2.3.3 Управление Пользователями

Все пользователи домена системы отображаются во вкладке «Пользователи» в домене master, созданном по умолчанию (Рис. 2.72).

../../_images/image066.png

Рис. 2.72 Основной домен. Пользователи

Для управления пользователями перейдите на страницу:

Домены >> Имя домена >> Безопасность >> Пользователи.
../../_images/image067.png

Рис. 2.73 Домен. Пользователи. Создать пользователя

2.3.3.1 Создание пользователя

Нажмите кнопку «Создать». Откроется окно «Создание пользователя»(Рис. 2.73).

Заполните поля:

  • Логин (используйте латинницу);
  • Фамилия (используйте кириллицу);
  • Имя (используйте кириллицу);
  • Отчество (используйте кириллицу);
  • E-mail.

Включите флаги параметров (поставьте галочки):

  • Активность;
  • E-mail подтвержден.

В параметре «Обязательные действия» (действия которые пользователь должен выполнить при входе) выберите нужные настройки, включив, соответствующие флаги слева от опций из списка:

  • Настройка TOTP;
  • Обновление пароля;
  • Обновление профиля;
  • Подтверждение Email.

Подтвердите создание пользователя кнопкой «Создать», которая становится активной после корректного заполнения окна.

2.3.3.2 Редактирование пользователя

Для изменения характеристик пользователя нажмите на знак «i» в строке пользователя. Откроется страница пользователя на вкладке «Основное». Нажмите на кнопку «Изменить» и характеристики пользователя станут доступными для редактирования.

2.3.3.2.1 Основное

Параметры недоступные для редактирования:

  • Идентификатор;
  • Создан;
  • Последний вход;
  • Логин.

Параметры на вкладке становятся доступны для редактирования после нажатия на кнопку «Изменить». Кнопка «Изменить» трансформируется в кнопки «Сохранить» и «Отмена». Для редактирования доступны параметры:

  • Фамилия;
  • Имя;
  • Отчество;
  • E-mail;
  • флаг «Активность».

Отображается новый параметр «Активность до», где пользователю указывается дата и время, до которых ему разрешен вход. Также отображены и доступны для редактирования три параметра:

  • E-mail подтвержден;
  • Уведомления пользователю (разрешение на рассылку пользователю уведомлений о входе, ошибках входа, обновлении профиля и настройках ОТР);
  • Offline-доступ (разрешение пользователю на Offline-сессии).

Дополнительно, можно выбрать обязательные действия, которые пользователь обязан выполнить при входе. Этот параметр можно добавить если обязательные действия не были указаны при создании пользователя или этот выбор стал актуальным в процессе работы.

В процессе редактирования можно добавить пулы адресов пользователя. Нажмите на знак «+», расположенный в секции «Пулы адресов» и в открывшемся окне «Добавление пула адресов» выберите пул адресов из раскрывающегося списка, а также параметр «Признак», имеющий значения:

  • «Черный список» - пулы IP для пользователя, с которых запрещена аутентификация;
  • «Белый список» - пулы IP для пользователя, с которых разрешена аутентификация.

Нажмите на кнопку «Создать».

Завершите действие кнопкой «Сохранить».

2.3.3.2.2 Полномочия

На странице «Полномочия» администратором задается пароль пользователя. Вкладка состоит из двух горизонтальных секций: «Сброс пароля» и «Сброс полномочий» (Рис. 2.74).

Секция «Сброс пароля» позволяет установить пароль для вновь созданного пользователя, а также изменить пароль. Задайте значение пароля для этого пользователя в поле «Новый пароль», ориентируясь на цветные динамические подсказки, всплывающие при вводе каждого символа пароля:

  • Красный - легкий пароль;
  • Желтый - средний пароль;
  • Зеленый - сложный пароль.

Подсказки основываются на требованиях к паролям. Требования к паролю прописаны в разделе «Политика паролей». Подтвердите пароль в поле «Подтверждение».

При необходимости принудительной смены текущего пароля при следующем входе включите флаг «Временный пароль». Завершите операцию задания пароля кнопкой «Сбросить пароль».

Секция «Сброс полномочий» позволяет отключить неактуальные обязательные действия для этого пользователя при входе с новым паролем. Допустим у пользователя изменились условия и соглашения, которые являются для него обязательными, выберите действие «Принятие условий и соглашений». Кнопка «Отправить сообщение на емайл» становится активной. Активируйте кнопку и данному пользователю будет отправлена ссылка на принятие условий и соглашений заново, либо при входе в систему отобразится окно с новыми условиями и соглашениями. Если же выбрать действие «Обновление пароля», то пользователю будет отправлена ссылка на смену пароля, которая будет действительна количество минут, указанное в поле «Время жизни сообщения».

../../_images/image068.png

Рис. 2.74 Сброс пароля пользователя администратором

2.3.3.2.3 Параметры LDAP

Примечание.

Вкладка активна и доступна для редактирования данных пользователя, принадлежащего домену, интегрированному с LDAP.

Перейдите во вкладку «Параметры LDAP» (Рис. 2.75). Для редакции параметров нажмите кнопку «Изменить» и поля параметров станут доступными для редактирования. Сгенерируйте значения параметров:

  • Идентификатор пользователя (UID) - уникальный идентификатор, присваиваемый пользователю операционной системой при входе (minimum 1/ maximum 2147483647);
  • Идентификатор группы (GID) - уникальный идентификатор, присваиваемый группе пользователя (minimum 1/ maximum 2147483647).

Для этого нажмите на кнопку генерации со знаком циклически замкнутых стрелочек, расположенную в конце, заполняемого поля.

Заполните параметры:

  • Домашняя директория;
  • Оболочка (Shell)- оболочка, используемая пользователем при входе.

Завершите настройки параметров LDAP кнопкой «Сохранить».

../../_images/image070.png

Рис. 2.75 Пользователи. Параметры LDAP

2.3.3.2.4 Атрибуты

Атрибуты - параметры, которые передаются в токене пользователя клиентской системы после авторизации. Примеры наименования атрибутов: адрес, пол, документ (паспорт, серия, номер и т.д.), номера телефонов, дата рождения, СНИЛС и т.д и т.п.

Пользователю могут быть присвоены некоторые атрибуты, определяющие его общие особенности (т.н. кастомные параметры).

На вкладке список атрибутов изображен в виде таблицы и в столбце «Значения атрибутов» прописаны значения, соответствующие каждому наименованию атрибута. При нажатии кнопки «Изменить» на нижней панели управления отображаются кнопки: «Создать», «Сохранить» и «Отмена». Если щелкнуть курсором мыши по строке Атрибута, то строка выделяется и появляется кнопка «Удалить».

Создание атрибута

Для действий на странице нажмите кнопку «Изменить», отобразится панель с кнопкой «Создать» (Рис. 2.76). Нажмите кнопку «Создать».

../../_images/image071.png

Рис. 2.76 Пользователи. Атрибуты

В открывшемся окне «Создание атрибута» заполните поля:

  • Наименование атрибута;
  • Значение атрибута.

Нажмите кнопку «Enter» на клавиатуре.

Предусмотрено внесение нескольких значений атрибута(Рис. 2.77).

../../_images/image072.png

Рис. 2.77 Присвоение атрибуту множества значений

По завершению операции формирования атрибута нажмите кнопку «Создать».

Созданный атрибут отобразится в общем списке атрибутов.

2.3.3.2.5 Роли

На данной вкладке отображены две секции с разными уровнями иерархии ролей (Рис. 2.78), (Рис. 2.79):

  • Роли уровня домена;
  • Роли уровня клиентской системы.

В обеих секциях в разделе «Доступные роли» отображаются списки ранее созданных ролей уровней домена и клиентских систем. В разделе доступных ролей уровня клиентской системы список ролей появляется после выбора конкретной клиентской системы.

В разделе «Эффективные роли» изначально могут отображаться унаследованные роли, и также отображаются вновь назначенные роли.

../../_images/image073.png

Рис. 2.78 Пользователи. Роли. Роли уровня домена

На первом этапе назначьте пользователю набор ролей уровня домена. Для этого нажмите на строку с ролью, расположенную в разделе «Роли уровня домена»/ «Доступные роли». Строка станет выделенной. Далее нажмите на кнопку «Назначить выбранные роли». Роль переместится в столбцы «Назначенные роли» и «Эффективные роли».

На втором этапе назначьте роли уровня клиентской системы. Нажмите на знак раскрывающегося списка окна «Клиентская система» и выберите нужную. В столбце «Доступные роли» отобразятся все роли данной клиентской системы. Нажмите на строку с ролью, расположенную в столбце «Роли уровня клиентской системы»/ «Доступные роли». Строка станет выделенной. Далее нажмите на кнопку «Назначить выбранные роли». Роль переместится в столбцы «Назначенные роли» и «Эффективные роли».

../../_images/image074.png

Рис. 2.79 Пользователи. Роли уровня клиентской системы

Нажмите на знак раскрывающегося списка окна «Клиентская система» и выберите нужную. В столбце «Доступные роли» отобразятся все роли данной клиентской системы.

Нажмите на строку с ролью, расположенную в столбце «Роли уровня клиентской системы»/ «Доступные роли». Строка станет выделенной. Далее нажмите на кнопку «Назначить выбранные роли». Роль переместится в столбцы «Назначенные роли» и «Эффективные роли».

Набор ролей данного пользователя будет составлять композитную роль.

Для удаления назначенных ролей выделите строку с удаляемой ролью и нажмите на кнопку «Удалить выбранные роли».

Примечание.

Если в разделе «Роли уровня Клиентской системы» назначить роль, имеющую составную роль, которую наделили расширенными правами, то при назначении данной роли в рамках клиентской системы, ее параметры автоматически отображаются в блоке «Доступные роли уровня домена» в колонке «Эффективные роли» (Рис. 2.80)

../../_images/image1650.png

Рис. 2.80 Пользователи. Эффективные роли.

Удалить данные роли из раздела «Роли уровня домена» (Эффективные роли) возможно лишь убрав составную роль из раздела «Роли уровня клиентской системы» (Назначенные роли) или удалить из составной роли роль с расширенными правами.

2.3.3.2.5.1 Пример сценария работы с ролями

Рассмотрим назначенные роли для условного пользователя Михайлова Михаила. Данному пользователю в рамках клиентской системы «Учетная запись» назначена составная роль ruk_ad_1_6 которая имеет расширенные права. Поэтому, при назначении данной роли в рамках клиентской системы, права составной роли переходят в блок ролей уровня домена в колонку «Эффективные роли» (Рис. 2.81) . Если же вам не нужно, что бы данный пользователь обладал правами администратора в рамках домена, вы можете удалить составную роль в блоке клиентской системы, как показано на рисунке хх, и тогда «Эффективные роли» удалятся из уровня домена вместе с составной ролью.

../../_images/image1651.png

Рис. 2.81 Пользователи. Эффективные роли. Удаление.

2.3.3.2.6 Разрешения

Данная вкладка доступна только для основного домена (Рис. 2.82), так как пользователи консоли администрирования могу быть только в основном домене. В других доменах данной вкладки нет, т.к. пользователи этих доменов не являются администраторами.

В данной вкладке дается возможность назначить новому или отредактировать существующему пользователю разрешения на создание домена и на действия в выбранном домене.

Перейдите во вкладку «Разрешения». Для присвоения права на создание домена включите одноименную кнопку. Также Администратор может назначить разные разрешения в рамках домена. Для этого в строке «Домены» нужно выбрать имя домена, в котором администратор будет наделять правами пользователя.

В виде контекстного меню отобразятся опции разрешений. В данной вкладке дается возможность назначить новому или отредактировать существующему пользователю разрешения на действия в домене.

Администратор может наделить пользователя такими правами, как:

  • просмотр авторизации;
  • просмотр клиентских систем;
  • просмотр вычислительных узлов;
  • просмотр журналов событий;
  • просмотр провайдеров идентификации;
  • просмотр доменов;
  • просмотр групп безопасности;
  • просмотр пользователей;
  • просмотр виртуальных машин;
  • управление авторизацией;
  • управление клиентскими системами;
  • управление вычислительными узлами;
  • управление журналами событий;
  • управление провайдерами идентификации;
  • управление доменами;
  • управление группами безопасности;
  • управление виртуальными машинами.

Для назначения разрешений, переведите «бегунок» слева направо. Бегунок из неактивного серого, окрасится в синий цвет . После успешного назначения появится информационное сообщение: «Разрешение включено» .

../../_images/image077.png

Рис. 2.82 Пользователи. Разрешения.

Администратор так же может наделить пользователя правом создавать новые домены.

Примечание.

Данная вкладка доступна только для основного домена, так как пользователи консоли администрирования могу быть только в основном домене. В других доменах данной вкладки нет, т.к. пользователи этих доменов не являются администраторами.

Просмотр/управление авторизацией является зарезервированным решением для будущего функционала.

Для просмотра метрики «События» включите метрику «Просмотр домена».

2.3.3.2.7 Группы

В системе предусмотрено объединение пользователей в группы по заданным свойствам. Создание новых Групп описано в разделе (Раздел 2.3.4) данного руководства.

Перейдите на страницу:

Домены >> Имя домена >> Безопасность >> Пользователи >> Имя пользователя

Войдите во вкладку «Группы» (Рис. 2.83). Для действий на странице нажмите кнопку «Изменить», отобразится панель с кнопкой «Создать». Нажмите кнопку «Создать». Отобразится список групп пользователей. Выберите группы для назначения и включите флаги (галочки) слева от названия группы.

../../_images/image078.png

Рис. 2.83 Пользователи. Группы

Для завершения операции нажмите на кнопку «Сохранить».

2.3.3.2.8 Согласия

В каждом домене при формировании свойств областей задаются такие параметры как «Согласие». При входе пользователя система запрашивает согласие пользователя на определенные действия. Список этих согласий отображается в данной вкладке (Рис. 2.84).

../../_images/image079.png

Рис. 2.84 Пользователи. Согласия

В зависимости от ответа пользователя (дал согласие на Область или нет) система, в которой пользователь аутентифицируется получит или не получит данные из этой области.

Список согласий доступа к Областям отображается в данной вкладке.

Подробное описание понятия Область см. в Раздел 2.3.2.

На рисунке ниже приведен пример Согласий, данных пользователем при входе на три Области: Ruk_adm, roles и testro.

../../_images/image080.png

Рис. 2.85 Отзыв согласия

Администратор может отозвать одно из согласий в списке. Выделите строку с согласием, активируется кнопка «Отозвать», нажмите ее.

2.3.3.2.9 Сессии

Во вкладке можно посмотреть все сессии данного пользователя (Рис. 2.86).

../../_images/image081.png

Рис. 2.86 Пользователи. Сессии

2.3.3.2.10 Журнал

Отображены события пользователя в заданном домене, а именно:

  • Дата и время;
  • Узел системы;
  • Тип события;
  • Категория;
  • Клиентская система;
  • IP адрес;
  • Ошибка.

Каждое событие можно просмотреть детально, нажав на стрелку соответствующего элемента в списке. Пример журнала событий приведен ниже на рисунке (Рис. 2.87):

../../_images/image082.png

Рис. 2.87 Вкладка «Журнал» события пользователя.