2.2 Управление доменами

Домены в Системе – это метод объединения проектов в независимые группы. Кроме того, они позволяют ограничить доступ к определенному домену. Например, когда домены не применялись, пользователь, которому была назначена роль администратора в одном проекте, являлся администратором всего кластера и мог выполнять любые операции.

C появлением доменов появилась возможность назначить пользователю роль администратора в одном домене с привилегиями администратора только в группе проектов этого домена.

По умолчанию в системе развернут «Основной домен», чтобы увидеть его необходимо щелкнуть курсором по строке «Домены» на главной странице интерфейса ПК (Рис. 2.18) или по знаку раскрывающегося списка, также отобразится список всех доменов системы.

../_images/image019.png

Рис. 2.18 Вкладка «Домены»

2.2.1 Создание домена

Перейдите на страницу «Домены».

Нажмите на кнопку «Создать». Откроется окно «Создание домена» (Рис. 2.19).

../_images/image020.png

Рис. 2.19 Окно «Создание домена»

Внесите параметры путем ввода в соответствующих полях:

  • Идентификатор – имя домена. Задается пользователем с учетом контекста при использовании, по следующему правилу: буквы латинского алфавита, цифры, знак нижнего подчеркивания. Значение регистронезависимое;
  • Наименование – отображаемое наименование домена.

Включите флаг Активность. Пользователи системы могут получить доступ только если домен активен.

После заполнения параметров кнопка «Создать» становится активной; нажмите на кнопку «Создать».

Настройки, вводимые при создании домена, разделены на группы параметров, распределенные по вкладкам:

  • Ключи;
  • Токены;
  • Безопасность;
  • Уведомления;
  • Репозитории пакетов.

2.2.1.1 Вкладка «Ключи»

../_images/image021.png

Рис. 2.20 Настройки домена. Вкладка «Ключи»

Вкладка «Ключи» отображает настройки, связанные с ключами, которые в системе используются для разных видов подписи в рамках домена, также позволяет создать провайдера шифрования с использованием алгоритмов симметричного, ассимметричного и комбинированного методов шифрования.

В данной вкладке отображена информация по:

  • Провайдеру – выбирается из выпадающего списка в процессе создания ключей;
  • Наименованию провайдера– присваивается администратором;
  • Приоритету – значение от 0 -1000;
  • Статусу – активный/пассивный/отключенный;
  • Идентификатору ключа;
  • Типу;
  • Алгоритму – предполагаемый алгоритм шифрования для ключа.

Также отображаются кнопки:

  • Изменить/редактировать – для редактирования параметров провайдера;
  • Открытый ключ - для скачивания файла ключа данного провайдера;
  • Сертификат - для скачивания сертификата данного провайдера.
Таблица 2.1 Возможные для настройки параметры провайдера
Провайдер Размер сгенерированного ключа, [бит] Алгоритм хэш-функции Пароль для ключа Возможность добавить сертификат (файл с собственным ключом)
AES. Симметричный алгоритм 16, 24, 32   НЕТ НЕТ
ECDSA. Асимметричный алгоритм на эллиптических кривых. Для электронной подписи НЕТ P-256, P-384, P-521 НЕТ НЕТ
HMAС. Алгоритм с использованием функции хэширования 16, 24, 32, 64, 128, 256, 512 HS256, HS384, HS512 НЕТ НЕТ
RSA Асимметричный алгоритм 1024, 2048, 4096 RS256, RS384, RS512, PS256, PS384, PS512 НЕТ НЕТ
RSA (ключи в формате PKCS12) НЕТ RS256, RS384, RS512, PS256, PS384, PS512 ДА ДА
ГОСТ З 34.10-2012 Асимметричный алгоритм на эллиптических кривых 256, 512 ГОСТ З 34.10-2012 (256 бит), ГОСТ З 34.11-2012 (512 бит) НЕТ НЕТ
ГОСТ З 34.10-2012 (ключи в формате PKCS12). НЕТ НЕТ ДА ДА

В списке провайдеров в последней колонке отображаются пиктограммы, нажав на которые, можно осуществлять действия с провайдером (Рис. 2.21).

../_images/image022.png

Рис. 2.21 Пиктограммы управления провайдером

Виды пиктограмм управления провайдером:

  • Карандашик («Изменить») – редактирование параметров провайдера;
  • Ключ – скачать файл с открытым ключом;
  • Солнышко – скачать файл с сертификатом.

Ниже приведен пример списка провайдеров с разными наборами пиктограмм, которые зависят от алгоритма хэширования провайдера (Рис. 2.22).

../_images/image023.png

Рис. 2.22 Список провайдеров. Пиктограммы действий

2.2.1.1.1 Создание провайдера

Для создания провайдера нужно нажать на кнопку «Создать», выбрать в выпадающем списке провайдера, руководствуясь таблицей Таблица 2.1.

Откроется окно создания провайдера. Набор полей параметров соответствует типу выбранного провайдера. Заполните поля параметров, используя всплывающие подсказки.

Если все окна заполнены правильно, кнопка «Создать» станет активной. Завершить операцию кнопкой «Создать». Вновь созданный провайдер отобразится в общем спиcке провайдеров вкладки «Ключи».

2.2.1.1.2 Редактирование провайдера

Для редактирования характеристик уже внесенного провайдера необходимо нажать на знак «карандашика» в правой части строки в списке провайдеров. Откроется окно «Изменение провайдера». Ниже приведен пример для провайдера HMAC – алгоритма с использованием функции хэширования (Рис. 2.23).

../_images/image024.png

Рис. 2.23 Окно «Изменение провайдера»

Для редактирования доступны следующие параметры:

  • Наименование;
  • Приоритет;
  • Статус (активный, пассивный, отключенный);
  • Размер ключа;
  • Алгоритм.

После редактирования параметров нажать на кнопку «Сохранить». Кнопка становится активной только после внесения всех параметров. При неправильном заполнении высвечивается предупреждение.

2.2.1.2 Вкладка «Токены»

Во вкладке «Токены» отображаются параметры токенов по спецификации OpenID Connect, также возможны настройки токенов ПК (Рис. 2.24).

Для этого нажмите кнопку «Изменить», поля вкладки станут доступны для редактирования.

../_images/image025.png

Рис. 2.24 Домен. Токены

Параметры токена доступные для редактирования:

  • «Время жизни токена доступа, мин» - максимальное время токена доступа (диапазон параметра: 1-1440 мин.);
  • «Время жизни токена доступа (Implicit-flow), мин»;
  • «Отзывать токен обновления» - если флаг включен, то токен обновления может использоваться ограниченное количество раз, указанное в параметре «Количество использований токена обновления» и отзывается при использовании другого токена;
  • «Количество использований токена обновления» - параметр становится доступным при включении флага;
  • «Время простоя сессии, мин» - время бездействия пользователя по истечении которого сессия будет завершена;
  • «Максимальное время жизни сессии, мин» - отрезок времени, по истечении которого сессия пользователя будет завершена;
  • «Время простоя offline-сессии, мин» - время бездействия пользователя по истечении которого offline сессия будет завершена;
  • «Ограничить максимальное время жизни offline-сессии» - флаг;
  • «Максимальное время жизни offline-сессии, мин» (при включенном флаге);
  • «Время для получения токена доступа, мин» - время в течение, которого должен быть получен токен;
  • «Время для входа, мин» - максимальное время, выделенное пользователю для входа в систему;
  • «Время для действий пользователя при входе, мин» - время в течение, которого пользователь должен успеть совершить обязательные действия при входе в систему;
  • «Алгоритм подписи токена по умолчанию» - алгоритм, используемый по умолчанию для подписи токенов домена. Параметр выбирается в контекстном меню поля (например, ES256; ES384; ES512; HS256; HS384; HS512; PS256; PS384; PS512; RS256; RS384; RS512).

Для сохранения настроек нажать на кнопку «Сохранить».

2.2.1.3 Вкладка «Безопасность»

Настройки безопасности в ПК производятся во вкладке «Безопасность» (Рис. 2.25). Страница разделена на несколько горизонтальных секций. Каждая секция содержит настройки соответствующего параметра.

Пиктограмма «+» / «-» позволяет развернуть/свернуть список параметров в каждой секции.

../_images/image026.png

Рис. 2.25 Домен. Безопасность.

Для редактирования настроек нажмите кнопку «Изменить», после чего параметры данной вкладки будут доступны для редактирования.

2.2.1.3.1 Параметры входа

../_images/image027.png

Рис. 2.26 Безопасность. Параметры входа

Секция «Параметры входа» содержит следующие редактируемые параметры (Рис. 2.26):

  • «Регистрация пользователей» (флаг) – если флаг включен, то новым пользователям будет разрешена самостоятельная регистрация. После того как включить флаг, появляется дополнительная строка «E-mail как имя пользователя»;
  • «E-mail как имя пользователя» (флаг) - если флаг включен, то при регистрации имя пользователя не вводится, именем является E-mail;
  • «Вход по E-mail» (флаг) – пользователю разрешен вход по E-mail;
  • «Сброс пароля» (флаг) – если флаг включен, то пользователю будет разрешен самостоятельный сброс пароля в случае его утери;
  • «Требуется подтверждение e-mail» (флаг) - включение запроса у пользователя подтверждения E-mail;
  • «Требуется SSL» (выбор в контекстном меню) - использовать SSL при передаче данных (выбор из категорий: «Все запросы», «Внешние запросы», «Нет»);
  • «Ограничить параллельные сессии пользователя» (флаг) – при включенном флаге отображается параметр «Количество параллельных сессий пользователя» (максимальное число параллельных сессий пользователя (1-10);
  • «Действия при достижении ограничения» (выбор в контекстном меню из категорий: «Завершить текущую сессию», «Завершить предыдущую сессию», «Заблокировать пользователя»);
  • «Блокировка пользователя при неактивности» (флаг) – если флаг включен, то пользователь будет заблокирован при неактивности;
  • «Время неактивности» (дней) – в данной строке можно задать количество дней (от 1 до 45), после чего произойдет блокировка пользователя при его неактивности.

Для выбора параметров «Вход по e-mail» и «Требуется подтверждение e-mail» включите флаги (галочки) слева от параметров.

Для настройки параметра «Требуется SSL» нажмите на знак раскрывающегося списка и выберите нужную опцию:

  • Внешние запросы;
  • Все запросы;
  • Нет.

2.2.1.3.2 Параметры LDAP

../_images/image028.png

Рис. 2.27 Безопасность. Параметры Параметры LDAP

  • «Вход LDAP» (флаг) – разрешение входа по LDAP. Включите флаг (галочку) параметра «Вход в LDAP». Отобразятся два поля для внесения информации о «Корневом каталоге» и «Пароль пользователя». Значение поля «Корневой каталог» по умолчанию установлено, но можно изменить это значение;
  • «Суффикс корневого каталога» - суффикс каталога LDAP, в котором клиентские системы производят поиск пользователей. Например, ‘dc=tionix, dc=ru’;
  • «Пароль пользователя» - пароль пользователя (osproxy) для поиска в корневом каталоге.

Примечание.

Максимальная длина пароля 30 символов.

Введите пароль пользователя.

2.2.1.3.3 Параметры обнаружения перебора паролей

../_images/image029.png

Рис. 2.28 Безопасность. Параметры обнаружения перебора паролей

В данном разделе настраиваются следующие параметры (Рис. 2.28):

  • «Отслеживать перебор паролей» (флаг) – включение отслеживания перебора паролей;
  • «Количество неудачных попыток входа» (диапазон значений:1-30);
  • «Время между попытками входа», мс – параметр, ограничивающий частоту попыток входа, при достижении значения параметра пользователь блокируется (диапазон значений: 1-1000);
  • «Минимальное время ожидания», мин – время ожидания разрешения на новую аутентификацию после неудачной попытки аутентификации (диапазон значений: 1-60);
  • «Отключать пользователя» (флаг) - пользователь будет заблокирован после достижения максимального количества неудачных попыток входа в систему (при включенном флаге три последующие параметра не настраиваются);
  • «Максимальное время ожидания», мин. - максимальное время, на которое пользователь будет заблокирован после неудачной попытки входа (мин.1 макс.1440);
  • «Порог ожидания», мин – время блокировки пользователя при превышении порога ошибок (диапазон значений: 1-1440);
  • «Время сброса неудачных попыток» - через какое время счетчик неудачных попыток будет обнулен, мин (диапазон значений: 1-1440).

2.2.1.3.4 Параметры виртуализации

../_images/image030.png

Рис. 2.29 Безопасность. Параметры виртуализации

Данные опции включаются флагами (галочки), располагающимися справа от отображаемых параметров.

Настройки параметров позволяют:

  • «Активировать новые вычислительные узлы» (флаг) – при добавлении нового ВУ он становится активным;
  • «Запускать неизвестные ВМ» (флаг) – разрешен запуск неизвестных в домене машин.

После заполнения полей параметров всех четырех секций сохраните измененные параметры с помощью одноименной кнопки.

2.2.1.3.5 Параметры заголовков

В данной секции задаются параметры заголовков и другие связанные параметры:

  • X-Frame-Options – в заголовке X-Frame-Options, включенном в ответ на запрос, указывается, позволит ли запрошенный домен отображаться в iframe;
  • Content-Security-Options – в заголовке Content-Security-Options, включенном в ответ на запрос, указываются ресурсы, которые пользовательский агент может загружать для данной страницы;
  • Content-Security-Policy-Report-Only - в заголовке Content-Security-Policy-Report-Only, включенном в ответ на запрос, указывается, позволит ли запрошенный домен отображаться в iframe;
  • X-Content-Type-Options – HTTP заголовок ответа на запрос X-Content-Type-Options является маркером, используемым сервером для указания того , что типы MIME, объявленные в заголовках Content-Type, должны быть соблюдены и неизменны;
  • X-Robots-Tag – в заголовке X-Robots-Tag, включенном в ответ на запрос, указывается стратегия индексации страницы в поисковых системах;
  • X-XSS-Protection – в заголовке X- XSS-Protection, включенном в ответ на запрос, указывается стратегия защиты от XSS атаки;
  • Strict-Transport-Security - HTTP заголовок ответа Strict-Transport-Security позволяет web сайтам уведомить браузер о том, что доступ к ним должен быть осуществлен только посредством протокола HTTPS вместо HTTP.

Для отображения списка параметров нажмите на кнопку «+» в правом верхнем углу панели секции (Рис. 2.30).

../_images/image030_1.png

Рис. 2.30 Безопасность. Параметры заголовков

Отобразятся поля параметров заголовков как показано на рисунке (Рис. 2.31). Внесите требуемые значения.

../_images/image031_1.png

Рис. 2.31 Параметры заголовков. Значения

После заполнения полей параметров всех секций сохраните измененные параметры с помощью одноименной кнопки.

2.2.1.4 Вкладка «Уведомления»

На вкладке «Уведомления» реализована настройка отправки сообщений пользователю в домене (Рис. 2.32).

../_images/image031.png

Рис. 2.32 Домен. Настройки уведомлений в домене

Нажмите кнопку «Изменить», после чего поля вкладки станут доступны для заполнения:

  • «Сервер SMTP» - адрес сервера отправки уведомлений;
  • «Порт» - порт, используемый для работы сервера SMTP;
  • «Требуется STARTTLS» (флаг) – требование использования шифрования по протоколу STARTTLS;
  • «Требуется SSL» (флаг) - требование использования шифрования по протоколу SSL;
  • «E-mail для отправителя» - отображается в письме;
  • «E-mail для ответа» - на данный электронный адрес отправляется ответ на письмо;
  • «E-mail для конверта отправителя» - E-mail отправителя, который указывается на конверте сообщения;
  • «Требуется аутентификация» (флаг) – требуется аутентификация на SMTP сервере. При включении параметра станут доступными поля: «Имя пользователя» и «Пароль пользователя».

Укажите необходимые данные. После правильного и полного заполнения формы кнопка «Сохранить» станет активной.

Нажмите кнопку «Сохранить».

2.2.1.5 Вкладка «Репозитории пакетов»

В данной вкладке происходит настройка репозиториев пакетов для выбранной ОС.

Система TVS разворачивается с использованием операционной системы Linux. Типы поддерживаемых дистрибутивов перечислены в разделе «Требования к аппаратно-программному обеспечению» документа RU.НРФЛ.00002-01.90.01.«TIONIX Virtual Security. Технические условия».

Пакеты для обновления и развертывания хранятся в отдельных репозиториях. Каждый репозиторий содержит установочные дистрибутивы и пакеты обновлений, в соответствии с типом используемой операционной системы.

../_images/image032.png

Рис. 2.33 Домен. Репозитории пакетов

Создание репозитория

Для создания репозитория нажмите на кнопку «Создать», после чего появится мастер-окно «Создание репозитория» (Рис. 2.34).

../_images/image033.png

Рис. 2.34 Создание репозитория

Выберите из раскрывающегося списка поля «Операционная система» нужный вариант.

Заполните поля: «Версия операционной системы» и «Адрес репозитория пакетов» (адрес ресурса, используемого для хранения программного обеспечения).

Нажмите на кнопку «Создать».

Примечание.

После создания репозитория в разделе «Виртуализация» появится вкладка «Развертывание».

Редактирование репозитория. Удаление

Для редактирования выделите строку репозитория, активируются кнопки: «Изменить» и «Удалить» (Рис. 2.35).

Нажмите на кнопку «Изменить», появится мастер-окно «Изменение репозитория» c полями аналогичными полям мастер-окна «Создание репозитория».

Внесите отредактированные параметры и нажмите на кнопку «Сохранить».

../_images/image034.png

Рис. 2.35 Редактирование репозитория

Удаление репозитория производится с помощью кнопки «Удалить».

2.2.2 Редактирование домена

Для редактирования домена перейдите на страницу:

Главная страница >> Домены

Нажмите на кнопку «I» в строке выбранного проекта. Произойдет переход на страницу с детальной информацией о проекте (Рис. 2.18).

Нажмите на кнопку «Изменить». Кнопка «Изменить» трансформируется в кнопки «Сохранить» и «Отмена».

../_images/image035.png

Рис. 2.36 Трансформация кнопки «Изменить»

Во вкладке «Основное» для редактирования доступны параметры:

  • Наименование;
  • Активность.

В остальных вкладках: «Ключи», «Токены», «Безопасность», «Уведомления» параметры редактируются по аналогии с описанием действий с параметрами в разделе «Создание домена».

Каждый этап редактирования параметров подтвердите нажатием кнопки «Сохранить».

2.2.3 Удаление домена

Для удаления в системе доступны все домены, кроме Основного домена (master), который создан по-умолчанию, сразу же после установки продукта.

../_images/image036.png

Рис. 2.37 Удаление доменов

Перейдите на страницу Главная страница >> Домены.

Выберите домен для удаления и нажмите на строку домена. Отобразится кнопка «Удалить».

Нажмите на кнопку «Удалить». Откроется окно подтверждения удаления домена (Рис. 2.38).

../_images/image037.png

Рис. 2.38 Окно подтверждения удаления домена

Нажмите на кнопку «Да». Отобразится диагностическое сообщение:

«Домен удален. Данные удалены».

Строка с удаленным доменом исчезнет из общего списка доменов.