Управляемая область UserGate — это логический объект, представляющий одно предприятие или группу предприятий, управляемых единым администратором или группой администраторов. Для управления МЭ UserGate корневой администратор UGMC (или администратор UGMC с соответствующими полномочиями) должен создать как минимум одну область.
Для создания управляемой области администратор UGMC должен выполнить следующие действия:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать область |
В разделе веб-консоли Управляемые области ➜ Области нажать кнопку Добавить, заполнить необходимые поля. |
|
Шаг 2. Создать профиль администратора с типом администратор области |
В разделе веб-консоли Администраторы ➜ Профили администраторов нажать кнопку Добавить и создать профиль администратора с типом администратор области и правом на созданную на предыдущем шаге область. |
|
Шаг 3. Создать администратора области |
В разделе веб-консоли Администраторы ➜ Администраторы нажать кнопку Добавить и создать администратора с созданным ранее профилем. |
При создании области необходимо указать следующие поля:
|
Наименование |
Описание |
|---|---|
|
Область по умолчанию |
Если данная галочка установлена, то при авторизации в веб-консоль необязательно указывать имя области через слэш. |
|
Название |
Название области, например, ООО Юзергейт. |
|
Код области |
Код из нескольких букв и/или цифр. Код области необходимо указывать при входе в веб-консоль для управления данной областью. Например, UG. |
|
Описание |
Опциональное описание области. |
|
Количество устройств |
Если указано, то администратор области будет ограничен этим количеством и не сможет создать большее количество управляемых устройств. Заданное количество не может превышать количество лицензированных подключений. |
При создании профиля администратора необходимо указать тип администратора - администратор области и в качестве управляемой области указать созданную область. Для создания администратора области необходимо выбрать данный профиль администратора области. Подробнее о создании администраторов смотрите в главе данного руководства Администраторы.
После создания области и администратора данной области можно переключиться в режим управления данной областью. Для этого необходимо выйти из-под учетной записи администратора UGMC в веб-консоли и заново зайти под учетной записью администратора управляемой области. Имя администратора следует указать в следующем виде:
имя_администратора/код_области, например, Admin/UG.
Для возврата в консоль под администратором UGMC необходимо указать имя в следующем виде:
имя_администратора/system, например, Admin/system.
Доступ к веб-консоли управления областью регулируется с помощью создания дополнительных учетных записей администраторов области и назначения им профилей доступа.
Для создания дополнительных учетных записей администраторов области необходимо выполнить следующие действия:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать профиль доступа администратора области |
В консоли управления областью в разделе Администраторы ➜ Профили администраторов нажать кнопку Добавить и указать необходимые настройки. |
|
Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора |
В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:
|
При создании профиля доступа администратора необходимо указать следующие параметры:
|
Наименование |
Описание |
|---|---|
|
Название |
Название профиля |
|
Описание |
Описание профиля |
|
Права доступа на область |
Укажите права доступа на разделы настроек области, такие как администраторы, серверы авторизации, шаблоны устройств, группы шаблонов, управляемые устройства, журналы и отчеты. В качестве доступа можно указать:
|
|
Права доступа на шаблон |
Укажите здесь права на просмотр и/или изменение настроек всех или конкретных имеющихся шаблонов. Настройки представлены в виде объектов дерева веб-консоли МЭ UserGate, доступных для делегирования. В качестве доступа можно указать:
Например, можно разрешить сетевые настройки одной группе администраторов, а политики МЭ — другой. |
Серверы авторизации - это внешние источники учетных записей пользователей для авторизации в веб-консоли управления области. Работа сервера авторизации области аналогична работе сервера авторизации для UGMC, отличие лишь только в месте их использования. Задача серверов авторизации:
Получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Поддерживается работа с LDAP-сервером FreeIPA.
Осуществлять авторизацию администраторов областей через домены Active Directory/FreeIPA.
Для создания LDAP-коннектора необходимо нажать на кнопку Добавить, выбрать Добавить LDAP-коннектор и указать следующие параметры:
|
Наименование |
Описание |
|---|---|
|
Включено |
Включает или отключает использование данного сервера авторизации. |
|
Название |
Название сервера авторизации. |
|
SSL |
Определяет, требуется ли SSL-соединение для подключения к LDAP-серверу. |
|
Доменное имя LDAP или IP-адрес |
IP-адрес контроллера домена или название домена LDAP. Если указано доменное имя, то UserGate получит адрес сервера LDAP с помощью DNS-запроса. |
|
Bind DN («login») |
Имя пользователя, которое необходимо использовать для подключения к серверу LDAP. Имя необходимо использовать в формате DOMAIN\username или username@domain. Данный пользователь уже должен быть заведен в домене. |
|
Пароль |
Пароль пользователя для подключения к домену. |
|
Домены LDAP |
Список доменов, которые обслуживаются указанным контроллером домена, например, в случае дерева доменов или леса доменов Active Directory. Здесь же можно указать короткое netbios имя домена. |
|
Пути поиска |
Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com. |
После создания сервера необходимо проверить корректность параметров, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения.
Настройка LDAP-коннектора завершена. Для входа в консоль пользователям LDAP необходимо указывать имя в формате:
domain\user/ realm или user@domain/ realm