Администраторы

Иерархическая система учетных записей администраторов

В UGMC реализована иерархическая система учетных записей администраторов. Верхний уровень (system) образуют учетные записи администраторов самой системы UGMC. Нижний уровень образуют учетные записи администраторов управляемых областей (Realm) — логических объектов, предназначенных для управления группой подконтрольных устройств (подробнее об управляемых областях — в разделе «Управление областями»).

При первоначальной настройке UGMC создается локальный администратор с логином Admin/system, который является корневым администратором системы. Администратор UGMC может управлять общими и сетевыми параметрами UGMC, активировать лицензии UGMC, создавать и редактировать элементы системной библиотеки, управлять политиками обновления и резервного копирования, мониторить работу UGMC по системным журналам. Администратор UGMC может создавать дополнительные учетные записи субадминистраторов UGMC, делегируя им часть прав по управлению системой.

Администратор UGMC также создает управляемые области (Realm), но при этом не обладает полномочиями на управление устройствами, входящими в эти области. Для этого администратор UGMC создает учетные записи корневых администраторов управляемых областей (Admin/Realm). Корневой администратор области имеет все права на управление областью и относящимися к ней устройствами. Он может создавать серверы и профили аутентификации области, каталоги пользователей, шаблоны параметров управляемых устройств, объединять шаблоны в группы и подключать к ним объекты управляемых устройств. Корневой администратор управляемой области может также создавать учетные записи субадминистраторов (региональных администраторов) своей области (sub-Admin/Realm), делегируя им права на администрирование только отдельных выделенных устройств.

Управление учетными записями администраторов

Чтобы добавить администратора:

1. Создайте профиль администратора. Профиль определяет список полномочий администратора. Можно создавать несколько профилей с разными полномочиями. Также можно создать профиль корневого администратора области.

2. Создайте учетную запись администратора. На этом этапе можно выбрать способ авторизации администратора: локальный, через LDAP-коннектор или с помощью профиля аутентификации.

Создание профиля администратора

Чтобы создать профиль администратора UGMC:

1. В веб-консоли управления UGMC в разделе Центр управления ➜ Администраторы в блоке Профили администраторов нажмите Добавить.

2. В окне Настройка профиля на вкладке Общие укажите название профиля.

3. Выберите тип администратора Администратор UserGate Management Center.

4. На вкладке Права доступа выберите, какими правами доступа будет обладать администратор с этим профилем. В качестве разрешений для доступа можно указать Нет доступа, Чтение или Чтение и запись. 

5. Сохраните изменения.

Чтобы создать профиль корневого администратора области:

1. Убедитесь, что в системе создана нужная область. Подробнее об областях — в разделе «Создание управляемых областей».

2. В веб-консоли управления UGMC в разделе Центр управления ➜ Администраторы в блоке Профиль администраторов нажмите Добавить.

2. В окне Настройка профиля на вкладке Общие укажите название профиля.

3. Выберите тип администратора Администратор области и ранее настроенную управляемую область.

4. Сохраните изменения.

Корневые администраторы областей обладают всеми правами в рамках своей области. В режиме управления областью они могут создавать учетные записи субадминистраторов области и управлять их правами доступа.

Создание учетной записи локального администратора

Чтобы создать учетную запись локального администратора:

1. В веб-консоли управления UGMC в разделе Центр управления ➜ Администраторы в блоке Администраторы нажмите Добавить и выберите Добавить локального администратора.

2. В окне Свойства администратора укажите имя, логин и пароль администратора.

3. Выберите созданный ранее профиль администратора.

4. Установите флажок Включено, чтобы разрешить вход в систему под этой учетной записью.

5. Сохраните изменения.

Создание учетной записи LDAP-администратора

Чтобы создать учетную запись пользователя из существующего домена:

1. Убедитесь, что в разделе Серверы аутентификации предварительно настроен соответствующий LDAP-коннектор. Подробнее о настройке LDAP-коннектора — в разделе «Серверы аутентификации».

2. В веб-консоли управления UGMC в разделе Центр управления ➜ Администраторы в блоке Администраторы нажмите Добавить и выберите Добавить пользователя LDAP.

3. В окне Свойства LDAP-администратора нажмите кнопку Выбрать, выберите настроенный LDAP-коннектор и затем добавьте логин нужного пользователя.

4. Выберите созданный ранее профиль администратора.

5. Установите флажок Включено, чтобы разрешить вход в систему под этой учетной записью.

6. Сохраните изменения.

При входе в веб-интерфейс администрирования под этой учетной записью необходимо указывать логин в формате <логин>@<домен>/system или <домен>\<логин>/system.

Чтобы добавить учетную запись для группы пользователей из существующего домена:

1. Убедитесь, что в разделе Серверы аутентификации предварительно настроен соответствующий LDAP-коннектор. Подробнее о настройке LDAP-коннектора — в разделе «Серверы аутентификации».

2. В веб-консоли управления UGMC в разделе Центр управления ➜ Администраторы в блоке Администраторы нажмите Добавить и выберите Добавить группу LDAP.

3. В окне Свойства LDAP-администратора нажмите кнопку Выбрать, выберите настроенный LDAP-коннектор и затем добавьте логин группы пользователей.

4. Выберите созданный ранее профиль администратора.

5. Установите флажок Включено, чтобы разрешить вход в систему под этой учетной записью.

6. Сохраните изменения.

При входе в веб-интерфейс администрирования под этой учетной записью необходимо указывать логин в формате <логин>@<домен>/system или <домен>\<логин>/system.

Создание учетной записи администратора с профилем аутентификации

Вы можете управлять доступом администраторов в веб-консоль управления UGMC с помощью профиля аутентификации, в котором в списке доступных методов аутентификации указаны заранее настроенные серверы, такие как LDAP, TACACS+ или RADIUS. Если в профиле аутентификации указано сразу несколько методов аутентификации, будут перебираться все методы по очереди до первого сработавшего. 

Чтобы добавить учетную запись администратора с профилем аутентификации:

1. Убедитесь, что в разделе Серверы аутентификации добавлены данные о настроенном сервере аутентификации. Подробнее о сервере аутентификации — в разделе «Серверы аутентификации».

2. Убедитесь, что в разделе Профили аутентификации создан профиль с нужным методом аутентификации. Подробнее о создании профиля— в разделе «Профили аутентификации».

3. В веб-консоли управления UGMC в разделе Центр управления ➜ Администраторы в блоке Администраторы нажмите Добавить и выберите Добавить администратора с профилем аутентификации.

4. В окне Свойства администратора с профилем аутентификации укажите имя, логин и пароль администратора.

5. Выберите созданный ранее профиль администратора.

6. Выберите созданный ранее профиль аутентификации.

7. Установите флажок Включено, чтобы разрешить вход в систему под этой учетной записью.

8. Сохраните изменения.

Дополнительные параметры защиты учетных записей администраторов

Администратор UGMC может настроить дополнительные параметры защиты учетных записей администраторов, такие как сложность пароля и блокировка учетной записи на определенное время при превышении количества неудачных попыток аутентификации.

Чтобы настроить дополнительные параметры защиты:

1. В разделе Центр управления ➜ Администраторы в блоке Администраторы нажмите Настроить.

2. Настройте нужные параметры:

• Сложный пароль — включает дополнительные параметры сложности пароля, задаваемые ниже, такие как минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа.

• Число неверных попыток аутентификации — количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки.

• Время блокировки — время, на которое блокируется учетная запись.

3. Сохраните изменения.

Сессии администраторов

В разделе Администраторы в блоке Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования UGMC. При необходимости любую из сессий администраторов можно сбросить (закрыть):