|
|
Настройка устройства (Описание)
Общие настройки UserGate
Общие настройки устройства задаются на уровне settings general. Структура команды для настройки одного из разделов (<settings-module>):
Admin/system@nodename# set settings general <settings-module>
Доступна настройка следующих разделов:
|
Параметр
|
Описание
|
|
admin-console
|
Настройки интерфейса (уровень settings general admin-console):
-
timezone: часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т.п.
-
language: язык интерфейса:
-
ru — русский.
-
en — английский.
-
api-session-lifetime: время ожидания сеанса администратора в секундах.
|
|
server-time
|
Настройка параметров установки точного времени (уровень settings general server-time):
-
ntp-enabled: включение/отключение использования NTP-серверов:
-
primary-ntp-server: указание основного ntp-сервера.
-
second-ntp-server: указание запасного ntp-сервера.
-
time: установка времени на сервере; время указывается в часовом поясе UTC в формате yyyy-mm-ddThh:mm:ss (например, 2022-02-15T12:00:00)
|
|
change-tracker
|
Настройка учёта изменений (уровень settings general change-tracker):
|
|
updates-schedule
|
Настройка расписания скачивания обновлений программного обеспечения и библиотек (уровень settings general updates-schedule).
Для расписания обновления программного обеспечения UserGate:
Admin/system@nodename# set settings general updates-schedule software schedule <schedule/disabled>
Расписание скачивания обновлений библиотек может быть единым:
Admin/system@nodename# set settings general updates-schedule all-libraries schedule <schedule/disabled>
или может быть настроено отдельно для каждого элемента:
Admin/system@nodename# set settings general updates-schedule libraries [ lib-module ... ] schedule <schedule/disabled>
Время задаётся в crontab-формате: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
Команда для просмотра расписания обновлений:
Admin/system@nodename# show settings general updates-schedule |
Настройка управления устройством
Настройка Radmin-emergency
Для активации удаленного помощника при возникновении проблемы с программным ядром узла администратор может зайти в CLI под учетной записью корневого администратора, которая была создана при инициализации UserGate. Обычно это учетная запись Admin, хотя может быть и другой. Для входа необходимо указать имя в виде Admin/system@emergency, в качестве пароля — пароль корневого администратора. Команда включения/отключения удалённого доступа к серверу для технической поддержки в таких случаях:
Admin/system@emergency# set radmin-emergency enabled <on | off>
|
Параметр
|
Описание
|
|
interface
|
Название интерфейса.
|
|
ip-addr
|
IP-адрес и маска интерфейса.
|
|
gateway-address
|
IP-адрес шлюза.
|
Настройка операций с сервером
Следующая команда позволяет определить канал обновлений:
Admin/system@nodename# set settings device-mgmt updates-channel <stable | beta>
Для просмотра наличия обновлений и выбранного канал обновления используется команда:
Admin/system@nodename# show settings device-mgmt updates-channel
Для настройки активации лицензии и обновления ПО устройства через внешний прокси-сервер используется команда:
Admin@UGOS# set settings device-mgmt licensing-upstream-proxy <parameters>
В качестве дополнительных параметров указываются:
|
Параметр
|
Описание
|
|
enabled
|
Включение/выключение режима активации лицензии и обновления ПО через внешний прокси-сервер:
-
on — включено.
-
off — выключено.
|
|
ip
|
IP-адрес внешнего прокси-сервера.
|
|
port
|
Порт внешнего прокси-сервера.
|
|
auth
|
Аутентификация на внешнем прокси-сервере:
-
on — включена.
-
off — выключена.
|
|
name
|
Логин на внешнем прокси-сервере.
|
|
password
|
Пароль на внешнем прокси-сервере.
|
Для просмотра созданных настроек активации лицензии и обновления ПО устройства UserGate через внешний прокси-сервер используется команда:
Admin@UGOS# show settings device-mgmt licensing-upstream-proxy
Управление резервным копированием
Создание резервной копии устройства осуществляется на уровне settings device-mgmt. Для создания правила резервного копирования и выгрузки файлов на внешние серверы (FTP/SSH) используется следующая команда:
Admin/system@nodename# create settings device-mgmt settings-backup <parameters>
Для настройки доступны следующие параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение правила создания резервной копии устройства.
|
|
name
|
Название правила резервного копирования.
|
|
description
|
Описание правила резервного копирования.
|
|
type
|
Выбор удалённого сервера для экспорта файлов:
|
|
address
|
IP-адрес удалённого сервера.
|
|
port
|
Порт сервера.
|
|
login
|
Учётная запись на удалённом сервере.
|
|
password
|
Пароль учётной записи.
|
|
path
|
Путь на сервере, куда будут выгружены файлы.
|
|
schedule
|
Расписание экспорта файлов резервных копий.
Время задаётся в Crontab-формате: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Редактирование существующего правила резервного копирования устройства производится с использованием следующей команды:
Admin/system@nodename# set settings device-mgmt settings-backup <rule-name>
Список параметров, доступных для изменения аналогичен списку параметров, доступных при создании правила.
Команда для удаления правила резервного копирования:
Admin/system@nodename# delete settings device-mgmt settings-backup <rule-name>
Команда для отображения правила резервного копирования:
Admin/system@nodename# show settings device-mgmt settings-backup <rule-name>
Также, для команд редактирования, удаления или отображения правил в качестве <filter> возможно использование не только названия правила, но и заданные в существующем правиле параметры (удобно, например, при наличии нескольких правил с одинаковым названием). Параметры, с использованием которых можно произвести идентификацию правила экспорта, аналогичны параметрам команды set.
Экспорт настроек
Создание и настройка правил экспорта настроек происходит на уровне settings device-mgmt settings-export.
Для создания правила экспорта настроек:
Admin/system@nodename# create settings device-mgmt settings-export ( <parameters> )
Доступны параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение правила экспорта настроек сервера UserGate.
|
|
name
|
Название правила экспорта.
|
|
description
|
Описание правила экспорта.
|
|
type
|
Выбор удалённого сервера для экспорта настроек:
|
|
address
|
IP-адрес удалённого сервера.
|
|
port
|
Порт сервера.
|
|
login
|
Учётная запись на удалённом сервере.
|
|
password
|
Пароль учётной записи.
|
|
path
|
Путь на сервере, куда будут выгружены настройки.
|
|
schedule
|
Расписание экспорта настроек.
Время задаётся в Crontab-формате: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Обновление существующего правила экспорта настроек устройства производится с использованием следующей команды:
Admin/system@nodename# set settings device-mgmt settings-export <rule-name>
Список параметров, доступных для изменения аналогичен списку параметров, доступных при создании правила.
Команда для удаления правила экспорта настроек:
Admin/system@nodename# delete settings device-mgmt settings-export <rule-name>
Команда для отображения правила экспорта настроек:
Admin/system@nodename# show settings device-mgmt settings-export <rule-name>
Также, для команд обновления, удаления или отображения правил в качестве <filter> возможно использование не только названия правила, но и заданные в существующем правиле параметры (удобно, например, при наличии нескольких правил с одинаковым названием). Параметры, с использованием которых можно произвести идентификацию правила экспорта, аналогичны параметрам команды set.
Настройка кластера конфигурации
Данный раздел находится на уровне settings device-mgmt configuration-cluster.
Команда обновления существующего узла кластера:
Admin/system@nodename# set settings device-mgmt configuration-cluster <node-name>
Доступно изменение следующих параметров:
|
Параметр
|
Описание
|
|
name
|
Изменить имя узла кластера.
|
|
description
|
Обновить описание узла кластера.
|
|
ip
|
Задать IP-адрес интерфейса, входящего в зону, выделенную для кластера.
|
Команды для удаления и отображения настроек узла кластера:
Admin/system@nodename# delete settings device-mgmt configuration-cluster <node-name>
...
Admin/system@nodename# show settings device-mgmt configuration-cluster <node-name>
Команда для генерации секретного кода для добавления нового узла в кластер конфигурации:
Admin/system@nodename# execute configurate-cluster generate-secret-key
Настройка кластера отказоустойчивости
Настройка кластеров отказоустойчивости производится на уровне settings device-mgmt ha-clusters.
Для создания кластера отказоустойчивости:
Admin/system@nodename# create settings device-mgmt ha-clusters
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение кластера отказоустойчивости:
|
|
name
|
Название кластера отказоустойчивости.
|
|
description
|
Описание кластера отказоустойчивости.
|
|
mode
|
Выбор режима работы кластера:
-
active-passive: режим работы Актив-Пассив (один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные — в качестве резервных).
-
active-active: режим работы Актив-Актив (один из серверов выступает в роли Мастер-узла, распределяющего трафик на все остальные узлы кластера).
|
|
session-sync
|
Настройка синхронизации пользовательских сессий в кластере:
|
|
virtual-router-id
|
Идентификатор виртуального маршрутизатора (VRID).
|
|
nodes
|
Выбор узлов кластера конфигурации для объединения их в кластер отказоустойчивости.
|
|
virtual-ips
|
Задание виртуального IP-адреса для кластера и выбор рабочего интерфейса для каждого узла (на зоне выбранного интерфейса должен быть разрешён сервис VRRP; подробнее о настройке зон через CLI читайте в разделе Зоны).
Добавление виртуального IP-адреса в кластер:
Admin/system@nodename# create settings device-mgmt ha-cluster virtual-ips <virtual-ips-filter> <virtual-ip-info>
Доступные параметры для <virtual-ips-filter>:
Доступные параметры для <virtual-ip-info>:
|
|
session-sync-all
|
Включение/отключение режима синхронизации всех пользовательских сессий, включая UDP/ICMP сессии. В случае, если этот параметр не активирован, а настройка session-sync активирована, синхронизироваться будут только TCP сессии.
|
|
excluded-sync-ips
|
Указание IP-адресов, с которыми отключена синхронизация всех пользовательских сессий.
|
Пример команды создания кластера:
Admin/system@nodename# create settings device-mgmt ha-clusters nodes [ node_1 ] name "Test HA cluster" description "Test HA cluster description" mode active-passive enabled on virtual-ips new ha-interfaces [ node_1/port3 ] ip 192.168.1.5/24
Для редактирования настроек кластера:
Admin/system@nodename# set settings device-mgmt ha-cluster <cluster-name>
Параметры для редактирования:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение кластера отказоустойчивости:
|
|
name
|
Название кластера отказоустойчивости.
|
|
description
|
Описание кластера отказоустойчивости.
|
|
mode
|
Выбор режима работы кластера:
-
active-passive: режим работы Актив-Пассив (один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные — в качестве резервных).
-
active-active: режим работы Актив-Актив (один из серверов выступает в роли Мастер-узла, распределяющего трафик на все остальные узлы кластера).
|
|
master-node
|
Назначение мастер-узла кластера отказоустойчивости.
|
|
session-sync
|
Настройка синхронизации сессий в кластере:
|
|
virtual-router-id
|
Идентификатор виртуального маршрутизатора (VRID).
|
|
nodes
|
Выбор узлов кластера конфигурации для объединения их в кластер отказоустойчивости.
|
|
virtual-ips
|
Задание виртуального IP-адреса для кластера и выбор рабочего интерфейса для каждого узла (на зоне выбранного интерфейса должен быть разрешён сервис VRRP; подробнее о настройке зон через CLI читайте в разделе Зоны).
Добавление виртуального IP-адреса в кластер:
Admin/system@nodename# create settings device-mgmt ha-cluster virtual-ips <virtual-ips-filter> <virtual-ip-info>
Доступные параметры для <virtual-ips-filter>:
Доступные параметры для <virtual-ip-info>:
|
|
session-sync-all
|
Включение/отключение режима синхронизации всех пользовательских сессий, включая UDP/ICMP сессии. В случае, если этот параметр не активирован, а настройка session-sync активирована, синхронизироваться будут только TCP сессии.
|
|
excluded-sync-ips
|
Указание IP-адресов, с которыми отключена синхронизация всех пользовательских сессий.
|
Примеры редактироания настроек кластера:
Admin/system@nodename# set settings device-mgmt ha-clusters "Test HA cluster" nodes [ node_1 node_2 ] virtual-ips 192.168.1.5/24 ha-interfaces [ node_1/port3 node_2/port3 ]
...
Admin/system@nodename# set settings device-mgmt ha-clusters "Test HA cluster" master-node node_2
Для удаления кластера:
Admin/system@nodename# delete settings device-mgmt ha-clusters <cluster-name>
Также доступно удаление отдельных параметров:
Для отображения информации о всех кластерах отказоустойчивости:
Admin/system@nodename# show settings device-mgmt ha-cluster
Для отображения информации об определённом кластере:
Admin/system@nodename# show settings device-mgmt ha-cluster <cluster-name>
Настройка управления доступом к консоли устройства
Настройка данного раздела производится на уровне settings administrators. В разделе описаны настройка параметров защиты учётных записей, настройка администраторов и их профилей.
Общие настройки доступа
Данный раздел позволяет настроить дополнительные параметры защиты учётных записей администраторов. Настройка производится на уровне settings administrators general.
Для изменения параметров используется следующая команда:
Admin/system@nodename# set settings administrators general
Параметры, доступные для редактирования:
|
Параметр
|
Описание
|
|
password
|
Изменить пароля текущего администратора.
|
|
unblock
|
Разблокировать администратора.
|
|
strong-password
|
Использовать сложный пароль:
|
|
num-auth-attempts
|
Установить максимальное количество неверных попыток аутентификации.
|
|
block-time
|
Указать время блокировки учётной записи в случае достижения администратором максимального количества попыток аутентификации; указывается в секундах (максимальное значение: 3600 секунд).
|
|
min-length
|
Определить минимальную длину пароля (максимальное значение: 100 символов).
|
|
min-uppercase
|
Определить минимальное количество символов в верхнем регистре (максимальное значение: 100 символов).
|
|
min-lowercase
|
Определить минимальное количество символов в нижнем регистре (максимальное значение: 100 символов).
|
|
min-digits
|
Определить минимальное количество цифр (максимальное значение: 100 символов).
|
|
spec-characters
|
Определить минимальное количество специальных символов (максимальное значение: 100 символов).
|
|
char-repetition
|
Указать максимальную длину блока из одного и того же символа (максимальное значение: 100 символов).
|
Пример редактирования параметров учетных записей:
Admin/system@nodename# set settings administrators general block-time 400
Для просмотра текущих параметров защиты учётных записей администраторов используется следующая команда:
Admin/system@nodename# show settings administrators general
strong-password : off
block-time : 400
min-length : 7
min-uppercase : 1
min-lowercase : 1
min-digits : 1
spec-characters : 1
char-repetition : 2
num-auth-attempts : 10
Настройка учётных записей администраторов
Настройка учётных записей администраторов производится на уровне settings administrators administrators.
Для создания учётной записи администратора используется следующая команда:
Admin/system@nodename# create settings administrators administrators
Далее необходимо указать тип учётной записи администратора (локальный, пользователь LDAP, группа LDAP, с профилем аутентификации) и установить соответствующие параметры:
|
Параметр
|
Описание
|
|
local
|
Добавить локального администратора:
-
enabled: включение/отключение учётной записи администратора:
-
login: логин администратора.
-
display-name: отображаемое имя администратора.
-
description: описание учётной записи администратора.
-
admin-profile: профиль администратора. Создание профилей администраторов рассмотрено далее.
-
password: пароль администратора.
|
|
ldap-user
|
Добавить пользователя из существующего домена (необходим корректно настроенный LDAP-коннектор; подробнее читайте в разделе Настройка LDAP-коннектора):
-
enabled: включение/отключение учётной записи администратора:
-
login: логин администратора в формате domain\user. Структура команды при указании данного параметра:
-
display-name: отображаемое имя администратора.
-
connector: название сконфигурированного ранее LDAP-коннектора.
-
description: описание учётной записи администратора.
-
admin-profile: профиль администратора. Создание профилей администраторов рассмотрено далее.
Admin/system@nodename# create settings administrators administrators ldap-user admin-profile "test profile 1" connector "LDAP connector" description "Admin as domain user" login testd.local\user1 enabled on
|
|
ldap-group
|
Добавить группу пользователей из существующего домена (необходим корректно настроенный LDAP-коннектор; подробнее читайте в разделе Настройка LDAP-коннектора):
-
enabled: включение/отключение учётной записи администратора:
-
login: логин администратора
-
display-name: отображаемое имя администратора.
-
connector: название используемого LDAP-коннектора.
-
description: описание учётной записи администратора.
-
admin-profile: профиль администратора. Создание профилей администраторов рассмотрено далее.
Admin/system@nodename# create settings administrators administrators ldap-group admin-profile "test profile 1" connector "LDAP connector" description "Domain admin group" login testd.local\users enabled on
|
|
admin-auth-profile
|
Добавить администратора с профилем аутентификации (необходимы корректно настроенные серверы аутентификации; подробнее читайте в разделе Настройка серверов аутентификации):
-
enabled: включение/отключение учётной записи администратора:
-
login: логин администратора.
-
display-name: отображаемое имя администратора.
-
description: описание учётной записи администратора.
-
admin-profile: профиль администратора. Создание профилей администраторов рассмотрено далее.
-
auth-profile: выбор профиля аутентификации из созданных ранее; подробнее о профилях аутентификации читайте в разделе Настройка профилей аутентификации.
|
Для редактирования параметров профиля используется команда:
Admin/system@nodename# set settings administrators administrators <admin-type> <admin-login>
Параметры для редактирования аналогичны параметрам создания профиля администратора.
Для отображения информации о всех учётных записях администраторов:
Admin/system@nodename# show settings administrators administrators
Для отображения информации об определённой учётной записи администратора:
Admin/system@nodename# show settings administrators administrators <admin-type> <admin-login>
Пример выполнения команды:
Admin/system@nodename# show settings administrators administrators ldap-user testd.local\user1
login : testd.local\user1
enabled : on
type : ldap_user
locked : off
admin-profile : test profile 1
Для удаления учётной записи используется команда:
Admin/system@nodename# delete settings administrators administrators <admin-type> <admin-login>
Пример команды:
Admin/system@nodename# delete settings administrators administrators ldap-user testd.local\user1
Настройка прав доступа профилей администраторов
Настройка прав доступа профилей администраторов производится на уровне settings administrators profiles.
Для создания профиля администратора используется следующая команда:
Admin/system@nodename# create settings administrators profiles
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Название профиля администратора.
|
|
description
|
Описание профиля администратора.
|
|
admin-type
|
Роль администратора:
|
|
permissions
|
Права доступа:
-
no-access: нет доступа.
-
read: только чтение.
-
write: чтение и запись.
|
Для редактирования профиля используется команда:
Admin/system@nodename# set settings administrators profiles <profile-name> <parameter>
Параметры для редактирования аналогичны параметрам создания профиля администратора.
Для просмотра информации о всех профилях администраторов:
Admin/system@nodename# show settings administrators profiles
Для отображения информации об определённом профиле:
Admin/system@nodename# show settings administrators profiles <profile-name>
Чтобы удалить профиль администратора:
Admin/system@nodename# delete settings administrators profiles <profile-name>
Управление сессиями администраторов
С использованием следующих команд возможен просмотр активных сессий администраторов, прошедших авторизацию в веб-консоли или CLI, и закрытие сессий (уровень: settings administrators admin-sessions).
Просмотр сессий администраторов текущего узла UserGate (возможен просмотр сессии отдельного администратора: необходимо из предложенного списка выбрать IP-адрес, с которого была произведена авторизация):
Admin/system@nodename# show settings administrators admin-sessions
Для отображения сессий доступно использование фильтра:
-
ip: IP-адрес, с которого авторизован администратор.
-
source: где была произведена авторизация: CLI (cli), веб-консоль (web) или подключение по SSH (ssh).
-
admin-login: имя администратора.
-
node: узел кластера UserGate.
Admin/system@nodename# show settings administrators admin-sessions ( node <node-name> ip <session-ip> source <cli | web | ssh> admin-login <administrator-login> )
Команда для закрытия сессии администратора; необходимо из предложенного списка выбрать IP-адрес, с которого была произведена авторизация:
Admin/system@nodename# execute termination admin-sessions <IP-address/connection type>
Пример выполнения команд:
Admin/system@nodename# show settings administrators admin-sessions
admin-login : Admin
source : ssh
session_start_date : 2023-08-10T11:33:47Z
ip : 127.0.0.1
node : utmcore@dineanoulwer
admin-login : Admin
source : web
session_start_date : 2023-08-10T11:33:10Z
ip : 10.0.2.2
node : utmcore@dineanoulwer
Admin/system@nodename# execute termination admin-sessions 10.0.2.2/web
Admin/system@nodename# show settings administrators admin-sessions
admin-login : Admin
source : ssh
session_start_date : 2023-08-10T11:33:47Z
ip : 127.0.0.1
node : utmcore@dineanoulwer
При закрытии сессии администраторов возможно использование фильтра ( <filter> ). Параметры фильтрации аналогичны параметрам команды show.
Admin/system@nodename# execute termination admin-sessions ( node <node-name> ip <session-ip> source <cli | web | ssh> admin-login <administrator-login> )
Раздел Сертификаты находится на уровне settings certificates.
Для импорта сертификатов предназначена команда:
Admin/system@nodename# import settings certificates
Далее необходимо указать параметры:
|
Параметр
|
Описание
|
|
name
|
Название сертификата, которое будет отображено в списке.
|
|
description
|
Описание сертификата.
|
|
certificate-data
|
Сертификат в формате PEM.
|
|
certificate-chain
|
Цепочка сертификатов в формате PEM.
|
|
private-key
|
Приватный ключ в формате PEM.
|
|
passphrase
|
Пароль для приватного ключа или контейнера PKCS12 (необязательное значение).
|
Для экспорта доступны сертификаты, вся цепочка сертификатов:
Admin/system@nodename# export settings certificates <certificate-name>
Admin/system@nodename# export settings certificates <certificate-name> with-chain on
С использованием командной строки возможно создание сертификата и CSR:
Admin/system@nodename# create settings certificates type <certificate | csr>
Далее необходимо указание следующих параметров:
|
Параметр
|
Описание
|
|
name
|
Название сертификата.
|
|
description
|
Описание сертификата.
|
|
country
|
Страна, в которой выписывается сертификат.
|
|
state
|
Область/штат, в котором выписывается сертификат.
|
|
locality
|
Город, в котором выписывается сертификат.
|
|
organization
|
Название организации, для которой выписывается сертификат.
|
|
common-name
|
Имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров.
|
|
email
|
Email компании.
|
Команда для управления сертификатом:
Admin/system@nodename# set settings certificates <certificate-name>
Доступны параметры:
|
Параметр
|
Описание
|
|
name
|
Название сертификата.
|
|
description
|
Описание сертификата.
|
|
role
|
Тип сертификата:
-
web-cert-chain: цепочка сертификатов веб-консоли.
-
web-ssl: сертификат, использующийся для создания безопасного HTTPS-подключения администратора к веб-консоли UserGate.
-
none.
|
|
certificate-chain
|
Цепочка сертификатов в формате PEM.
|
Для удаления сертификата:
Admin/system@nodename# delete settings certificates <certificate-name>
Команды для просмотра информации об определённом сертификате или о всех сертификатах:
Admin/system@nodename# show settings certificates
Admin/system@nodename# show settings certificates <certificate-name>
Настройка серверов аутентификации
Раздел Серверы аутентификации позволяет произвести настройку LDAP-коннектора, серверов RADIUS, TACACS+. Настройка серверов аутентификации производится на уровне users auth-server и будет рассмотрена далее в соответствующих разделах.
Настройка LDAP-коннектора
Настройка LDAP-коннектора производится на уровне users auth-server ldap.
Для создания LDAP-коннектора используется команда:
Admin/system@nodename# create users auth-server ldap <parameter>
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Имя LDAP-коннектора.
|
|
enabled
|
Включение/отключение сервера аутентификации.
|
|
description
|
Описание LDAP-коннектора.
|
|
ssl
|
Определяет:
|
|
address
|
IP-адрес контроллера или название домена LDAP.
|
|
bind-dn
|
Имя пользователя, которое будет использоваться для подключения к серверу; указывается в формате DOMAIN\username или username@domain. Пользователь должен быть заведён в домене.
|
|
password
|
Пароль пользователя для подключения к домену.
|
|
domains
|
Список доменов, которые обслуживаются указанным контроллером домена.
|
|
search-roots
|
Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com. Если пути поиска не указаны, то поиск производится по всему каталогу, начиная от корня.
|
Для редактирования информации о существующем LDAP-коннекторе используется команда:
Admin/system@nodename# set users auth-server ldap <ldap-server-name> <parameter>
Параметры, доступные для обновления, аналогичны параметрам создания LDAP-коннектора.
Команда для отображения информации о LDAP-коннекторе:
Admin/system@nodename# show users auth-server ldap <ldap-server-name>
Примеры команд создания и редактирования LDAP-коннектора:
Admin/system@nodename# create users auth-server ldap name "New LDAP connector" ssl on address 10.10.0.10 bind-dn ug@testd.local password 12345 domains [ testd.local ] search-roots [ dc=testd,dc=local ] enabled on
Admin/system@nodename# show users auth-server ldap "New LDAP connector"
name : New LDAP connector
enabled : on
ssl : on
address : 10.10.0.10
bind-dn : ug@testd.local
domains : testd.local
search-roots : dc=testd,dc=local
keytab_exists : off
Admin/system@nodename# set users auth-server ldap "New LDAP connector" description "New LDAP connector description"
Admin/system@nodename# show users auth-server ldap "New LDAP connector"
name : New LDAP connector
description : New LDAP connector description
enabled : on
ssl : on
address : 10.10.0.10
bind-dn : ug@testd.local
domains : testd.local
search-roots : dc=testd,dc=local
keytab_exists : off
Для удаления LDAP-коннектора используется команда:
Admin/system@nodename# delete users auth-server ldap <ldap-server-name> <parameter>
Также возможно удаления отдельных параметров LDAP-коннектора. Для удаления доступны следующие параметры:
Настройка RADIUS-сервера
Настройка RADIUS-сервера производится на уровне users auth-server radius.
Для создания сервера аутентификации RADIUS используется команда со следующей структурой:
Admin/system@nodename# create users auth-server radius <parameter>
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Имя RADIUS-сервера.
|
|
enabled
|
Включение/отключение сервера аутентификации.
|
|
description
|
Описание сервера аутентификации.
|
|
secret
|
Общий ключ, используемый протоколом RADIUS для аутентификации.
|
|
addresses
|
IP-адрес и UDP-порт, на котором сервер RADIUS слушает запросы (по умолчанию порт 1812); указывается в формате <ip:port>.
|
Команда для обновления информации о сервере RADIUS:
Admin/system@nodename# set users auth-server radius <radius-server-name> <parameter>
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации.
Команда для отображения информации о RADIUS-сервере:
Admin/system@nodename# show users auth-server radius <radius-server-name>
Примеры команд создания и редактирования RADIUS-сервера:
Admin/system@nodename# create users auth-server radius name "New RADIUS server" addresses [ 10.10.0.9:1812 ] secret 12345 enabled on
Admin/system@nodename# show users auth-server radius "New RADIUS server"
name : New RADIUS server
enabled : on
addresses :
host : 10.10.0.9
port : 1812
Admin/system@nodename# set users auth-server radius "New RADIUS server" description "New RADIUS server description"
Admin/system@nodename# show users auth-server radius "New RADIUS server"
name : New RADIUS server
description : New RADIUS server description
enabled : on
addresses :
host : 10.10.0.9
port : 1812
Для удаления сервера:
Admin/system@nodename# delete users auth-server radius <radius-server-name> <parameter>
Также возможно удаления отдельных параметров RADIUS-сервера. Для удаления доступны следующие параметры:
Настройка сервера TACACS+
Настройка сервера TACACS+ производится на уровне users auth-server tacacs.
Для создания сервера аутентификации TACACS+ используется команда со следующей структурой:
Admin/system@nodename# create users auth-server tacacs <parameter>
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Имя сервера TACACS+.
|
|
enabled
|
Включение/отключение сервера.
|
|
description
|
Описание сервера аутентификации.
|
|
secret
|
Общий ключ, используемый протоколом TACACS+ для аутентификации.
|
|
address
|
IP-адрес сервера TACACS+.
|
|
port
|
UDP-порт, на котором сервер TACACS+ слушает запросы на аутентификацию. По умолчанию это порт UDP 1812.
|
|
single-connection
|
Использовать одно TCP-соединение для работы с сервером TACACS+.
|
|
timeout
|
Время ожидания сервера TACACS+ для получения аутентификации. По умолчанию 4 секунды.
|
Команда для редактирования информации о сервере TACACS+:
Admin/system@nodename# set users auth-server tacacs <tacacs-server-name> <parameter>
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации.
Команда для отображения информации о сервере TACACS+:
Admin/system@nodename# show users auth-server tacacs <tacacs-server-name>
Примеры команд для создания и редактирования сервера TACACS+:
Admin/system@nodename# create users auth-server tacacs address 10.10.0.11 name "New TACACS+ server" port 1812 secret 12345 enabled on
Admin/system@nodename# show users auth-server tacacs "New TACACS+ server"
name : New TACACS+ server
enabled : on
address : 10.10.0.11
port : 1812
single-connection : off
timeout : 4
Admin/system@nodename# set users auth-server tacacs "New TACACS+ server" description "New TACACS+ server description"
Admin/system@nodename# show users auth-server tacacs "New TACACS+ server"
name : New TACACS+ server
description : New TACACS+ server description
enabled : on
address : 10.10.0.11
port : 1812
single-connection : off
timeout : 4
Для удаления сервера:
Admin/system@nodename# delete users auth-server tacacs <tacacs-server-name>
Настройка профилей аутентификации
Настройка профилей аутентификации производится на уровне users auth-profile.
Для создания профиля аутентификации используется следующая команда:
Admin/system@nodename# create users auth-profile <parameter>
Далее необходимо указать следующие параметры:
|
Параметр
|
Описание
|
|
name
|
Название профиля.
|
|
description
|
Описание профиля.
|
|
idle-time
|
Время бездействия до отключения; указывается в секундах. Через указанный промежуток времени при отсутствии активности пользователь перейдёт в статус Unknown user.
|
|
expiration-time
|
Время жизни аутентифицированного пользователя; указывается в секундах. Через указанный промежуток времени пользователь перейдёт в статус Unknown user; необходима повторная аутентификация пользователя.
|
|
max-attempts
|
Число неудачных попыток аутентификации до блокировки учётной записи пользователя.
|
|
lockout-time
|
Время, на которое блокируется учетная запись пользователя при достижении указанного числа неудачных попыток аутентификации; указывается в секундах.
|
|
auth-methods
|
Метод аутентификации:
-
ldap: аутентификация с использованием LDAP-коннектора.
-
radius: аутентификация с использованием RADIUS-сервера.
-
tacacs: аутентификация с использованием сервера TACACS+.
|
Команда для редактирования настроек профилей аутентификации:
Admin/system@nodename# set users auth-profile <auth-profile-name> <parameter>
Для обновления доступен список параметров, аналогичный списку параметров команды create.
Пример создания и редактирования профиля аутентификации пользователя:
Admin/system@nodename# create users auth-profile name "New LDAP auth profile" auth-methods ldap [ "New LDAP connector" ]
Admin/system@nodename# show users auth-profile "New LDAP auth profile"
name : New LDAP auth profile
max-attempts : 5
idle-time : 900
expiration-time : 86400
lockout-time : 300
mfa : none
auth-methods :
http-basic : off
local-user-auth : off
policy-accept : off
Admin/system@nodename# set users auth-profile "New LDAP auth profile" description "New LDAP auth profile description"
Admin/system@nodename# show users auth-profile "New LDAP auth profile"
name : New LDAP auth profile
description : New LDAP auth profile description
max-attempts : 5
idle-time : 900
expiration-time : 86400
lockout-time : 300
mfa : none
auth-methods :
http-basic : off
local-user-auth : off
policy-accept : off
ldap : New LDAP connector
Через интерфейс командной строки возможно удаления всего профиля или отдельных способов аутентификации, заданных в профиле. Для этого используются следующие команды.
Для удаления профиля аутентификации:
Admin/system@nodename# delete users auth-profile <auth-profile-name>
Для удаления методов аутентификации, заданных в профиле, необходимо указать метод аутентификации (доступные методы авторизации перечислены в таблице выше):
Admin/system@nodename# delete users auth-profile <auth-profile-name> auth-methods <auth-metod>
|
