Администраторы

Иерархическая система учетных записей администраторов

В UserGate MC (UGMC) реализована иерархическая система учетных записей администраторов.

Верхний уровень (system) образуют учетные записи администраторов самой системы UGMC. 

Нижний уровень образуют учетные записи администраторов управляемых областей (Realms) — логических объектов, предназначенных для управления группой подконтрольных устройств (подробнее об управляемых областях читайте в разделе Управление областями).

При первоначальной настройке UGMC создается локальный администратор с логином Admin/system, который является корневым администратором системы. Администратор UGMC может управлять общими и сетевыми настройками UGMC, активировать лицензии UGMC, создавать и редактировать элементы системной библиотеки, управлять политиками обновления и резервного копирования, мониторить работу UGMC по системным журналам. Администратор UGMC может создавать дополнительные учетные записи суб-администраторов UGMC, делегируя им часть прав по управлению системой.

Администратор UGMC создаёт управляемые области (Realms). Управлять устройствами, входящими в управляемые области, администратор UGMC не может. Для этого администратор UGMC создает учетные записи корневых администраторов управляемых областей (Admin/Realm). Корневой администратор области имеет все права на управление областью и подконтрольными устройствами в своей области. Он может создавать серверы и профили аутентификации области, каталоги пользователей, шаблоны настроек управляемых устройств, объединять шаблоны в группы настроек и подключать к ним объекты управляемых устройств. Корневой администратор управляемой области может также создавать учетные записи суб-администраторов своей области (sub-Admin/Realm) или, иначе говоря, региональных администраторов, делегируя им права на администрирование только отдельных выделенных устройств. 

Создание учетных записей администраторов

Для создания учетных записей администраторов необходимо выполнить следующие действия:

1. Создать профиль администратора.

2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора.

Создание профиля администратора

Для создания профиля администратора в веб-консоли управления UGMC необходимо перейти в раздел Администраторы ➜ Профили администраторов, нажать кнопку Добавить и указать необходимые настройки:

1. Задать название профиля.

2. Опционально описать назначение профиля.

3. Выбрать тип администратора. Для предоставления полномочий управления системой UGMC необходимо выбрать тип Администратор UserGate Management Center. Вариант Администратор области следует выбирать при создании корневого администратора управляемой области.

4. При создании корневого администратора управляемой области выбрать управляемую область.Область должна быть создана заранее.

5. Администратор системы UGMC может выбрать делегируемые права доступа суб-администраторам системы. Корневые администраторы областей создаются с полными правами на свою область.

На вкладке Права доступа указан список объектов дерева веб-консоли, доступных для делегирования. В поле разрешений для доступа можно выбрать: Нет доступа; Чтение; Чтение и запись.

Создание учетной записи администратора

Для создания учетной записи администратора в веб-консоли управления UGMC необходимо перейти в раздел Администраторы, нажать кнопку Добавить и выбрать необходимый вариант:

• Добавить локального администратора — создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа.

• Добавить пользователя LDAP — добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы аутентификации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain/system или domain\user/system. Назначить созданный ранее профиль.

• Добавить группу LDAP — добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы аутентификации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain/system или domain\user/system. Назначить созданный ранее профиль.

• Добавить администратора с профилем аутентификации — создать пользователя, назначить созданный ранее профиль администратора и профиль аутентификации (необходимы корректно настроенные серверы аутентификации).

Дополнительные настройки

Администратор UGMC может настроить дополнительные параметры защиты учетных записей администраторов, такие как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток аутентификации.

Для настройки этих параметров в веб-консоли управления UGMC необходимо в разделе Администраторы ➜ Администраторы нажать кнопку Настроить. Далее необходимо заполнить следующие поля:

• Сложный пароль — включает дополнительные параметры сложности пароля, задаваемые ниже, такие как минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа.

• Число неверных попыток аутентификации — количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки.

• Время блокировки — время, на которое блокируется учетная запись.

В разделе Администраторы ➜ Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования UGMC. При необходимости любую из сессий администраторов можно сбросить (закрыть):

Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8010).

Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны во вкладке Контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.