Настройка LogAn

Расширение системного раздела

 Для расширения системного раздела с сохранением конфигурации и данных узла UserGate:

1. С помощью гипервизора добавьте новый диск необходимого размера в свойствах виртуальной машины UserGate.

2. В меню загрузки узла UserGate войдите в раздел Support menu.

3. В открывшемся разделе выберите Expand data partition и запустите процесс расширения системного раздела.

4. После завершения процесса расширения загрузите узел и в разделе Дашборды в виджете Диски проверьте размер системного раздела.

ПримечаниеРасширение системного раздела путем увеличения размера имеющегося диска виртуальной машины возможно только при сбросе узла до заводских параметров, то есть при выполнении операции factory reset. 
Серверы аутентификации

Серверы аутентификации - это внешние источники учетных записей пользователей для авторизации в веб-консоли управления UserGate Log Analyzer. LogAn поддерживает следующие серверы аутентификации: LDAP-коннектор, RADIUS и TACACS+.

LDAP-коннектор

LDAP-коннектор позволяет:

  • Получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Поддерживается работа с LDAP-сервером FreeIPA.

  • Осуществлять авторизацию администраторов LogAn через домены Active Directory/FreeIPA.

Для создания LDAP-коннектора необходимо нажать на кнопку Добавить, выбрать Добавить LDAP-коннектор и указать следующие параметры:

Наименование

Описание

Включено

Включает или отключает использование данного сервера аутентификации.

Название

Название сервера аутентификации.

SSL

Определяет, требуется ли SSL-соединение для подключения к LDAP-серверу.

Доменное имя LDAP или IP-адрес

IP-адрес контроллера домена, FQDN контроллера домена или FQDN домена (например, test.local). Если указан FQDN, то UserGate получит адрес контроллера домена с помощью DNS-запроса. Если указан FQDN домена, то при отключении основного контроллера домена, UserGate будет использовать резервный.

Bind DN («login»)

Имя пользователя, которое необходимо использовать для подключения к серверу LDAP. Имя необходимо использовать в формате DOMAIN\username или username@domain. Данный пользователь уже должен быть заведен в домене

Пароль

Пароль пользователя для подключения к домену.

Домены LDAP

Список доменов, которые обслуживаются указанным контроллером домена, например, в случае дерева доменов или леса доменов Active Directory. Здесь же можно указать короткое netbios имя домена.

Пути поиска

Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com.

После создания сервера необходимо проверить корректность параметров, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения.

Настройка LDAP-коннектора завершена. Для входа в консоль пользователям LDAP необходимо указывать имя в формате:

domain\user/system или user@domain/system

Сервер аутентификации RADIUS

Сервер аутентификации RADIUS позволяет производить авторизацию пользователей в веб-консоли UserGate, который выступает в роли RADIUS-клиента. При авторизации через RADIUS-сервер UserGate посылает на серверы RADIUS информацию с именем и паролем пользователя, а RADIUS-сервер отвечает, успешно прошла аутентификация или нет.

Для добавления сервера аутентификации RADIUS необходимо нажать Добавить, выбрать Добавить RADIUS-сервер и указать следующие параметры:

Наименование

Описание

Включено

Включение/отключение использования данного сервера аутентификации.

Название

Название сервера аутентификации RADIUS.

Описание

Описание сервера (опционально).

Секрет

Общий ключ, используемый протоколом RADIUS для аутентификации.

Адреса

Указание IP-адреса сервера и UDP-порта, на котором сервер RADIUS слушает запросы на аутентификацию (по умолчанию, 1812).

Для авторизации пользователей в веб-интерфейсе UserGate с помощью сервера RADIUS необходимо настроить профиль аутентификации. Подробнее о создании и настройке профилей читайте в разделе Профили аутентификации.

Сервер аутентификации TACACS+

Сервер TACACS+ позволяет производить авторизацию пользователей в консоли администрирования UserGate. При использовании сервера UserGate передаёт на серверы аутентификации информацию с именем и паролем пользователя, после чего серверы TACACS+ отвечают, успешно прошла аутентификация или нет.

Для добавления сервера аутентификации TACACS+ необходимо нажать Добавить, выбрать Добавить TACACS+ сервер и указать следующие параметры:

Наименование

Описание

Включено

Включение/отключение использования данного сервера аутентификации.

Название

Название сервера аутентификации TACACS+.

Описание

Описание сервера (опционально).

Секретный ключ

Общий ключ, используемый протоколом TACACS+ для аутентификации.

Адрес

IP-адрес сервера TACACS+.

Порт

UDP-порт, на котором сервер TACACS+ слушает запросы на аутентификацию.

Использовать одно TCP-соединение

Использовать одно TCP-соединение для работы с сервером TACACS+.

Таймаут (сек)

Время ожидания сервера TACACS+ для получения аутентификации. По умолчанию 4 секунды.

Для авторизации пользователей в веб-интерфейсе UserGate с помощью сервера TACACS+ необходимо настроить профиль аутентификации. Подробнее о создании и настройке профилей читайте в разделе Профили аутентификации.

Управление устройством

Раздел Управление устройством определяет следующие установки LogAn:

Диагностика

Этот блок предназначен для настройки параметров диагностики и предоставления удаленного доступа службе технической поддержки UserGate с целью анализа и устранения неисправностей.

Параметры диагностики

С помощью параметра Детализация диагностики вы можете установить уровень журналирования устройства. Доступны следующие уровни:

  • Off — ведение журналов диагностики отключено.

  • Error — журналировать только ошибки в работе устройства.

  • Warning — журналировать только ошибки и предупреждения.

  • Info — журналировать только ошибки, предупреждения и дополнительную информацию.

  • Debug — журналировать все возможные события.

При журналировании с уровнями Warning, Info и Debug может снижаться производительность устройства, поэтому рекомендуется устанавливать уровни Error или Off, если технической поддержкой UserGate не было предложено иное.

Управление журналами

Вы можете скачать диагностические журналы для их передачи в службу технической поддержки UserGate. Для скачивания доступны журналы веб-консоли и системные журналы. Скачать выбранные журналы можно после их архивирования командой Начать архивирование журналов.

Чтобы удалить архивные (не активные в настоящий момент) журналы, нажмите Очистить файлы логов.

Удаленный помощник

Чтобы предоставить доступ к устройству для службы технической поддержки UserGate с целью диагностирования и устранения неисправностей, необходимо активировать функцию удаленного помощника и получить параметры сеансового доступа.

Процесс подключения к устройству происходит следующим образом:

1. Администратор устройства UserGate активирует функцию удаленного помощника.

2. Устройство устанавливает защищенное соединение с сервером удаленного помощника UserGate по протоколу SSH. При успешном подключении в интерфейсе устройства UserGate отобразятся параметры сеансового доступа: идентификатор и токен.

3. Администратор устройства UserGate передает параметры сеансового доступа специалисту технической поддержки UserGate.

4. Специалист технической поддержки устанавливает защищенное соединение по протоколу SSH с сервером удаленного помощника UserGate и с помощью параметров сеансового доступа подключается к устройству UserGate.

Операции с сервером

Данный раздел позволяет произвести следующие операции с сервером:

Наименование

Описание

Операции с сервером

  • Перезагрузить — перезагрузка сервера LogAn.

  • Выключить — выключение сервера LogAn.

Обновления

Выбор канала обновлений ПО LogAn:

  • Стабильные — проверка наличия стабильных обновлений ПО.

  • Бета — проверка наличия экспериментальных обновлений.

Обновления сервера

Индикация имеющихся обновлений сервера UserGate.

Запуск процесса обновления сервера с возможностью создания точки восстановления.

Просмотр списка изменений ПО в обновлении.

Офлайн обновления

Загрузка файла для офлайн обновления.

Настройки вышестоящего прокси для проверки лицензий и обновлений

Настройка параметров вышестоящего HTTP(S) прокси-сервера для обновления лицензии и обновления ПО сервера UserGate.

Необходимо указать IP-адрес и порт вышестоящего прокси сервера. При необходимости указать логин и пароль для аутентификации на вышестоящем прокси-сервере.

Компания UserGate постоянно работает над улучшением качества своего программного обеспечения и предлагает обновления продукта LogAn в рамках подписки на модуль лицензии Security Update (подробно о лицензировании смотрите в разделе Лицензирование LogAn). При наличии обновлений в разделе Управление устройством отобразится соответствующее оповещение. Обновление продукта может занять довольно длительное время, рекомендуется планировать установку обновлений с учетом возможного времени простоя LogAn.

Для установки обновлений необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать файл резервного копирования

Создать резервную копию состояния LogAn, как это описано в разделе Системные утилиты. Данный шаг рекомендуется всегда выполнять перед применением обновлений, поскольку он позволит восстановить предыдущее состояние устройства в случае возникновения каких-либо проблем во время применения обновлений.

Шаг 2. Установить обновления

В разделе Управление устройством при наличии оповещения Доступны новые обновления нажать на ссылку Установить сейчас. Система установит скачанные обновления, по окончании установки LogAn будет перезагружен.

Управление резервным копированием

Данный раздел позволяет управлять резервным копированием UserGate: настройка правил экспорта конфигурации, создание резервной копии, восстановление устройства UserGate.

Для создания резервной копии необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать резервную копию

В разделе Управление устройством ➜ Управление резервным копированием нажать Создание резервной копии. Система сохранит текущие настройки сервера под следующим именем:

backup_PRODUCT_NODE-NAME_DATE.gpg, где

PRODUCT — тип продукта: NGFW, LogAn, MC;

NODE-NAME — имя узла UserGate;

DATE — дата и время создания резервной копии в формате YYYY-MM-DD-HH-MM; время указывается в часовом поясе UTC.

Процесс создания резервной копии может быть прерван нажатием кнопки Остановить. Запись о создании резервной копии отобразится в журнале событий устройства.

Для восстановления состояния устройства необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Восстановить состояние устройства

В разделе Управление устройством ➜ Управление резервным копированием нажать Восстановление из резервной копии и указать путь к ранее созданному файлу настроек для его загрузки на сервер. Восстановление будет предложено в консоли tty при перезагрузке устройства.

Дополнительно администратор может настроить сохранение файлов на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать правило экспорта конфигурации

В разделе Управление устройством ➜ Управление резервным копированием нажать кнопку Добавить, указать имя и описание правила.

Шаг 2. Указать параметры удаленного сервера

Во вкладке правила Удаленный сервер указать параметры удаленного сервера:

  • Тип сервера — FTP или SSH.

  • Адрес сервера — IP-адрес сервера.

  • Порт — порт сервера.

  • Логин — учетная запись на удаленном сервере.

  • Пароль/Повторите пароль — пароль учетной записи.

  • Путь на сервере — путь на сервере, куда будут выгружены настройки.

В случае использование SSH-сервера возможно использование авторизации по ключу. Для импорта или генерации ключа необходимо выбрать Настроить SSH-ключ и указать Сгенерировать ключи или Импортировать ключ.

Важно! При повторном создании ключа существующий SSH-ключ будет удален. Публичный ключ должен находиться на SSH-сервере в директории пользовательских ключей /home/user/.ssh/ в файле authorized_keys.

При первоначальной настройке правила экспорта резервного копирования по SSH обязательна проверка соединения (кнопка Проверить соединение); при проверке соединения fingerprint помещается в known_hosts, без проверки файлы не будут отправляться.

Важно! Если сменить сервер SSH или его переустановить, то файлы резервного копирования будут недоступны, так как fingerprint изменится - это защита от спуфинга.

Шаг 3. Выбрать расписание выгрузки

Во вкладке правила Расписание указать необходимое время отправки настроек. В случае задания времени в crontab-формате, задайте его в следующем виде:

(минуты:0-59) (часы:0-23) (дни месяца:1-31) (месяц:1-12) (день недели:0-6, 0-воскресенье)

Каждое из первых пяти полей может быть задано следующим образом:

  • Звездочка (*) — обозначает весь диапазон (от первого до последнего).

  • Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

  • Звездочка и тире используются для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

Экспорт и импорт настроек

Администратор имеет возможность сохранить текущие настройки LogAn в файл и впоследствии восстановить эти настройки на этом же или другом сервере LogAn. В отличие от резервного копирования, экспорт/импорт настроек не сохраняет текущее состояние всех компонентов комплекса, сохраняются только текущие настройки.

ПримечаниеЭкспорт/импорт настроек не восстанавливает состояние интерфейсов и информацию о лицензии. После окончания процедуры импорта необходимо повторно зарегистрировать LogAn с помощью имеющегося ПИН-кода и настроить интерфейсы.

Для экспорта настроек необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Экспорт настроек

В разделе Управление устройством ➜ Экспорт и импорт настроек нажмите Экспорт и выберите Экспортировать все настройки или Экспортировать сетевые настройки. Система сохранит:

  • текущие настройки сервера под именем:

    logan_core-logan_core@nodename_version_YYYYMMDD_HHMMSS.bin

  • сетевые настройки под именем:

    network-logan_core-logan_core@nodename_version_YYYYMMDD_HHMMSS.bin

nodename — имя узла LogAn.

version — версия LogAn.

YYYYMMDD_HHMMSS — дата и время выгрузки настроек в часовом поясе UTC.

Например, logan_core-logan_core@ranreahattha_6.2.0.13494RS-1_20211227_091350.bin или network-logan_core-logan_core@ranreahattha_6.2.0.13494RS-1_20211227_091407.bin.

Для применения созданных ранее настроек необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Импорт настроек

В разделе Управление устройством ➜ Экспорт и импорт настроек нажать Импорт и указать путь к ранее созданному файлу настроек. Указанные настройки применятся к серверу, после чего сервер будет перезагружен

Дополнительно администратор может настроить сохранение настроек на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать правило экспорта

В разделе Управление устройством ➜ Экспорт и импорт настроек нажать кнопку Добавить, указать имя и описание правила.

Шаг 2. Указать параметры удаленного сервера

Во вкладке правила Удаленный сервер указать параметры удаленного сервера:

  • Тип сервера — FTP или SSH.

  • Адрес сервера — IP-адрес сервера.

  • Порт — порт сервера.

  • Логин — учетная запись на удаленном сервере.

  • Пароль/Повторите пароль — пароль учетной записи.

  • Путь на сервере — путь на сервере, куда будут выгружены настройки.

Шаг 3. Выбрать расписание выгрузки

Во вкладке правила Расписание указать необходимое время отправки настроек. В случае задания времени в CRONTAB-формате, задайте его в следующем виде:

(минуты:0-59) (часы:0-23) (дни месяца:1-31) (месяц:1-12) (день недели:0-6, 0-воскресенье)

Каждое из первых пяти полей может быть задано следующим образом:

  • Звездочка (*) — обозначает весь диапазон (от первого до последнего).

  • Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

  • Звездочка и тире используются для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа.
Управление сертификатами

LogAn использует защищенный протокол HTTPS для управления устройством. Для выполнения данной функции LogAn использует сертификат типа SSL веб-консоли.

Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать сертификат

Нажать на кнопку Создать в разделе Сертификаты.

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

  • Название — название сертификата, под которым он будет отображен в списке сертификатов.

  • Описание — описание сертификата.

  • Страна — страна, в которой выписывается сертификат.

  • Область или штат — область или штат, в котором выписывается сертификат.

  • Город — город, в котором выписывается сертификат.

  • Название организации — название организации, для которой выписывается сертификат.

  • Common name — имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров.

  • E-mail — email вашей компании.

Шаг 3. Указать, для чего будет использован данный сертификат

После создания сертификата необходимо указать его роль в LogAn. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата — SSL веб-консоли. После этого LogAn перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата.

LogAn позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.

Для экспорта сертификата необходимо:

Наименование

Описание

Шаг 1. Выбрать сертификат для экспорта

Выделить необходимый сертификат в списке сертификатов.

Шаг 2. Экспортировать сертификат

Выбрать тип экспорта:

  • Экспорт сертификата — экспортирует данные сертификата в der-формате без экспортирования приватного ключа сертификата. Используйте файл, полученный в результате экспорта сертификата для инспектирования SSL, для установки его в качестве локального удостоверяющего центра на компьютеры пользователей.

  • Экспорт CSR — экспортирует CSR сертификата, например, для подписи его удостоверяющим центром.

ПримечаниеРекомендуется сохранять сертификат для возможности его последующего восстановления.

ПримечаниеВ целях безопасности LogAn не разрешает экспорт приватных ключей сертификатов.

Для импорта сертификата необходимо иметь файлы сертификата и — опционально — приватного ключа сертификата и выполнить следующие действия:

Наименование

Описание

Шаг 1. Начать импорт

Нажать на кнопку Импорт.

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

  • Название — название сертификата, под которым он будет отображен в списке сертификатов.

  • Описание — описание сертификата.

  • Файл сертификата: файл, содержащий данные сертификата.

  • Приватный ключ: файл, содержащий приватный ключ сертификата.

  • Пароль для приватного ключа, если таковой требуется.

  • Цепочка сертификатов — файл, содержащий сертификаты вышестоящих центров сертификации, которые участвовали в создании сертификата (необязательное поле).
Раздел настройки

Раздел Настройки определяет базовые установки LogAn:

Наименование

Описание

Настройки интерфейса

Настройки интерфейса LogAn:

  • Часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т.п.

  • Язык интерфейса по умолчанию — язык, который будет использоваться по умолчанию в консоли.

Настройка времени сервера

Настройка параметров установки точного времени:

  • Использовать NTP — использовать сервера NTP из указанного списка для синхронизации времени.

  • Основной сервер NTP — адрес основного сервера точного времени. Значение по умолчанию — pool.ntp.org

  • Запасной сервер NTP — адрес запасного сервера точного времени.

  • Время на сервере — позволяет установить время на сервере. Время должно быть указано в часовом поясе UTC.

Системные DNS-серверы

Укажите корректные IP-адреса серверов DNS в настройках.

Расписание скачивания обновлений

Настройка расписания скачивания обновлений ПО и библиотек. Также возможно проверить наличие обновлений вручную нажатием на Проверка обновлений.

Состояние сборщика логов

Отображается текущее состояние сервера LogAn:

  • Состояние — показывает текущее состояние сервиса статистики.

  • Версия устройства — версия LogAn.

Агент UserGate Management Center

Настройки для подключения устройства к центральной консоли управления, позволяющей управлять парком устройств LogAn из одной точки.

  • Включен/Выключен — включение или отключение управления с помощью UGMC.

  • Адрес UserGate Management Center — адрес сервера в формате IPv4-адреса, FQDN (допускается использование IDN-адреса).

  • Код устройства — токен, требуемый для подключения к UGMC.

Профили аутентификации

Профиль позволяет определить набор способов авторизации пользователей в консоли администрирования UserGate. При создании или настройке профиля достаточно указать:

Наименование

Описание

Название

Название профиля аутентификации.

Описание

Описание профиля (опционально).

Методы аутентификации

Методы аутентификации пользователей, настроенные ранее: LDAP-коннектор, серверы аутентификации RADIUS, TACACS+.
Каталоги пользователей

В разделе Каталоги пользователей можно добавить LDAP-коннектор для организации доступа серверов LogAn/SIEM к серверу AD. Доступ к AD позволяет при необходимости обновить информацию об имени пользователя в журналах, импортированных из различных сенсоров.

Для создания LDAP-коннектора необходимо нажать на кнопку Добавить и указать следующие параметры:

Наименование

Описание

Включено

Включает или отключает использование данного LDAP-коннектора.

Название

Название LDAP-коннектора.

Описание

Описание LDAP-коннектора.

SSL

Определяет, требуется ли SSL-соединение для подключения к LDAP-серверу.

Доменное имя LDAP или IP-адрес

IP-адрес контроллера домена, FQDN контроллера домена или FQDN домена (например, test.local). Если указан FQDN, то UserGate получит адрес контроллера домена с помощью DNS-запроса. Если указан FQDN домена, то при отключении основного контроллера домена, UserGate будет использовать резервный.

Bind DN («login»)

Имя пользователя, которое необходимо использовать для подключения к серверу LDAP. Имя необходимо использовать в формате DOMAIN\username или username@domain. Данный пользователь уже должен быть заведен в домене.

Пароль

Пароль пользователя для подключения к домену.

Домены LDAP

Список доменов, которые обслуживаются указанным контроллером домена, например, в случае дерева доменов или леса доменов Active Directory. 

Пути поиска

Список путей на сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com.

После заполнения параметров LDAP-коннектора можно проверить корректность конфигурации, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения.

Администраторы

Доступ к веб-консоли LogAn регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети.

ПримечаниеПри первоначальной настройке LogAn создается локальный суперпользователь Admin.

Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать профиль доступа администратора

В разделе Администраторы ➜ Профили администраторов нажать кнопку Добавить и указать необходимые настройки.

Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора

В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:

  • Добавить локального администратора — создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа.

  • Добавить пользователя LDAP — добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы аутентификации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.

  • Добавить группу LDAP — добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы аутентификации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.

  • Добавить администратора с профилем аутентификации. Данная опция позволяет производить аутентификацию администратора с помощью профиля аутентификации, в котором в списке доступных методов аутентификации указаны заранее настроенные серверы, такие как LDAP, TACACS+ или RADIUS. Если в профиле аутентификации указано сразу несколько методов аутентификации, будут перебираться все методы по очереди до первого сработавшего. 

Для использования данного метода заранее в разделе Серверы аутентификации должны быть корректно созданы соответствующие серверы аутентификации (подробнее о создании серверов аутентификации читайте в разделе документации Серверы аутентификации). Также должен быть  создан профиль аутентификации в разделе Профили аутентификации (подробнее — в разделе Профили аутентификации).

При создании профиля доступа администратора необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля.

Описание

Описание профиля.

Права доступа

Список объектов дерева веб-консоли, доступных для делегирования. В качестве доступа можно указать:

  • Нет доступа.

  • Чтение.

  • Чтение и запись.

Администратор LogAn может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации.

Для настройки этих параметров необходимо:

Наименование

Описание

Шаг 1. Настроить политику паролей

В разделе Администраторы ➜ Администраторы нажать кнопку Настроить.

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

  • Сложный пароль — включает дополнительные параметры сложности пароля, задаваемые ниже, такие как — минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа.

  • Число неверных попыток аутентификации — количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки.

  • Время блокировки — время, на которое блокируется учетная запись.
ПримечаниеДополнительные параметры защиты учетной записи администратора применимы только к локальным учетным записям. Если в качестве администратора устройства выбирается учетная запись из внешнего каталога (например, LDAP), то параметры защиты для такой учетной записи определяются этим внешним каталогом.

В разделе Администраторы ➜ Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования LogAn. При необходимости любую из сессий администраторов можно закрыть (сбросить).

Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8010).

ПримечаниеНе рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети Интернет.

Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.

Кластеризация и отказоустойчивость

Общие принципы

Для построения отказоустойчивого решения LogAn необходимо настроить два типа кластеров — кластер конфигурации и кластер отказоустойчивости.

Кластер конфигурации — это объединение нескольких узлов в одну общую схему. Входящие в кластер конфигурации узлы «видят» друг друга и синхронизируют свою конфигурацию. При этом часть настроек для каждого из узлов кластера уникальна, например, настройки сетевых интерфейсов, шлюзов, маршрутов, настройки диагностики.

Кластер отказоустойчивости обеспечивает работу сетевых операций на узлах, входящих в кластер конфигурации, например, переключаемый виртуальный IP, который по определённым правилам мигрирует с одного узла на другой.

Кластер отказоустойчивости и кластер конфигурации работают на разных протоколах и в разных окружениях. При этом информация о статусе кластера отказоустойчивости распространяется между узлами через кластер конфигурации. Речь идёт именно об информации о статусе, а не о данных, которыми кластер отказоустойчивости поддерживает свою работу. Статус узлов кластера отображается в веб-консоли.

Минимальный состав отказоустойчивого решения LogAn состоит из двух узлов LogAn и узла-арбитра.

Максимальное количество узлов в кластере — 4, один из которых является арбитром.

Узел-арбитр предназначен для определения кворума в конфигурации для обеспечения консистентности данных..Он не несёт в себе функции полноценного LogAn (сбор, хранение, обработка данных), но участвует в процедуре определения большинства согласно алгоритму распределённого консенсуса для согласования операций в отказоустойчивом кластере. 

На данном этапе отказоустойчивым кластером LogAn поддерживается режим работы Актив-Пассив. В режиме Актив-Пассив один из узлов выступает в роли мастер-узла, обрабатывающего трафик, а другой — в качестве резервного. Для кластера указывается один или более виртуальных IP-адресов. Переключение виртуальных адресов с главного на один из запасных узлов происходит при следующих событиях:

  • Запасной узел не получает подтверждения о том, что главный узел в сети, например, если он выключен или отсутствует сетевая доступность узлов.

  • Изменение приоритета мастер-узла. Например, приоритет мастер-узла уменьшается при отключении одного или нескольких сетевых интерфейсов, на которых назначены виртуальные IP-адреса. Также приоритет узла может быть изменен явным образом через смену мастера в веб-консоли устройства. 

  • Сбой в работе ПО.

Создание отказоустойчивого кластера LogAn

Для создания отказоустойчивого кластера LogAn необходимо сначала настроить кластер конфигурации, объединив в него необходимые узлы, затем настроить кластер отказоустойчивости. 

Настройка кластера конфигурации

Для создания кластера конфигурации необходимо выполнить следующие шаги:

1. Выполнить первоначальную настройку на первом узле. Подробнее читайте в главе Первоначальная настройка

2. Настроить на первом узле зону, через интерфейсы которой будет выполняться репликация кластера. 

В разделе Зоны создать выделенную зону для репликации настроек кластера. В настройках доступа зоны разрешить следующие сервисы:

  • Консоль администрирования

  • Кластер

Важно! Не следует использовать для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например, к Интернету.

3. В разделе Кластер конфигурации указать IP-адрес, который будет использоваться для связи с другими узлами кластера.

4. Сгенерировать секретный код на первом узле, нажав одноимённую кнопку в разделе Кластер конфигурации. Полученный код скопировать в буфер обмена. Данный секретный код необходим для одноразовой авторизации следующего узла при добавлении его в кластер.

5. Подключить второй узел в кластер. 

В процессе первоначальной установки второго узла подключиться к его веб-консоли, выбрать язык установки.

Указать интерфейс, который будет использован для подключения к первому узлу кластера и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.

Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить:

Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и настройки первого узла кластера реплицируются на второй.

Состояние узлов кластера конфигурации отображается в разделе Кластер конфигурации:

6. Назначить зоны интерфейсам второго узла. В веб-консоли второго узла кластера в разделе Сеть ➜ Интерфейсы необходимо назначить каждому интерфейсу корректную зону. Зоны и их настройки получены в результате репликации данных с первого узла кластера.

7. Подключить в кластер узел, который будет в дальнейшем исполнять роль арбитра.

Сгенерировать секретный код на первом узле, нажав одноимённую кнопку в разделе Кластер конфигурации. Полученный код скопировать в буфер обмена. Данный код необходим для одноразовой авторизации нового узла при добавлении его в кластер.

В процессе первоначальной установки третьего узла подключиться к его веб-консоли, выбрать язык установки.

Указать интерфейс, который будет использован для подключения к первому узлу кластера и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера. Поставить флажок Перевести ноду в режим арбитра.

Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить:

Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и настройки первого узла кластера реплицируются на новый узел.

Состояние узлов кластера конфигурации отображается в разделе Кластер конфигурации. Узел-арбитр помечается в списке узлов кластера соответствующей иконкой:

8. Настроить параметры, индивидуальные для каждого узла кластера (опционально). Настроить шлюзы, маршруты, параметры OSPF, BGP, индивидуальные для каждого из узлов.

Настройка кластера отказоустойчивости

Узлы кластера конфигурации можно объединить в отказоустойчивый кластер. В настоящий момент поддерживается режим кластера отказоустойчивости Актив-Пассив.

В режиме Актив-Пассив один из узлов LogAn выступает в роли мастер-узла, принимающего трафик, а другой — в качестве резервного. На каждом из узлов кластера выбираются сетевые интерфейсы, у которых обязательно должны быть определены IP-адреса.

Администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своём состоянии.

Для создания кластера отказоустойчивости необходимо в разделе Кластеры отказоустойчивости нажать иконку "+" :

В открывшемся окне свойств кластера отказоустойчивости произвести следующие настройки:

На вкладке Общие:

  • Указать название кластера отказоустойчивости.

  • Задать значение идентификатора виртуального маршрутизатора. VRID должен быть уникален для каждого VRRP-кластера в локальной сети. 

  • Поставить флажок Включено для активации кластера.

На вкладке Узлы выбрать узлы кластера конфигурации, которые войдут в создаваемый кластер отказоустойчивости.

На вкладке Виртуальные IP указать виртуальный IP-адрес и маску сети кластера отказоустойчивости, выбрать основные узлы и порты, на которых будет работать VRRP. 

Отображение состояния кластера отказоустойчивости

Состояние и роль входящих в кластер узлов можно увидеть в разделе Кластеры отказоустойчивости. Роли узлов отмечены соответствующими иконками: звёздочкой отмечен активный мастер-узел, свистком — узел-арбитр. 

При успешном создании кластера его состояние отображается следующим образом:

В случае недоступности мастер-узла кластера его роль перейдёт к резервному узлу. В веб-консоли второго узла поменяется статус состояния кластера и недоступного узла. При наведении на иконку статуса кластера указателя мыши отображается подсказка о причине изменения состояния кластера: 

В журнале событий отобразится соответствующая запись:

В случае неконсистентного состояния кластера отказоустойчивости его статус помечается соответствующей иконкой. При наведении на иконку указателя мыши отображается подсказка о причине данного состояния кластера:


Документация -> Log Analyzer -> Log Analyzer 7.x Руководство администратора -> Настройка LogAn
https://docs.usergate.com/342/