Управление доступом к интерфейсам администрирования

При первоначальной настройке UserGate NGFW по умолчанию создается локальная учетная запись суперадминистратора (Admin). Используя эту учетную запись, вы можете управлять доступом других администраторов к интерфейсам устройства: веб-интерфейсу, интерфейсу командной строки, а также программному интерфейсу REST API.

Суперадминистратор может создавать учетные записи дополнительных администраторов и назначать им профили доступа. Каждому профилю доступа соответствует набор разрешений на использование тех или иных функций продукта. Например, с помощью профиля доступа можно разрешить или запретить администратору подключаться к UserGate NGFW через интерфейс командной строки.

Вы также можете управлять доступом с помощью настройки зон. Для этого в разделе Настройки ➜ Сеть ➜ Зоны в свойствах зоны на вкладке Контроль доступа вы можете разрешить или запретить необходимое подключение.

В разделе Настройки ➜ UserGate ➜ Администраторы вы можете создавать учетные записи:

• Локальных администраторов. Учетные данные для аутентификации хранятся на сервере UserGate NGFW.

• Пользователей или групп пользователей LDAP. Аутентификация выполняется с помощью доменных учетных записей пользователей или групп пользователей. Предварительно в разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации необходимо настроить LDAP-коннектор. Логин учетной записи при аутентификации указывается в формате <логин администратора>@domain.

• Администраторов с профилем аутентификации. Для аутентификации используются профили аутентификации, настроенные в разделе Настройки ➜ Пользователи и устройства ➜ Профили аутентификации.

Инструкции по настройке серверов аутентификации приведены в разделе «Серверы аутентификации», по настройке профилей аутентификации — в разделе «Профили аутентификации».

Вы можете удалять созданные учетные записи и изменять их параметры, а также управлять состоянием учетных записей (включать и отключать их). Кроме того, вы можете разблокировать локальную учетную запись, которая была заблокирована (например в случае, если было превышено количество неудачных попыток аутентификации).

Для дополнительной защиты локальных учетных записей можно настроить парольную политику. Для доменных учетных записей, а также для учетных записей с профилями аутентификации параметры защиты определяются внешним источником учетных записей.

По умолчанию аутентификация администраторов выполняется по логину и паролю, вы можете изменить способ аутентификации в разделе Настройки ➜ UserGate ➜ Настройки ➜ Настройки интерфейса ➜ Режим аутентификации веб-консоли. Например, для более безопасного подключения можно выбрать аутентификацию по сертификатам и настроить цифровые сертификаты.

Создание профиля доступа

Для создания учетной записи должен быть создан хотя бы один профиль доступа с набором разрешений, которые предоставляются администратору.

Чтобы создать профиль доступа:

1. В разделе Настройки ➜ UserGate ➜ Администраторы ➜ Профили администраторов нажмите Добавить.

2. На вкладке Общие укажите название профиля.

3. На вкладке Разрешение доступа выберите действия, которые может выполнять администратор в веб-интерфейсе.

4. На вкладке Разрешение для API выберите действия, которые может выполнять администратор при подключении через REST API.

5. На вкладке Разрешение для CLI разрешите или запретите администратору доступ к интерфейсу командной строки.

6. Нажмите Сохранить.

Теперь вы можете перейти к созданию учетной записи администратора.

Создание учетной записи администратора

Чтобы создать учетную запись администратора:

1. В разделе Настройки ➜ UserGate ➜ Администраторы в блоке Администраторы нажмите Добавить и выберите тип учетной записи.

2. Выберите профиль доступа и укажите параметры, необходимые для выбранного типа учетной записи.

3. Нажмите Сохранить.

Все администраторы, подключившиеся к UserGate NGFW одним из способов, отображаются в разделе Настройки ➜ UserGate ➜ Администраторы ➜ Сессии администраторов. Вы можете закрывать сессии администраторов по кнопке Закрыть сессию.

Настройка парольной политики

Для локальных учетных записей можно настроить парольную политику, а именно указать:

• параметры сложности пароля;

• максимальное количество неудачных попыток аутентификации;

• время блокировки учетной записи при превышении количества неудачных попыток аутентификации.

Чтобы настроить парольную политику:

1. В разделе Настройки ➜ UserGate ➜ Администраторы в блоке Администраторы нажмите Еще ➜ Настроить.

2. Укажите параметры, которым должен соответствовать пароль локальной учетной записи администратора.

3. Нажмите Сохранить.

Настройка цифровых сертификатов

Вы можете использовать аутентификацию администраторов по сертификатам, это обеспечит дополнительную защиту при подключении к UserGate NGFW. Для этого цифровые сертификаты должны быть настроены.

Чтобы настроить цифровые сертификаты:

1. Создайте сертификат удостоверяющего центра для доступа к веб-интерфейсу, последовательно выполнив команды:

openssl req -x509 -subj '/C=RU/ST=Moscow/O= MyCompany /CN=ca.mycompany.com' -newkey rsa:2048 -keyout ca-key.pem -out ca.pem -nodes
openssl rsa -in ca-key.pem -out ca-key.pem

Будут созданы файл закрытого ключа ca-key.pem и файл открытого ключа ca.pem. Импортируйте открытый ключ на сервер UserGate NGFW.

2. Создайте сертификат администратора для каждой учетной записи, выполнив команду:

openssl req -subj '/C=RU/ST=Moscow/O= MyCompany /CN=<логин администратора>' -out admin.csr -newkey rsa:2048 -keyout admin-key.pem -nodes

3. Подпишите сертификат администратора каждой учетной записи сертификатом удостоверяющего центра, последовательно выполнив команды:

Подписанные сертификаты администраторов будут сохранены в файл admin.p12. Вам необходимо добавить этот файл в операционную систему и в браузер, которые будут использовать администраторы для подключения к устройству.