
Включение/отключение сервера.
|
|
description
|
Описание сервера аутентификации.
|
|
secret
|
Общий ключ, используемый протоколом TACACS+ для аутентификации.
|
|
address
|
IP-адрес сервера TACACS+.
|
|
port
|
UDP-порт, на котором сервер TACACS+ слушает запросы на аутентификацию. По умолчанию это порт UDP 1812.
|
|
single-connection
|
Использовать одно TCP-соединение для работы с сервером TACACS+.
|
|
timeout
|
Время ожидания сервера TACACS+ для получения аутентификации. По умолчанию 4 секунды.
|
Следующая команда используется для обновления информации о сервере TACACS+:
Admin@UGOS# set users auth-servers tacacs <tacacs-server-name>
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers tacacs <tacacs-server-name>
Структура команды для отображения информации о сервере TACACS+:
Admin@UGOS# show users auth-servers tacacs <tacacs-server-name>
Настройка сервера NTLM
Настройка сервера NTLM производится на уровне users auth-servers ntlm.
Для создания сервера аутентифификации NTLM используется команда со следующей структурой:
Admin@UGOS# create users auth-servers ntlm
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Имя NTLM-сервера.
|
|
enabled
|
Включение/отключение сервера аутентификации.
|
|
description
|
Описание сервера аутентификации.
|
|
win-domain
|
Имя домена Windows.
|
Следующая команда используется для обновления информации о NTLM-сервере:
Admin@UGOS# set users auth-servers ntlm <ntlm-server-name>
Параметры, которые могут быть обновлены, аналогичны с параметрами команды создания сервера аутентификации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers ntlm <ntlm-server-name>
Структура команды для отображения информации о сервере NTLM:
Admin@UGOS# show users auth-servers ntlm <ntlm-server-name>
Настройка сервера SAML IDP
Настройка сервера SAML IDP производится на уровне users auth-servers saml-idp.
Для создания сервера аутентификации SAML IDP используется следующая команда:
Admin@UGOS# create users auth-servers saml-idp
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Название сервера SAML IDP.
|
|
enabled
|
Включение/отключение сервера аутентификации.
|
|
description
|
Описание сервера аутентификации.
|
|
metadata-url
|
URL на сервере SAML IDP, где можно скачать xml-файл с корректной конфигурацией для сервис-провайдера (клиента) SAML.
|
|
certificate
|
Сертификат, который будет использован в SAML-клиенте.
|
|
sso-url
|
URL, используемая в сервере SAML IDP в качестве единой точки входа. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.
|
|
sso-binding
|
Метод, используемый для работы с единой точкой входа SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.
|
|
slo-url
|
URL, используемый в сервере SAML IDP в качестве единой точки выхода. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.
|
|
slo-binding
|
Метод, используемый для работы с единой точкой выхода SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.
|
Следующая команда используется для обновления информации о сервере SAML IDP:
Admin@UGOS# set users auth-servers saml-idp <saml-idp-server-name>
Параметры, которые могут быть обновлены, аналогичны с параметрами команды создания сервера аутентификации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers saml-idp <saml-idp-server-name>
Структура команды для отображения информации о сервере SAML IDP:
Admin@UGOS# show users auth-servers saml-idp <saml-idp-server-name>
Настройка профилей аутентификации
Настройка профилей аутентификации производится на уровне users auth-profile.
Для создания профиля аутентификации используется следующая команда:
Admin@UGOS# create users auth-profile
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Название профиля MFA.
|
|
description
|
Описание профиля MFA.
|
|
mfa
|
Указание профиля мультифакторной аутентификации (если её необходимо использовать). Для указания профиль MFA должен быть создан заранее. Подробнее о создании профилей MFA с использованием интерфейса командной строки читайте в разделе Настройка профилей MFA (мультифакторной аутентификации).
|
|
idle-time
|
Время бездействия до отключения; указывается в секундах. Через указанный промежуток времени при отсутствии активности пользователь перейдёт в статус Unknown user.
|
|
expiration-time
|
Время жизни авторизованного пользователя; указывается в секундах. Через указанный промежуток времени пользователь перейдёт в статус Unknown user; необходима повторная авторизация пользователя на Captive-портале.
|
|
max-attempts
|
Число неудачных попыток авторизации через Captive-портал до блокировки учётной записи пользователя.
|
|
lockout-time
|
Время, на которое блокируется учетная запись пользователя при достижении указанного числа неудачных попыток авторизации; указывается в секундах.
|
|
auth-method
|
Метод аутентификации:
-
local-user-auth: аутентификация по базе данных локально заведенных пользователей.
-
policy-accept: не требуется аутентификация, но, прежде чем получить доступ в интернет, пользователь должен согласиться с политикой использования сети; применяется совместно с профилем Captive-портала, в котором используется страница авторизации Captive portal policy.
-
http-basic: аутентификация с помощью метода HTTP Basic.
-
ldap: аутентификация с использованием LDAP-коннектора.
-
radius: аутентификация с использованием RADIUS-сервера.
-
tacacs: аутентификация с использованием сервера TACACS+.
-
ntlm: аутентификация с использованием NTLM-сервера.
-
saml-idp: аутентификация с использованием сервера SAML IDP.
|
Следующая команда предназначена для обновления настроек профилей аутентификации:
Admin@UGOS# set users auth-profile <auth-profile-name>
Для обновления доступен список параметров, аналогичный списку параметров команды create.
Через интерфейс командной строки возможно удаления всего профиля или отдельных способов аутентификации, заданных в профиле. Для этого используются следующие команды.
Для удаления профиля аутентификации:
Admin@UGOS# delete users auth-profile <auth-profile-name>
Для удаления методов аутентификации, заданных в профиле, необходимо указать метод аутентификации (доступные методы авторизации перечислены в таблице выше):
Admin@UGOS# delete users auth-profile <auth-profile-name> auth-method
В данном разделе описана настройка правил Captive-портала; настройка производится на уровне users captive-portal. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.
Параметры правил captive-портала:
|
Параметр
|
Описание
|
|
OK
PASS
|
Действия правила Captive-портала:
|
|
enabled
|
Включение/отключение правила:
|
|
name
|
Название правила captive-портала.
Например: name("Captive rule example").
|
|
desc
|
Описание правила captive-портала.
Чтобы задать описание правила: desc("Captive portal rule example set via CLI").
|
|
profile
|
Captive-профиль указывается при использовании аутентификации на captive-портале. Например, profile("Example Captive profile").
Подробнее о создании и настройке captive-профилей читайте в разделе Настройка Captive-профилей.
|
|
rule_log
|
Включение/отключение записи срабатывания в журнал правил:
Если параметр не указан, то функция журналирования отключена.
|
|
src.zone
|
Зона источника.
Для указания зоны источника, например, Trusted: src.zone = Trusted.
Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
|
|
src.ip
|
Добавление списков IP-адресов или доменов источника.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.
Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
|
|
src.geoip
|
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU).
Коды названий стран доступны по ссылке ISO 3166-1.
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
|
|
dst.zone
|
Зона назначения трафика.
Для указания зоны назначения, например, Untrusted: dst.zone = Untrusted.
Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
|
|
dst.ip
|
Добавление списков IP-адресов или доменов назначения.
Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.
Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
|
|
dst.geoip
|
Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU).
Коды названий стран доступны по ссылке ISO 3166-1.
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
|
|
category
|
Списки категорий и категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию.
Для указания списка категорий URL: category = lib.category(); в скобках необходимо указать название списка категорий URL.
Подробнее о создании и настройке категорий URL с использованием интерфейса командной строки читайте в разделе Настройка категорий URL.
Для указания категории URL: category = "URL category name".
|
|
url
|
Списки URL, для которых будет применяться правило.
Для указания списка URL: url = lib.url(); в скобках необходимо указать название списка URL.
|
|
time
|
Настройка расписания работы правила.
Для установки расписания: time = lib.time(); в скобках необходимо указать название группы календарей. Подробнее о настройке календарей читайте в разделе Настройка календарей.
|
Настройка Captive-профилей
Настройка Captive-профилей производится на уровне users captive-profiles.
Для создания Captive-профиля необходимо использовать следующую команду:
Admin@UGOS# create users captive-profiles
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Название captive-профиля.
|
|
description
|
Описание captive-профиля.
|
|
auth-template
|
Шаблон страницы авторизации.
|
|
auth-mode
|
Метод идентификации, с помощью которого UserGate запомнит пользователя:
-
ip — Запоминать IP-адрес. После успешной авторизации пользователя через Captive-портал UserGate запоминает IP-адрес пользователя, и все последующие соединения с этого IP-адреса будут относятся к данному пользователю; устанавливается по умолчанию.
-
cookie — Запоминать cookie. После успешной авторизации пользователя через Captive-портал UserGate добавляет в браузер пользователя cookie, с помощью которого идентифицирует последующие соединения данного пользователя.
|
|
auth-profile
|
Профиль аутентификации, определяющий методы аутентификации. Подробнее о настройке профилей авторизации с использованием CLI смотрите в разделе Настройка профилей аутентификации.
|
|
custom-redirect
|
URL, куда будет перенаправлен пользователь после успешной авторизации с помощью Captive-портала. Если не заполнено, то пользователь переходит на запрошенный им URL.
|
|
use-cookie
|
Возможность сохранения авторизации в браузере на указанное время. Для сохранения информации используются cookie.
|
|
cookie-exptime
|
Время, на которое будет сохранена авторизация; задаётся в часах.
|
|
enable-ldap
|
Возможность выбора домена AD/LDAP на странице авторизации:
|
|
use-captcha
|
Использование CAPTCHA: пользователю будет предложено ввести код, который ему будет показан на странице авторизации Captive-портала:
|
|
use-https
|
Использование HTTPS при отображении страницы авторизации Captive-портала. Необходимо иметь корректно настроенный сертификат для SSL Captive-портала.
|
|
notification-profile
|
Профиль оповещения, который будет использоваться для отсылки гостевым пользователям информации о созданном пользователе и его пароле. Подробнее о настройке профилей оповещений с использованием CLI смотрите в разделе Настройка профилей оповещений.
|
|
notification-sender
|
Отправитель сообщения. Указать имя (в случае использования SMPP-профиля) или email (в случае использования SMTP-профиля).
|
|
notification-subject
|
Тема оповещения при использовании оповещений по email.
|
|
notification-body
|
Тело письма. В письме можно использовать специальные переменные {login} и {password}, которые будут заменены на имя пользователя и его пароль. Текст оповещения обособляется кавычками ("").
|
|
exp-time
|
Дата и время, когда учетная запись временного пользователя будет отключена. Указывается в формате: yyyy-mm-ddThh:mm:ssZ.
|
|
session-ttl
|
Продолжительность времени с момента первой авторизации временного пользователя, по истечении которого его учетная запись будет отключена; задаётся в часах.
|
|
password-len
|
Длина пароля 1 — 15 символов.
|
|
password-complexity
|
Сложность пароля:
-
num: использование только цифр.
-
alpha_num: использование букв и цифр.
-
alpha_num_special: использование букв, цифр и специальных символов.
|
|
ta-groups
|
Группа для временных пользователей, в которую будут помещены создаваемые пользователи.
|
Для обновления профиля необходимо использовать следующую команду:
Admin@UGOS# set users captive-profiles <captive-profile-name>
При обновлении настроек captive-профиля доступны параметры, аналогичные параметрам, доступным при создании профиля.
Для удаления профиля используется команда:
Admin@UGOS# delete users captive-profiles <captive-profile-name>
Также, с использованием следующей команды, доступно удаление групп для временных пользователей (всегда должна быть указана хотя бы одна группа для временных пользователей):
Admin@UGOS# delete users captive-profiles <captive-profile-name> ta-groups
Команда для отображения настроек captive-профиля:
Admin@UGOS# show users captive-profiles <captive-profile-name>
Настройка терминальных серверов
В данном разделе описана настройка терминальных серверов с использованием интерфейса командной строки. Настройка производится на уровне users terminal-servers.
Для создания терминального сервера необходимо ввести следующую команду:
Admin@UGOS# create users terminal-servers
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение терминального сервера:
|
|
name
|
Название терминального сервера.
|
|
description
|
Описание терминального сервера.
|
|
host
|
IP-адрес хоста. Для добавления нескольких адресов укажите их через пробел.
|
Следующая команда предназначена для обновления параметров (параметры приведены выше в таблице) терминального сервера:
Admin@UGOS# set users terminal-servers <terminal-server-name>
Команда удаления терминального сервера:
Admin@UGOS# delete users terminal-servers <terminal-server-name>
Также возможно удаление отдельных хостов. Для удаления необходимо уточнить их адреса:
Admin@UGOS# delete users terminal-servers <terminal-server-name> host
Для отображения информации о терминальном сервере необходимо использовать команду:
Admin@UGOS# show users terminal-servers <terminal-server-name>
Настройка профилей MFA (мультифакторной аутентификации)
Данный раздел описывает настройку профилей мультифакторной аутентификации с использованием CLI. Настройка профилей MFA производится на уровне users mfa-profiles. Можно создать несколько типов профилей:
-
MFA через TOTP: использование токена TOTP (Time-based One Time Password) в качестве второго фактора аутентификации.
-
MFA через email: использование одноразового пароля, полученного по email, в качестве второго фактора аутентификации.
-
MFA через SMS: использование одноразового пароля, полученного по SMS, в качестве второго фактора аутентификации.
Команда для удаления профиля мультифакторной аутентификации:
Admin@UGOS# delete users mfa-profiles <mfa-name>
Для отображения информации о всех профилях или об определённом профиле MFA используются следующие команды:
Admin@UGOS# show users mfa-profiles
Admin@UGOS# set users mfa-profilesz <mfa-name>
Настройка MFA через TOTP
В зависимости от выбранного способа получения первоначального кода для инициализации TOTP (на странице Captive-портала, по email, по SMS) будет доступен разный список параметров, которые необходимо указать. Получение возможно:
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Название профиля MFA.
|
|
description
|
Описание профиля MFA.
|
|
totp-qr-code
|
QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента.
|
|
notification-sender
|
Отправитель сообщения. Указать имя (в случае использования SMPP-профиля) или email (в случае использования SMTP-профиля).
|
|
notification-subject
|
Тема оповещения при использовании оповещений по email.
|
|
notification-body
|
Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").
|
Для обновления параметров используется следующая команда:
Admin@UGOS# set users mfa-profiles mfa-totp <mfa-totp-name>
Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.
Настройка MFA через email
Команда для добавления нового профиля мультифакторной аутентификации через email:
Admin@UGOS# create users mfa-profiles mfa-email smtp <smtp-profile>
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Название профиля MFA.
|
|
description
|
Описание профиля MFA.
|
|
notification-sender
|
Email отправителя сообщения.
|
|
notification-subject
|
Тема оповещения.
|
|
notification-body
|
Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").
|
|
code-lifetime
|
Срок действия одноразового пароля; указывается в секундах.
|
Для обновления параметров используется следующая команда:
Admin@UGOS# set users mfa-profiles mfa-email <mfa-email-profile>
Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.
Настройка MFA через SMS
Команда для добавления нового профиля мультифакторной аутентификации через SMS:
Admin@UGOS# create users mfa-profiles mfa-sms smpp <smpp-profile>
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Название профиля MFA.
|
|
description
|
Описание профиля MFA.
|
|
notification-sender
|
Имя отправителя сообщения.
|
|
notification-body
|
Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").
|
|
code-lifetime
|
Срок действия одноразового пароля; указывается в секундах.
|
Для обновления параметров используется следующая команда:
Admin@UGOS# set users mfa-profiles mfa-sms <mfa-sms-profile>
Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.
Настройка применения политик к пользователям
Для локальных пользователей UserGate политики применяются автоматически.
Если пользователи проходят аутентификацию через LDAP-коннектор, NTLM или Kerberos, то для применения политик к пользователям (в случаях добавления новой LDAP-группы или пользователя в группу, создания правила и применения его к группе LDAP) необходимо сбросить сессии всех пользователей и произвести очистку кэша LDAP-записей на UserGate.
С помощью интерфейса командной строки CLI можно сбросить сессии отдельных пользователей. Команда выполняется в режиме конфигурации (configure), для выполнения команды необходимо знать IP-адрес пользователя:
Admin@UGOS# execute terminate usersession <IP-address>
Для очистки кэша используется команда:
Admin@UGOS# execute cache ldap-clear
|
