Доступ к веб-консоли NGFW регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети. Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.
Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Создать профиль доступа администратора.
В разделе Администраторы ➜ Профили администраторов нажать кнопку Добавить и указать необходимые настройки.
Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора.
В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:
Добавить локального администратора — создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа.
Добавить пользователя LDAP — добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.
Добавить группу LDAP — добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.
Добавить администратора с профилем авторизации – создать пользователя, назначить созданный ранее профиль администратора и профиль авторизации (необходимы корректно настроенные серверы авторизации).
При создании профиля доступа администратора необходимо указать следующие параметры:
Наименование
Описание
Название
Название профиля.
Описание
Описание профиля.
Разрешения для API
Список объектов, доступных для делегирования доступа при работе через программный интерфейс (API). Объекты описаны документации API. В качестве доступа можно указать:
Нет доступа.
Чтение.
Чтение и запись.
Разрешения для веб-консоли
Список объектов дерева веб-консоли, доступных для делегирования. В качестве доступа можно указать:
Нет доступа.
Чтение.
Чтение и запись.
Разрешения для CLI
Позволяет разрешить доступ к CLI. В качестве доступа можно указать:
Нет доступа.
Чтение.
Чтение и запись.
Администратор NGFW может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации.
Для настройки этих параметров необходимо:
Наименование
Описание
Шаг 1. Настроить политику паролей.
В разделе Администраторы ➜ Администраторы нажать кнопку Настроить.
Шаг 2. Заполнить необходимые поля.
Указать значения следующих полей:
Сложный пароль — включает дополнительные параметры сложности пароля, задаваемые ниже, такие как — минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа.
Число неверных попыток аутентификации — количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки.
Время блокировки — время, на которое блокируется учетная запись.
ПримечаниеДополнительные параметры защиты учетной записи администратора применимы только к локальным учетным записям. Если в качестве администратора устройства выбирается учетная запись из внешнего каталога (например, LDAP), то параметры защиты для такой учетной записи определяются этим внешним каталогом.
Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8001).
ПримечаниеНе рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети интернет.
Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе Контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.
Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.
Для включения данного режима необходимо выполнить следующие действия (в качестве примера используется утилита openssl):
Наименование
Описание
Шаг 1. Создать учетные записи дополнительных администраторов.
Произвести настройку, как это описано ранее в этой главе, например, создать учетную запись администратора с именем Administrator54.
Шаг 2. Создать или импортировать существующий сертификат типа УЦ авторизации веб-консоли.
Создать или импортировать существующий сертификат удостоверяющего центра (достаточно только публичного ключа) в соответствии с главой Управление сертификатами.
Важно! Существующий сертификат удостоверяющего центра — сертификат, которым непосредственно подписаны сертификаты администраторов, а не корневой.
Например, для создания УЦ с помощью утилиты openssl требуется выполнить команды:
В файле ca-key.pem будет находиться приватный ключ сертификата, в ca.pem — публичный ключ. Импортировать публичный ключ в UserGate.
Шаг 3. Создать сертификаты для учетных записей администраторов.
С помощью средств сторонних утилит (например, openssl) создать сертификаты для каждого из администраторов. Необходимо, чтобы поле сертификата Common name в точности совпадало с именем учетной записи администратора, как она была создана в UserGate.
Для openssl и пользователя Administrator54 команды будут следующими:
Файл admin.p12 содержит подписанный сертификат администратора.
Шаг 5. Добавить подписанные сертификаты в ОС, с которой администраторы будут авторизоваться в веб-консоль.
Добавить подписанные сертификаты администраторов (admin.p12 в нашем примере) в ОС (или в браузер Firefox, если он используется для доступа к консоли), с которой администраторы будут авторизоваться в веб-консоль. Более подробно смотрите руководство по используемой вами ОС.
Шаг 6. Переключите режим авторизации веб-консоли в авторизацию по сертификатам x.509.
В разделе Настройки поменяйте Режим авторизации веб-консоли на По X.509 сертификату.
ПримечаниеПереключить режим авторизации веб-консоли можно с помощью команд CLI.
В разделе Администраторы ➜ Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования NGFW. При необходимости любую из сессий администраторов можно сбросить (закрыть).
