Управление областями
 
Управление областями (Описание)

Управляемая область UserGate — это логический объект, представляющий одно предприятие или группу предприятий, управляемых единым администратором или группой администраторов. Для управления устройствами корневой администратор UGMC (или администратор UGMC с соответствующими полномочиями) должен создать как минимум одну область и создать корневого администратора этой области.

В качестве устройств, управляемых с помощью UGMC, могут быть:

Создание управляемых областей

Управляемые области создаются администратором UGMC. Для создания управляемой области необходимо выполнить следующие действия:

1. Создать область.

2. Создать профиль администратора области.

3. Создать администратора области.

Создание области

В веб-консоли перейти в раздел Управляемые области ➜ Области, нажать кнопку Добавить, заполнить необходимые поля:

Наменование

Описание

Область по умолчанию

Если установлен этот флажок, то при авторизации в веб-консоль необязательно указывать имя области через слэш.

Название

Название области, например, ООО Юзергейт.

Код области

Код из нескольких букв и/или цифр. Код области необходимо указывать при входе в веб-консоль для управления данной областью. Например, UG.

Описание

Опциональное описание области.

Количество устройств

Если указано, то администратор области будет ограничен этим количеством и не сможет создать большее количество управляемых устройств. Заданное количество не может превышать количество лицензированных подключений.

Создание профиля администратора области

В разделе веб-консоли Администраторы ➜ Профили администраторов нажать кнопку Добавить и создать профиль администратора с типом Администратор области. В качестве управляемой области указать созданную область. 

Создание администратора области

В разделе веб-консоли Администраторы ➜ Администраторы нажать кнопку Добавить и создать администратора с созданным ранее профилем. Подробнее о создании администраторов смотрите в главе данного руководства Администраторы области.

После создания области и корневого администратора этой области можно переключиться в режим управления областью. Для этого необходимо в веб-консоли выйти из-под учетной записи администратора UGMC и заново зайти под учетной записью администратора управляемой области. Имя администратора следует указать в следующем виде:

имя_администратора/код_области, например, Admin/UG:

Для возврата в консоль под администратором UGMC необходимо указать имя в следующем виде:

имя_администратора/system, например, Admin/system:

Администраторы области

Корневой администратор управляемой области может создавать дополнительные учетные записи суб-администраторов области (региональных администраторов), делегируя им часть прав на управление областью или шаблонами.

ПримечаниеПри создании управляемой области администратор UGMC создает корневого администратора области, обладающего всеми полномочиями на данную зону.

Для создания дополнительных учетных записей суб-администраторов области необходимо выполнить следующие действия:

1. Войти в веб-консоль управления под корневым администратором области, указав имя в виде имя_администратора/код_области, например, Admin/UG:

2. Создать профиль доступа дополнительного администратора области. В консоли управления областью в разделе Администраторы ➜ Профили администраторов нажать кнопку Добавить и указать необходимые настройки:

На вкладке Общие:

  • Указать название профиля.

  • Опционально описать назначение профиля.

На вкладке Права доступа на область:

  • Указать права доступа на разделы настроек области. В качестве разрешений для доступа можно указать: Нет доступаЧтениеЧтение и запись.

На вкладках Права доступа на шаблоны ...:  

  • В строке Шаблон выбрать конкретный шаблон или Все шаблоны для настройки прав доступа.

  • В области ниже указать права доступа к настройкам шаблонов управляемых устройств. Настройки представлены в виде доступных для делегирования объектов дерева консоли управления устройств. В качестве разрешений для доступа можно указать: Нет доступаЧтениеЧтение и запись.

3. Создать учетную запись дополнительного администратора области и назначить ей один из созданных ранее профилей администратора. 

В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:

  • Добавить локального администратора — создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа.

  • Добавить пользователя LDAP — добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы аутентификации области. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.

  • Добавить группу LDAP — добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы аутентификации области. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.

  • Добавить администратора с профилем аутентификации — создать пользователя, назначить созданный ранее профиль администратора и профиль аутентификации (необходимы корректно настроенные серверы аутентификации).

Серверы аутентификации области

Серверы аутентификации — это внешние источники учетных записей пользователей для авторизации в веб-консоли управления области. Работа сервера аутентификации области аналогична работе сервера аутентификации для UGMC, отличие только в месте их использования.

LDAP-коннектор

LDAP-коннектор позволяет:

  • Получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Поддерживается работа с LDAP-сервером FreeIPA.

  • Осуществлять авторизацию администраторов UGMC через домены Active Directory/FreeIPA.

Для создания LDAP-коннектора необходимо нажать на кнопку Добавить, выбрать Добавить LDAP-коннектор и указать следующие параметры:

Наименование

Описание

Включено

Включает или отключает использование данного сервера аутентификации.

Название

Название сервера аутентификации.

SSL

Определяет, требуется ли SSL-соединение для подключения к LDAP-серверу.

Доменное имя LDAP или IP-адрес

IP-адрес контроллера домена, FQDN контроллера домена или FQDN домена (например, test.local). Если указан FQDN, то UserGate получит адрес контроллера домена с помощью DNS-запроса. Если указан FQDN домена, то при отключении основного контроллера домена, UserGate будет использовать резервный.

Bind DN («login»)

Имя пользователя, которое необходимо использовать для подключения к серверу LDAP. Имя необходимо использовать в формате DOMAIN\username или username@domain. Данный пользователь уже должен быть заведен в домене

Пароль

Пароль пользователя для подключения к домену.

Домены LDAP

Список доменов, которые обслуживаются указанным контроллером домена, например, в случае дерева доменов или леса доменов Active Directory. Здесь же можно указать короткое netbios имя домена.

Пути поиска

Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com.

После создания сервера необходимо проверить корректность параметров, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения.

Настройка LDAP-коннектора завершена. Для входа в консоль пользователям LDAP необходимо указывать имя в формате:

domain\user/system или user@domain/system

Сервер аутентификации RADIUS

Сервер аутентификации RADIUS позволяет производить авторизацию пользователей в веб-консоли UserGate, который выступает в роли RADIUS-клиента. При авторизации через RADIUS-сервер UserGate посылает на серверы RADIUS информацию с именем и паролем пользователя, а RADIUS-сервер отвечает, успешно прошла аутентификация или нет.

Для добавления сервера аутентификации RADIUS необходимо нажать Добавить, выбрать Добавить RADIUS-сервер и указать следующие параметры:

Наименование

Описание

Включено

Включение/отключение использования данного сервера аутентификации.

Название

Название сервера аутентификации RADIUS.

Описание

Описание сервера (опционально).

Секрет

Общий ключ, используемый протоколом RADIUS для аутентификации.

Адреса

Указание IP-адреса сервера и UDP-порта, на котором сервер RADIUS слушает запросы на аутентификацию (по умолчанию, 1812).

Для авторизации пользователей в веб-интерфейсе UserGate с помощью сервера RADIUS необходимо настроить профиль аутентификации. Подробнее о создании и настройке профилей читайте в разделе Профили аутентификации области.

Сервер аутентификации TACACS+

Сервер TACACS+ позволяет производить авторизацию пользователей в консоли администрирования UserGate. При использовании сервера UserGate передаёт на серверы аутентификации информацию с именем и паролем пользователя, после чего серверы TACACS+ отвечают, успешно прошла аутентификация или нет.

Для добавления сервера аутентификации RADIUS необходимо нажать Добавить, выбрать Добавить TACACS+ сервер и указать следующие параметры:

Наименование

Описание

Включено

Включение/отключение использования данного сервера аутентификации.

Название

Название сервера аутентификации TACACS+.

Описание

Описание сервера (опционально).

Секретный ключ

Общий ключ, используемый протоколом TACACS+ для аутентификации.

Адрес

IP-адрес сервера TACACS+.

Порт

UDP-порт, на котором сервер TACACS+ слушает запросы на аутентификацию.

Использовать одно TCP-соединение

Использовать одно TCP-соединение для работы с сервером TACACS+.

Таймаут (сек)

Время ожидания сервера TACACS+ для получения аутентификации. По умолчанию 4 секунды.

Для авторизации пользователей в веб-интерфейсе UserGate с помощью сервера TACACS+ необходимо настроить профиль аутентификации. Подробнее о создании и настройке профилей читайте в разделе Профили аутентификации области.

Профили аутентификации области

Профиль позволяет определить набор способов авторизации пользователей в консоли администрирования UserGate. При создании или настройке профиля достаточно указать:

Наименование

Описание

Название

Название профиля аутентификации.

Описание

Описание профиля (опционально).

Методы аутентификации

Методы аутентификации пользователей, настроенные ранее: LDAP-коннектор, серверы аутентификации RADIUS, TACACS+.

Каталоги пользователей

Для работы с каталогами пользователей необходим корректно настроенный LDAP-коннектор, который позволяет получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Пользователи и группы могут быть использованы при настройке политик, применяемых к управляемым устройствам.

ПримечаниеПри настройке политик безопасности серверы аутентификации, настраиваемые в шаблонах управляемых устройств, не используются для добавления пользователей и групп в правила.

Для создания каталога необходимо нажать на кнопку Добавить и указать следующие параметры:

Наименование

Описание

Включено

Включает или отключает использование данного LDAP-коннектора.

Название

Название LDAP-коннектора.

SSL

Определяет, требуется ли SSL-соединение для подключения к LDAP-серверу.

Доменное имя LDAP или IP-адрес

IP-адрес контроллера домена, FQDN контроллера домена или FQDN домена (например, test.local). Если указан FQDN, то UserGate получит адрес контроллера домена с помощью DNS-запроса. Если указан FQDN домена, то при отключении основного контроллера домена, UserGate будет использовать резервный.

Bind DN («login»)

Имя пользователя, которое необходимо использовать для подключения к серверу LDAP. Имя необходимо использовать в формате DOMAIN\username или username@domain. Данный пользователь уже должен быть заведен в домене.

Пароль

Пароль пользователя для подключения к домену.

Домены LDAP

Список доменов, которые обслуживаются указанным контроллером домена, например, в случае дерева доменов или леса доменов Active Directory. Здесь же можно указать короткое netbios имя домена.

Пути поиска

Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com.

После создания сервера необходимо проверить корректность параметров, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения.

Для добавления пользователя или группы пользователей LDAP в свойствах правила необходимо нажать на Добавить пользователя LDAP/Добавить группу LDAP, в поле поиска указать как минимум один символ, входящий в имена искомых объектов, после чего нажать на Поиск и выбрать необходимые группы или пользователей.