Настройка данного раздела производится на уровне settings administrators. В разделе описаны настройка параметров защиты учётных записей, настройка администраторов и их профилей.
Общие настройки доступа
Данный раздел позволяет настроить дополнительные параметры защиты учётных записей администраторов. Настройка производится на уровне settings administrators general.
Для изменения параметров используется следующая команда:
Admin@nodename# set settings administrators general
Параметры, доступные для редактирования:
Параметр
Описание
password
Изменить пароля текущего администратора.
unblock
Разблокировать администратора.
strong-password
Использовать сложный пароль:
on.
off.
num-auth-attempts
Установить максимальное количество неверных попыток аутентификации.
block-time
Указать время блокировки учётной записи в случае достижения администратором максимального количества попыток аутентификации; указывается в секундах (максимальное значение: 3600 секунд).
min-length
Определить минимальную длину пароля (максимальное значение: 100 символов).
min-uppercase
Определить минимальное количество символов в верхнем регистре (максимальное значение: 100 символов).
min-lowercase
Определить минимальное количество символов в нижнем регистре (максимальное значение: 100 символов).
min-digits
Определить минимальное количество цифр (максимальное значение: 100 символов).
spec-characters
Определить минимальное количество специальных символов (максимальное значение: 100 символов).
char-repetition
Указать максимальную длину блока из одного и того же символа (максимальное значение: 100 символов).
Пример редактирования параметров учетных записей:
Admin@nodename# set settings administrators general block-time 400
Для просмотра текущих параметров защиты учётных записей администраторов используется следующая команда:
Далее необходимо указать тип учётной записи администратора (локальный, пользователь LDAP, группа LDAP, с профилем аутентификации) и установить соответствующие параметры:
Параметр
Описание
local
Добавить локального администратора:
enabled: включение/отключение учётной записи администратора:
on.
off.
login: логин администратора.
description: описание учётной записи администратора.
admin-profile: профиль администратора. Создание профилей администраторов рассмотрено далее.
password: пароль администратора.
ldap-user
Добавить пользователя из существующего домена (необходим корректно настроенный LDAP-коннектор; подробнее читайте в разделе Настройка LDAP-коннектора):
enabled: включение/отключение учётной записи администратора:
on.
off.
login: логин администратора в формате domain\user. Структура команды при указании данного параметра:
connector: название сконфигурированного ранее LDAP-коннектора.
description: описание учётной записи администратора.
admin-profile: профиль администратора. Создание профилей администраторов рассмотрено далее.
Добавить администратора с профилем аутентификации (необходимы корректно настроенные серверы аутентификации; подробнее читайте в разделе Настройка серверов аутентификации):
enabled: включение/отключение учётной записи администратора:
on.
off.
login: логин администратора.
description: описание учётной записи администратора.
admin-profile: профиль администратора. Создание профилей администраторов рассмотрено далее.
auth-profile: выбор профиля аутентификации из созданных ранее; подробнее о профилях аутентификации читайте в разделе Настройка профилей аутентификации.
Для редактирования параметров профиля используется команда:
Admin@nodename# set settings administrators administrators <admin-type> <admin-login>
Параметры для редактирования аналогичны параметрам создания профиля администратора.
Для отображения информации о всех учётных записях администраторов:
Admin@nodename# show settings administrators administrators
Для отображения информации об определённой учётной записи администратора:
Admin@nodename# show settings administrators administrators <admin-type> <admin-login>
Пример выполнения команды:
Admin@nodename# show settings administrators administrators ldap-user testd.local\user1
login : testd.local\user1
enabled : on
type : ldap_user
locked : off
admin-profile : test profile 1
С использованием следующих команд возможен просмотр активных сессий администраторов, прошедших авторизацию в веб-консоли или CLI, и закрытие сессий (уровень: settings administrators admin-sessions).
Просмотр сессий администраторов текущего узла UserGate (возможен просмотр сессии отдельного администратора: необходимо из предложенного списка выбрать IP-адрес, с которого была произведена авторизация):
Admin@nodename# show settings administrators admin-sessions
Для отображения сессий доступно использование фильтра:
ip: IP-адрес, с которого авторизован администратор.
source: где была произведена авторизация: CLI (cli), веб-консоль (web) или подключение по SSH (ssh).
admin-login: имя администратора.
node: узел кластера UserGate.
Admin@nodename# show settings administrators admin-sessions ( node <node-name> ip <session-ip> source <cli | web | ssh> admin-login <administrator-login> )
Команда для закрытия сессии администратора; необходимо из предложенного списка выбрать IP-адрес, с которого была произведена авторизация:
