База знаний

База Знаний

Документация

...

Общие сведения

UserGate 6.x

NGFW 6.1.x Руководство администратора

Management Center 6.1.x Руководство администратора

Принятые обозначения и сокращения

Введение

Лицензирование UGMC

Планирование внедрения UGMC

Первоначальная настройка

Настройка UGMC

Общие настройки

Управление устройством

Администраторы

Управление сертификатами

Профили оповещений

Серверы авторизации UserGate Management Center

Офлайн операции с сервером

Настройка сети

Интерфейс командной строки (CLI)

Диагностика и мониторинг

Управление областями

Управление межсетевыми экранами UserGate

Приложения

Log Analyzer 6.1.x Руководство администратора

UserGate 7.x

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Администраторы

ID статьи: 329

Последнее обновление: 30 мая, 2024

Documentation:

Product: UGMC

Version: 6.1.9, 7.0.1, 7.1.0

Доступ к веб-консоли UGMC регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети.

ПримечаниеПри первоначальной настройке создается локальный суперпользователь Admin/system.

Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать профиль доступа администратора.

В разделе Администраторы ➜ Профили администраторов нажать кнопку Добавить и указать необходимые настройки.

Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора.

В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:

Добавить локального администратора — создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа.
Добавить пользователя LDAP — добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы аутентификации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain/system или domain\user/system. Назначить созданный ранее профиль.
Добавить группу LDAP — добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы аутентификации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain/system или domain\user/system. Назначить созданный ранее профиль.
Добавить администратора с профилем аутентификации — создать пользователя, назначить созданный ранее профиль администратора и профиль аутентификации (необходимы корректно настроенные серверы аутентификации).

Важно! В данном разделе настроек сервисов консоли управления администратором области может быть назначен только локальный администратор. Это связано с тем, что LDAP серверы, используемые для аутентификации администраторов сервиса UGMC и для аутентификации администраторов области, могут быть разными. При необходимости использования LDAP администраторов для управления Областью, их необходимо создать в самой области. Более подробно об администраторах области смотрите в разделе Администраторы области.

При создании профиля доступа администратора необходимо указать следующие параметры:

Наименование	Описание
Название	Название профиля.
Описание	Описание профиля.
Тип администратора	Для предоставления полномочий управления сервисами UGMC необходимо выбрать тип Администратор UGMC. Вариант Администратор области следует выбирать при создании корневого администратора управляемой области.
Управляемая область	Если в качестве параметра Тип администратора был выбран вариант Администратор области, то необходимо указать управляемую область, для которой создается корневой администратор. Область должна уже быть создана к этому моменту.
Права доступа	Список объектов дерева веб-консоли, доступных для делегирования. В качестве доступа можно указать: Нет доступа. Чтение. Чтение и запись.

Администратор UGMC может настроить дополнительные параметры защиты учетных записей администраторов, такие как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток аутентификации.

Для настройки этих параметров необходимо:

Наименование

Описание

Шаг 1. Настроить политику паролей.

В разделе Администраторы ➜ Администраторы нажать кнопку Настроить.

Шаг 2. Заполнить необходимые поля.

Указать значения следующих полей:

Сложный пароль — включает дополнительные параметры сложности пароля, задаваемые ниже, такие как минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа.
Число неверных попыток аутентификации — количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки.
Время блокировки — время, на которое блокируется учетная запись.

ПримечаниеДополнительные параметры защиты учетной записи администратора применимы только к локальным учетным записям. Если в качестве администратора устройства выбирается учетная запись из внешнего каталога (например, LDAP), то параметры защиты для такой учетной записи определяются этим внешним каталогом.

В разделе Администраторы ➜ Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования UGMC. При необходимости любую из сессий администраторов можно сбросить (закрыть).

Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8010).

ПримечаниеНе рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети интернет.

Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны во вкладке Контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.