Настройка раздела Пользователи и устройства
Настройка групп пользователей производится на уровне users group. Для добавления новой группы пользователей используется команда:
Возможно указать следующие параметры:
Для редактирования информации о группе пользователей необходимо воспользоваться следующей командой (параметры, доступные для обновления, аналогичны с параметрами, доступными при создании группы):
Для отображения настроек группы используется следующая команда:
Примеры команд создания и редактирования группы пользователей:
С использованием следующих команд можно удалить группу пользователей или отдельных пользователей группы:
Для удаления локальных пользователей:
Для удаления пользователей LDAP:
Пример удаления из группы пользователя LDAP:
Настройка пользователей производится на уровне users user. Команда для добавления пользователей:
Доступно указание следующих параметров:
Для обновления параметров учётной записи пользователя:
Список доступных параметров аналогичен списку параметров, доступному при создании учётной записи пользователя. Команда для просмотра учётной записи пользователя:
Пример команд создания и редактирования учетной записи пользователя:
Для удаления учётной записи пользователя используется следующая команда:
Также имеется возможность удаления определённой информации из учётной записи. Для удаления доступны (при удалении требуется ввод значения параметра):
Раздел Серверы аутентификации позволяет произвести настройку LDAP-коннектора, серверов RADIUS, TACACS+, NTLM, SAML IDP. Настройка серверов аутентификации производится на уровне users auth-server и будет рассмотрена далее в соответствующих разделах. Настройка LDAP-коннектораНастройка LDAP-коннектора производится на уровне users auth-server ldap. Для создания LDAP-коннектора используется команда: Admin@nodename# create users auth-server ldap <parameter>
Далее необходимо указать следующие параметры:
Для редактирования информации о существующем LDAP-коннекторе используется команда: Admin@nodename# set users auth-server ldap <ldap-server-name> <parameter>
Параметры, доступные для обновления, аналогичны параметрам создания LDAP-коннектора. Команда для отображения информации о LDAP-коннекторе:
Примеры команд создания и редактирования LDAP-коннектора:
Для удаления LDAP-коннектора используется команда: Admin@nodename# delete users auth-server ldap <ldap-server-name> <parameter>
Также возможно удаления отдельных параметров LDAP-коннектора. Для удаления доступны следующие параметры:
Настройка RADIUS-сервераНастройка RADIUS-сервера производится на уровне users auth-server radius. Для создания сервера аутентификации RADIUS используется команда со следующей структурой: Admin@nodename# create users auth-server radius <parameter>
Далее необходимо указать следующие параметры:
Команда для обновления информации о сервере RADIUS: Admin@nodename# set users auth-server radius <radius-server-name> <parameter>
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации. Команда для отображения информации о RADIUS-сервере:
Примеры команд создания и редактирования RADIUS-сервера:
Для удаления сервера: Admin@nodename# delete users auth-server radius <radius-server-name> <parameter>
Также возможно удаления отдельных параметров RADIUS-сервера. Для удаления доступны следующие параметры:
Настройка сервера TACACS+Настройка сервера TACACS+ производится на уровне users auth-server tacacs. Для создания сервера аутентификации TACACS+ используется команда со следующей структурой: Admin@nodename# create users auth-server tacacs <parameter>
Далее необходимо указать следующие параметры:
Команда для редактирования информации о сервере TACACS+:
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации. Команда для отображения информации о сервере TACACS+:
Примеры команд для создания и редактирования сервера TACACS+:
Для удаления сервера: Admin@nodename# delete users auth-server tacacs <tacacs-server-name> Настройка сервера NTLMНастройка сервера NTLM производится на уровне users auth-server ntlm. Для создания сервера аутентифификации NTLM используется команда со следующей структурой: Admin@nodename# create users auth-server ntlm <parameter>
Далее необходимо указать следующие параметры:
Команда для обновления информации о NTLM-сервере: Admin@nodename# set users auth-server ntlm <ntlm-server-name> <parameter>
Команда для отображения информации о сервере NTLM:
Параметры, которые могут быть обновлены, аналогичны с параметрами команды создания сервера аутентификации. Примеры команд для создания и редактирования сервера NTLM:
Для удаления сервера: Admin@nodename# delete users auth-servers ntlm <ntlm-server-name> Настройка сервера SAML IDPНастройка сервера SAML IDP производится на уровне users auth-server saml-idp. Для создания сервера аутентификации SAML IDP используется следующая команда: Admin@nodename# create users auth-server saml-idp <parameter>
Далее необходимо указать следующие параметры:
Команда для обновления информации о сервере SAML IDP: Admin@nodename# set users auth-server saml-idp <saml-idp-server-name> <parameter>
Параметры, которые могут быть обновлены, аналогичны с параметрами команды создания сервера аутентификации. Команда для отображения информации о сервере SAML IDP:
Примеры команд для создания и редактирования сервера SAML IDP:
Для удаления сервера: Admin@nodename# delete users auth-servers saml-idp <saml-idp-server-name> Настройка профилей аутентификации производится на уровне users auth-profile. Для создания профиля аутентификации используется следующая команда:
Далее необходимо указать следующие параметры:
Команда для редактирования настроек профилей аутентификации:
Для обновления доступен список параметров, аналогичный списку параметров команды create. Пример создания и редактирования профиля аутентификации пользователя:
Через интерфейс командной строки возможно удаления всего профиля или отдельных способов аутентификации, заданных в профиле. Для этого используются следующие команды. Для удаления профиля аутентификации:
Для удаления методов аутентификации, заданных в профиле, необходимо указать метод аутентификации (доступные методы авторизации перечислены в таблице выше):
Настройка Captive-профилей производится на уровне users captive-profiles. Для создания Captive-профиля необходимо использовать следующую команду:
Далее необходимо указать следующие параметры:
Для редактирования профиля необходимо использовать следующую команду:
При обновлении настроек captive-профиля доступны параметры, аналогичные параметрам, доступным при создании профиля. Команда для отображения настроек captive-профиля:
Пример создания и редактирования captive-профиля:
Для удаления профиля используется команда:
Также, с использованием следующей команды, доступно удаление групп для временных пользователей (всегда должна быть указана хотя бы одна группа для временных пользователей):
В данном разделе описана настройка правил Captive-портала; настройка производится на уровне users captive-portal. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL. Параметры правил captive-портала:
Пример создания и редактирования правила captive-портала с использованием UPL:
В данном разделе описана настройка терминальных серверов с использованием интерфейса командной строки. Настройка производится на уровне users terminal-servers. Для создания терминального сервера необходимо ввести следующую команду:
Далее необходимо указать следующие параметры:
Команда для редактирования параметров (параметры приведены выше в таблице) терминального сервера:
Команда для отображения информации о терминальном сервере:
Пример создания и редактирования терминального сервера:
Команда удаления терминального сервера:
Также возможно удаление отдельных хостов. Для удаления необходимо уточнить их адреса:
Данный раздел описывает настройку профилей мультифакторной аутентификации с использованием CLI. Настройка профилей MFA производится на уровне users mfa-profiles. Можно создать несколько типов профилей:
Для содания профиля мультифакторной аутентификации используется команда:
Команда для удаления профиля мультифакторной аутентификации:
Для отображения информации о всех профилях или об определённом профиле MFA используются следующие команды:
Настройка MFA через TOTPКоманда для добавления нового профиля мультифакторной аутентификации через TOTP:
Далее необходимо указать следующие параметры:
Команда для редактирования параметров профиля мультифакторной аутентификации через TOTP: Admin@nodename# set users mfa-profiles totp <mfa-totp-name> <parameter>
Параметры, доступные для редактирования, совпадают с параметрами, доступными при создании профиля. Пример создания и редактирования профиля мультифакторной аутентификации через TOTP:
Настройка MFA через emailКоманда для добавления нового профиля мультифакторной аутентификации через email: Admin@nodename# create users mfa-profiles smtp <parameter>
Далее необходимо указать следующие параметры:
Команда для редактирования параметров профиля мультифакторной аутентификации через email: Admin@nodename# set users mfa-profiles smtp <mfa-email-profile> <parameter>
Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля. Пример создания и редактирования профиля мультифакторной аутентификации через email:
Настройка MFA через SMSКоманда для добавления нового профиля мультифакторной аутентификации через SMS: Admin@nodename# create users mfa-profiles smpp <parameter>
Далее необходимо указать следующие параметры:
Команда для редактирования параметров профиля мультифакторной аутентификации через SMS: Admin@nodename# set users mfa-profiles smpp <mfa-sms-profile> <parameter>
Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля. Пример создания и редактирования профиля мультифакторной аутентификации через SMS:
Для локальных пользователей UserGate политики применяются автоматически. Если пользователи проходят аутентификацию через LDAP-коннектор, NTLM или Kerberos, то для применения политик к пользователям (в случаях добавления новой LDAP-группы или пользователя в группу, создания правила и применения его к группе LDAP) необходимо сбросить сессии всех пользователей и произвести очистку кэша LDAP-записей на UserGate. С помощью интерфейса командной строки CLI можно сбросить сессии отдельных пользователей. Команда выполняется в режиме конфигурации (configure), для выполнения команды необходимо знать IP-адрес пользователя:
Для очистки кэша используется команда:
|