|
Создание управляемых областей
Управляемая область UserGate — это логический объект, представляющий одно предприятие или группу предприятий, управляемых единым администратором или группой администраторов. Для управления МЭ UserGate корневой администратор UGMC (или администратор UGMC с соответствующими полномочиями) должен создать как минимум одну область.
Для создания управляемой области администратор UGMC должен выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать область
|
В разделе веб-консоли Управляемые области ➜ Области нажать кнопку Добавить, заполнить необходимые поля.
|
Шаг 2. Создать профиль администратора с типом администратор области
|
В разделе веб-консоли Администраторы ➜ Профили администраторов нажать кнопку Добавить и создать профиль администратора с типом администратор области и правом на созданную на предыдущем шаге область.
|
Шаг 3. Создать администратора области
|
В разделе веб-консоли Администраторы ➜ Администраторы нажать кнопку Добавить и создать администратора с созданным ранее профилем.
|
При создании области необходимо указать следующие поля:
Наименование
|
Описание
|
Область по умолчанию
|
Если данная галочка установлена, то при авторизации в веб-консоль необязательно указывать имя области через слэш.
|
Название
|
Название области, например, ООО Юзергейт.
|
Код области
|
Код из нескольких букв и/или цифр. Код области необходимо указывать при входе в веб-консоль для управления данной областью. Например, UG.
|
Описание
|
Опциональное описание области.
|
Количество устройств
|
Если указано, то администратор области будет ограничен этим количеством и не сможет создать большее количество управляемых устройств. Заданное количество не может превышать количество лицензированных подключений.
|
При создании профиля администратора необходимо указать тип администратора - администратор области и в качестве управляемой области указать созданную область. Для создания администратора области необходимо выбрать данный профиль администратора области. Подробнее о создании администраторов смотрите в главе данного руководства Администраторы.
После создания области и администратора данной области можно переключиться в режим управления данной областью. Для этого необходимо выйти из-под учетной записи администратора UGMC в веб-консоли и заново зайти под учетной записью администратора управляемой области. Имя администратора следует указать в следующем виде:
имя_администратора/код_области, например, Admin/UG.
Для возврата в консоль под администратором UGMC необходимо указать имя в следующем виде:
имя_администратора/system, например, Admin/system.
Доступ к веб-консоли управления областью регулируется с помощью создания дополнительных учетных записей администраторов области и назначения им профилей доступа.
ПримечаниеПри создании управляемой области администратор UGMC создает корневого администратора области, обладающего всеми полномочиями на данную зону.
Для создания дополнительных учетных записей администраторов области необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать профиль доступа администратора области
|
В консоли управления областью в разделе Администраторы ➜ Профили администраторов нажать кнопку Добавить и указать необходимые настройки.
|
Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора
|
В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:
-
Добавить локального администратора - создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа.
-
Добавить пользователя LDAP - добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации области. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.
-
Добавить группу LDAP - добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации области. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.
|
При создании профиля доступа администратора необходимо указать следующие параметры:
Наименование
|
Описание
|
Название
|
Название профиля
|
Описание
|
Описание профиля
|
Права доступа на область
|
Укажите права доступа на разделы настроек области, такие как администраторы, серверы авторизации, шаблоны устройств, группы шаблонов, управляемые устройства, журналы и отчеты.
В качестве доступа можно указать:
-
Нет доступа.
-
Чтение.
-
Чтение и запись.
|
Права доступа на шаблон
|
Укажите здесь права на просмотр и/или изменение настроек всех или конкретных имеющихся шаблонов. Настройки представлены в виде объектов дерева веб-консоли МЭ UserGate, доступных для делегирования. В качестве доступа можно указать:
-
Нет доступа.
-
Чтение.
-
Чтение и запись.
Например, можно разрешить сетевые настройки одной группе администраторов, а политики МЭ — другой.
|
Серверы авторизации области
Серверы авторизации - это внешние источники учетных записей пользователей для авторизации в веб-консоли управления области. Работа сервера авторизации области аналогична работе сервера авторизации для UGMC, отличие лишь только в месте их использования. Задача серверов авторизации:
-
Получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Поддерживается работа с LDAP-сервером FreeIPA.
-
Осуществлять авторизацию администраторов областей через домены Active Directory/FreeIPA.
Для создания LDAP-коннектора необходимо нажать на кнопку Добавить, выбрать Добавить LDAP-коннектор и указать следующие параметры:
Наименование
|
Описание
|
Включено
|
Включает или отключает использование данного сервера авторизации.
|
Название
|
Название сервера авторизации.
|
SSL
|
Определяет, требуется ли SSL-соединение для подключения к LDAP-серверу.
|
Доменное имя LDAP или IP-адрес
|
IP-адрес контроллера домена или название домена LDAP. Если указано доменное имя, то UserGate получит адрес сервера LDAP с помощью DNS-запроса.
|
Bind DN («login»)
|
Имя пользователя, которое необходимо использовать для подключения к серверу LDAP. Имя необходимо использовать в формате DOMAIN\username или username@domain. Данный пользователь уже должен быть заведен в домене.
|
Пароль
|
Пароль пользователя для подключения к домену.
|
Домены LDAP
|
Список доменов, которые обслуживаются указанным контроллером домена, например, в случае дерева доменов или леса доменов Active Directory. Здесь же можно указать короткое netbios имя домена.
|
Пути поиска
|
Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com.
|
После создания сервера необходимо проверить корректность параметров, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения.
Настройка LDAP-коннектора завершена. Для входа в консоль пользователям LDAP необходимо указывать имя в формате:
domain\user/ realm или user@domain/ realm
|