Руководство администратора ru. 84856002. 00001-01 95 01 Листов 2015



страница8/12
Дата11.02.2017
Размер6.9 Mb.
Просмотров2554
Скачиваний0
ТипРуководство
1   ...   4   5   6   7   8   9   10   11   12

Меню «Управление паролями»


Данный пункт меню предназначен для настройки внешних политик управления паролями СКДПУ, а также для загрузки внешних плагинов управления паролями.
        1. Меню «Плагины изменения паролей»


Меню «Плагины изменения паролей» предназначено для загрузки внешних утилит управления паролями.

На странице «Плагины изменения паролей» отображается перечень загруженных внешних плагинов управления паролями (см. Рисунок ).

Для загрузки плагина управления паролями из файла необходимо нажать на значок .

Рисунок – Плагины изменения паролей


        1. Меню «Политики замены паролей»


Меню «Политики замены паролей» предназначено для создания или загрузки внешних политик управления паролями.

На странице «Политики замены паролей» отображается перечень политик управления паролями СКДПУ (см. Рисунок ).

Для загрузки политики управления паролями из файла необходимо нажать на значок .

Рисунок – Политики замены паролей


          1. Создание политики управления паролями

Для добавления политики управления паролями необходимо нажать на значок , расположенный в верхнем левом углу рабочей области страницы со списком всех политик выборки ресурсов (см. Рисунок ).

На форме добавления политики управления паролями заполнить поля следующей информацией (см. Рисунок ):

имя политики управления паролями в поле «Policy name»;

длина пароля в поле «Password Length»;

минимальное количество специальных символов в пароле в поле «Number of special characters»;

количество строчных букв в поле «Number of lowercase letters»;

количество заглавных букв в поле «Number of capital letters»;

количество цифр в пароле в поле «Number of digital characters»;

тип ключа SSH в поле «SSH Key type»;

размер ключа SSH в поле «SSH Key size»;

период действия пароля в днях в поле «Period of change».

Рисунок – Создание политики управления паролями

Для сохранения политики управления паролями необходимо нажать кнопку «Применить».

          1. Изменение политики управления паролей

Для изменения политики управления паролей необходимо на странице со списком всех политик управления паролей перейти по ссылке имени политики управления паролей, расположенной в столбце «Имя» (см. Рисунок ) и нажать на значок .

Поля, доступные для изменения на странице изменения политики, аналогичны полям на странице создания политики управления паролей, за исключением поля имени политики управления паролями (поле «Policy name»), т.к. имя политики изменить нельзя. Подробное описание атрибутов политики управления паролями приведено в разделе 5.2.6.2.1.


          1. Удаление политики управления паролями

Для удаления политики управления паролями необходимо на странице со списком всех политик управления паролями установить флажки напротив имен политик управления паролями и нажать на значок («Удалить») (см. Рисунок ).
      1. Меню «Управление сессиями»

        1. Меню «Параметры записи»


Меню «Параметры записи» предназначено для управления режимами записи сессий.

На странице «Свойства записи сессий» доступны настройки кодирования сессий (см. Рисунок ).

Для управления настройками кодирования сессий необходимо установить переключатель в одно из следующих положений:

кодирование записей сессий выключено;

кодирование записей сессий выключено, только кл. суммы (настройка – по умолчанию);

кодирование включено.

После выбора требуемого режима кодирования записей сессий нажать кнопку «Применить».

Рисунок – Параметры записи сессий


        1. Меню «Политики соединения»


Меню «Политики соединения» предназначено для управления параметрами соединения.

На странице «Параметры соединения» отображается перечень настроенных политик соединения (см. Рисунок ).



Рисунок – Параметры соединения

Для загрузки политики соединения из файла необходимо нажать на значок .

          1. Создание политики соединения

Для добавления политики соединения необходимо нажать на значок , расположенный в верхнем левом углу рабочей области страницы со списком всех политик соединения (см. Рисунок ).

На форме добавления политики соединения заполнить поля следующей информацией (см. Рисунок ):

имя политики соединения в поле «Policy name»;

описание политики соединения в поле «Description»;

выбрать протокол соединения из выпадающего списка «Protocol»;

метод аутентификации в поле «Methods»;

параметры авторизации в разделе «Тип авторизации» (Параметры авторизации различаются в зависимости от выбранного протокола соединения).

Рисунок – Создание политики соединений

Для сохранения политики соединения нажать кнопку «Применить».

          1. Изменение политики соединения

Для изменения политики соединения необходимо на странице со списком всех политик соединения перейти по ссылке имени политики, расположенной в столбце «Имя» (см. Рисунок ) и нажать на значок .

Поля, доступные для изменения на странице изменения политики, аналогичны полям на странице создания политики соединения, за исключением поля имени политики, т.к. имя политики изменить нельзя. Подробное описание атрибутов политики соединения приведено в разделе 5.2.7.2.1.


          1. Удаление политики соединения

Для удаления политики соединения необходимо на странице со списком всех политик соединения установить флажки напротив имен политик соединения и нажать на значок («Удалить») (см. Рисунок ).
      1. Меню «Авторизации»


Меню «Авторизации» предназначено для определения, какие целевые учетные записи и протоколы могут использоваться для доступа к устройствам.

Авторизации применяются к группам пользователей, связанным с группами целевых учетных записей. Все пользователи в одной группе наследуют одни и те же авторизации.


        1. Меню «Управление авторизациями»


Меню «Управление авторизациями» предназначено для вывода списка авторизаций, добавления и удаления авторизаций, загрузка авторизаций из файла в формате CSV, а также сохранения списка авторизаций в файле в формате CSV (см. Рисунок ).

Для сохранения данных таблицы в файл необходимо нажать на значок , расположенный в правом верхнем углу рабочей области страницы.



Рисунок - Управление авторизациями


          1. Добавление авторизации

Для добавления новой авторизации необходимо на странице «Управление авторизациями» нажать на значок (см. Рисунок ).

Авторизация является связью, созданной между группой пользователей и группой целевых учетных записей.

Форма для добавления новой авторизации содержит поля для ввода следующей информации:

группы пользователей в поле «Группа пользователей»;

группы целевых учетных записей в поле «Группа устройств»;

описание в поле «Описание»;

список авторизованных протоколов в группе полей «Протоколы/Подпротоколы». Управление списком выбранных протоколов осуществляется с помощью кнопок , и «Выбрать все», «Очистить»;

параметр, указывающий, являются ли критичными сеансы, разрешенные авторизацией (при каждом доступе к критичному устройству может отправляться уведомление с помощью флажка «Критично»);

параметр включения/отключения записи сеанса с помощью флажка «Записывается»;

параметр включения/отключения доступа через Прокси с помощью флажка «Разрешить соединения через Прокси»;

параметр включения/отключения доступа к паролям с помощью флажка «Разрешить доступ к паролям через GUI и REST API»;

параметр записи данной авторизации в историю разрешений с помощью флажка «История разрешений».

Для сохранения авторизации необходимо нажать кнопку «Применить».

Для загрузки авторизаций из файла необходимо нажать на значок , расположенный в правом верхнем углу рабочей области страницы.



Рисунок - Добавление авторизации

Примечания:


  1. Для регистрации сеансов RDP используется запись видео и автоматическое распознавание символов (OCR) для приложений, выполняющихся на удаленном компьютере, путем обнаружения строк заголовков.

  2. Алгоритм, используемый для распознавания строк заголовков, позволяет отслеживать сеансы в режиме реального времени, однако он очень чувствителен к конфигурации. Он работает только в ОС Windows Standard с заданным по умолчанию размером шрифта 96PPP, глубиной цвета 15 бит или более (15, 16, 24 или 32 бита); он не поддерживает 8-битовый режим. Текущая версия функции OCR не будет работать при изменении стиля строки заголовка даже на практически аналогичный (например, Windows classic) или при изменении цвета, стиля, шрифта или разрешения строки заголовка. Кроме того, функция OCR настроена для обнаружения только строк заголовков приложений, закрытых с помощью трех значков: закрытия, сворачивания и разворачивания. Если строка заголовка содержит значок, он обычно заменяется знаками вопроса, стоящими перед распознанным текстом.

  3. Данная форма используется для выбора нескольких протоколов для группы пользователей и указанной группы устройств. Это значит, что между двумя группами можно создать несколько авторизаций.
          1. Удаление авторизации

Для удаления авторизации необходимо на странице «Управление авторизациями» установить флажки напротив имен требуемых авторизаций и нажать на значок («Удалить») (см. Рисунок ).
        1. Меню «Мои разрешения»


При выборе пункта «Мои разрешения» из бокового меню интерфейса администратора, отображаются сведения о доступных разрешениях доступа (см. Рисунок ).

Рисунок – Просмотр доступных разрешений

Для каждого из этих разрешений отображается следующая информация:

статус;


кворум;

тикет;


имя пользователя (имя пользователя СКДПУ);

цель (имя или IP-адрес ресурса);

начало действия разрешения;

окончание действия разрешения;

длительность;

ответы.

        1. Меню «История моих разрешений»


Меню «История моих разрешений» предназначено для отображения перечня доступных пользователям разрешений для доступа к устройствам и ресурсам (см. Рисунок ).

Рисунок – История моих разрешений

На странице «История моих разрешений» используются аналогичные фильтры, что и в журнале подключений. Применяются аналогичные ограничения по количеству отображаемых результатов (см. раздел 5.2.3.2).

      1. Меню «Конфигурация»


Меню «Конфигурация» предназначено для настройки следующих компонентов СКДПУ:

периоды времени для доступа пользователей в СКДПУ;

процедуры внешней авторизации;

управление доменами;

уведомления;

управление паролями;

политика паролей для зарегистрированных пользователей;

параметры соединения;

настройки СКДПУ;

лицензии;

шифрование.

        1. Меню «Периоды времени»


Страница «Периоды времени» вызывается с помощью пункта «Периоды времени» меню «Конфигурация», предназначена для добавления, изменения и удаления периодов времени для доступа пользователей к СКДПУ (см. Рисунок ).

В СКДПУ по умолчанию задан период времени «allthetime» (Постоянно). Он позволяет пользователям подключаться к целевым устройствам в любое время дня.



Внимание: период времени «allthetime» (Постоянно) удалить нельзя.

Рисунок – Периоды времени

Для сохранения данных таблицы в файл необходимо нажать на значок , расположенный в правом верхнем углу рабочей области страницы.

          1. Добавление периода времени доступа

Для добавления временного интервала доступа пользователей в СКДПУ необходимо нажать на значок , расположенный в верхнем левом углу рабочей области страницы «Периоды времени» (см. Рисунок ).

На форме создания периода времени находятся следующие элементы (см. Рисунок ):

поле «Имя временного периода» для ввода имени временного периода;

поле «Описание» для ввода описания периода;

флажок «Не закрывать сессии по окончанию временного периода» для отключения автоматического отсоединения в конце указанного периода;

группу полей «Периоды» для добавления одного или нескольких периодов доступа пользователя.

Каждый временной период представляет собой календарный период, в течение которого пользователи могут выполнять вход:

между определенными датами (поля «Начинается» и «Заканчивается»;

для установки периода, начинающегося с текущего дня установить флажок «Сегодня»;

в определенные дни недели (флажки «Для этих дней недели»);

между определенными часами в каждый авторизованный день (поля «С часа» и «По»).

Примечание. Время указывается в формате местного времени СКДПУ.



Рисунок - Добавление периода времени

Для сохранения заданного временного периода нажать кнопку «Создать период».

Для загрузки периодов времени из файла необходимо нажать на значок , расположенный в правом верхнем углу рабочей области страницы.

Для изменения временного периода необходимо на странице «Периоды времени» перейти по ссылке имени периода времени, расположенной в столбце «Имя временного периода» (см. Рисунок ).

Элементы, доступные для изменения на странице «Редактировать временной период», аналогичны элементам на странице создания временного интервала, за исключением поля «Имя временного периода», т.к. имя временного интервала изменить нельзя. Подробное описание элементов приведено в разделе 5.2.9.1.1.


          1. Удаление временного периода

Для удаления временного периода необходимо на странице «Периоды времени» установить флажок напротив имени необходимого периода времени и нажать на значок («Удалить») (см. Рисунок ).
        1. Меню «Внешние авторизации»


В СКДПУ можно настроить внешние средства авторизации, которые используются для авторизации пользователя в СКДПУ.

Локальная авторизация является настройкой в СКДПУ по умолчанию. Она позволяет пользователям входить в систему с помощью учетных записей СКДПУ.

На странице «Внешние средства авторизации» (см. Рисунок ) можно составлять список, добавлять, изменять или удалять процедуры внешней авторизации. СКДПУ поддерживает следующие методы проверки подлинности:

LDAP;


LDAPS;

Active Directory;

Kerberos;

Radius.;


TACACS+.

Рисунок - Настройки внешних средств авторизации


          1. Создание внешней авторизации

Для создания внешней авторизации необходимо нажать на значок , расположенный в верхнем левом углу рабочей области страницы «Внешние средства авторизации» (см. Рисунок ).

Рисунок - Создание внешней авторизации (LDAP)

На форме создания внешней проверки подлинности находятся следующие элементы:

выпадающий список «Тип авторизации»;

Примечание. При выборе типа авторизации отображаются обязательные для заполнения поля. Состав полей различен для разных типов авторизации.

имя проверки подлинности в поле «Имя авторизации»;

адрес сервера (IP или FQDN) в поле «Сервер»;

порт подключения в поле «Порт»;

описание в поле «Описание».

Для проверок подлинности LDAP/LDAPS нужно ввести расположение учетной записи в поле «Base DN (ou=...)» и атрибут подключения. Атрибут подключения должен соответствовать значению поля, в котором сохранено имя пользователя СКДПУ. Если в каталоге отключен анонимный доступ «Анонимный доступ», можно добавить имя пользователя и пароль в поля «User» «Пользователяь» и «Пароль» соответственно.

Примечание. Пользователь должен иметь права на чтение используемой базы DN.

Для проверок подлинности LDAP/AD используется атрибут подключения sAMAccountName (поле «Атрибут Имя Пользователя»). Поскольку анонимный доступ к Active Directory невозможен, для создания проверки подлинности требуется учетная запись администратора домена.

Для проверок подлинности LDAP/AD указываемое имя пользователя должно быть значимым именем base-dn: dc=mycompany,dc=ru – базовый dn-суффикс для поиска объекта в LDAP/AD (поиск объекта производится только в данной ветви дерева и ее потомках) (поле «Base DN (dc=...)») (см. Рисунок ).

Рисунок - Проверка подлинности LDAP/AD

Для проверок подлинности KERBEROS требуется указать доменное имя (REALM) в поле «Имя домена» и контроллер домена в поле «Домен контроллер» (см. Рисунок ).

Рисунок - Проверка подлинности KERBEROS

Для проверок подлинности RADIUS требуется указать пакетный ключ проверки подлинности в поле «Секрет» (см. Рисунок ).

Рисунок - Проверка подлинности Radius

Для проверок подлинности TACACS+ требуется указать пакетный ключ проверки подлинности в поле «Секрет» (см. Рисунок ).

Рисунок – Проверка подлинности TACACS+


          1. Изменение внешней авторизации

Для изменения проверки подлинности необходимо на странице «Внешние средства авторизации» перейти по ссылке имени авторизации, расположенной в столбце «Имя авторизации» (см. Рисунок ).

Элементы, доступные для изменения на странице «Изменение внешней авторизации», аналогичны элементам на странице создания внешней авторизации, за исключением поля «Имя авторизации», т.к. имя авторизации изменить нельзя. Подробное описание элементов приведено в разделе 5.2.9.2.1.


          1. Удаление внешней проверки подлинности

Для удаления внешней проверки подлинности необходимо на странице «Внешние средства авторизации» установить флажок напротив имени необходимой внешней проверки подлинности и нажать на значок («Удалить») (см. Рисунок ).
        1. Меню «Домены LDAP/AD»


В СКДПУ можно указать группу в LDAP и назначить ей группу пользователей СКДПУ для того, чтобы осуществлять управление пользователями средствами Active Directory, т.о. управлять/создавать/удалять пользователей в СКДПУ не требуется.

Внимание: данный функционал работает только при условии, что создана внешняя авторизация LDAP!

На странице «Домены LDAP/AD» отображается информация обо всех группах СКДПУ и соответствующих им группах в Active Directory и пользователях СКДПУ, входящих в группу (см. Рисунок ).



Рисунок – Домены LDAP/AD


          1. Добавление домена LDAP/AD

Для добавления сопоставления группы пользователей СКДПУ с группой LDAP/AD необходимо нажать на значок , расположенный в верхнем левом углу рабочей области страницы «Домены LDAP/AD» (см. Рисунок ).

Рисунок - Добавление домена LDAP/AD

На форме добавления домена LDAP/AD находятся следующие элементы:

имя создаваемого домена в поле «WAB Domain name»;

описание в поле «Описание»;

флаг «Домен по умолчанию» для установки параметра по умолчанию и поле ввода имени домена по умолчанию «Имя домена LDAP/AD»;

список внешних авторизаций в группе полей «Внешний LDAP». Управление списком внешних проверок подлинности осуществляется с помощью кнопок , и , ;

атрибут группы в поле «Атрибут группы»;

атрибут отображаемого имени в поле «Атрибут DN»;

атрибут адреса электронной почты в поле «Атрибут E-mail»;

атрибут языка по умолчанию в поле «Атрибут языка»;

выпадающий список «Язык по умолчанию» для установки языка по умолчанию;

адрес почтового сервера по умолчанию в поле «Почтовый домен по умолчанию»;

группа полей «Соотнесение LDAP авторизации», в которой задаются группа пользователей СКДПУ в поле «Группа пользователей», профиль в поле «Профиль» и группа LDAP в поле «Группа LDAP» для сопоставления.


          1. Изменение параметров сопоставления группы пользователей СКДПУ с группой LDAP/AD

Для изменения параметров сопоставления группы пользователей СКДПУ с группой LDAP/AD необходимо на странице «Домены LDAP/AD» перейти по ссылке имени домена, расположенной в столбце «Домен WAB» (см. Рисунок ).

Элементы, доступные для изменения на странице «Редактирование домена», аналогичны элементам на странице добавления домена LDAP/AD, за исключением поля «WAB Domain name». Подробное описание элементов приведено в разделе 5.2.9.3.1.


          1. Удаление сопоставления группы пользователей СКДПУ с группой LDAP/AD

Для удаления сопоставления группы пользователей СКДПУ с группой LDAP/AD необходимо на странице «Домены LDAP/AD» установить флажок напротив имени необходимого домена и нажать на значок («Удалить») (см. Рисунок ).
        1. Меню «Уведомления»


Система СКДПУ позволяет настраивать уведомления. Уведомления запускаются в случае обнаружения одного из следующих событий:

ежедневная отчетность;

соединение с критичным аккаунтом на устройстве;

сохранение нового отпечатка SSH ключа;

плохой отпечаток SSH ключа;

оповещения от мониторинга;

закончилось место (90%);

ошибка RAID;

нарушение целостности;

совпадение с паттерном в SSH потоке;

нет места на внешнем хранилище;

совпадение с паттерном в RDP потоке;

пароль устарел;

отказ первичной авторизации;

ошибка вторичного соединения.

Для просмотра списка уведомлений необходимо выбрать пункт «Уведомления» меню «Конфигурация» (см. Рисунок ).



Рисунок - Управление уведомлениями


          1. Добавление уведомлений

Для добавления уведомлений необходимо нажать на значок , расположенный в верхнем левом углу рабочей области страницы «Уведомления» (см. Рисунок ).

Рисунок - Добавление оповещения

На форме добавления уведомления находятся следующие элементы:

имя уведомления (поле «Название оповещения»);

описание (поле «Описание»);

флажки для включения отправки уведомлений для перечисленных выше событий (см. 5.2.9.4);

адрес электронной почты получателя (поле «Еmail получателя»).

Примечание. Для настройки параметров электронной почты, перейдите на страницу «Почтовый сервер» (см. раздел 5.2.10.9).


          1. Изменение уведомления

Для изменения уведомления необходимо на странице «Уведомления» перейти по ссылке имени уведомления, расположенной в столбце «Имя» (см. Рисунок ).

Элементы, доступные для изменения на странице «Редактировать оповещение», аналогичны элементам на странице создания уведомления, за исключением поля «Название оповещения», т.к. имя название оповещения изменить нельзя. Подробное описание элементов приведено в разделе 5.2.9.4.1.


          1. Удаление уведомления

Для удаления уведомления необходимо на странице «Уведомления» установить флажок напротив имени необходимого уведомления и нажать на значок («Удалить») (см. Рисунок ).
        1. Меню «Локальная политика паролей»


Политика паролей устанавливает набор правил для хранения локальных паролей.

По умолчанию минимальная длина пароля составляет шесть символов; последние четыре пароля нельзя использовать повторно; пароль не должен совпадать с именем пользователя.

По умолчанию на страницу «Локальная политика паролей» добавлен список запрещенных простых паролей.

При настройке политики паролей также настраивается срок действия пароля.

Для настройки политики паролей необходимо выбрать пункт «Локальная политика паролей» меню «Конфигурация» (см. Рисунок ).

Для изменения локальной политики паролей необходимо нажать на значок , расположенный в верхнем левом углу рабочей области страницы «Локальная политика паролей».



Рисунок - Управление локальной политикой паролей

На форме управления локальной политикой паролей находятся следующие элементы:

период действия пароля в днях (поле «Устаревание пароля»). По истечении установленного периода администратор должен определить новые учетные данные, а пользователи не смогут выполнить вход с помощью существующего пароля. В качестве значения периода рекомендуется выбрать срок, не превышающий один год;

период предупреждения пользователя о количестве дней, оставшихся до истечения срока действия пароля (поле «Показывать предупреждение пользователю»);

минимальная длина пароля (поле «Минимальная длина пароля»). Значение должно превышать сумму других ограничений длины пароля;

максимальное количество допустимых ошибок ввода пароля (поле «Макс. Число ошибок авторизации для пользователя»);

минимальное количество символов в пароле (поле «Минимальное число символов»);

минимальное количество символов в верхнем регистре (поле «Минимальное число больших букв»). Рекомендуется как минимум 2;

Минимальное количество цифр в пароле (поле «Минимальное число цифр»). Рекомендуется как минимум 2;

Количество предыдущих паролей, которые нельзя использовать повторно (поле «Число ранних паролей для контроля»). Рекомендуется как минимум 5;

флажок «Имя пользователя и пароль могут совпадать», разрешающий или запрещающий пароли, совпадающие с именем пользователя. Рекомендуется запретить;

файл со списком запрещенных паролей.

Примечание. Список запрещенных паролей допускается загружать только из файла в формате UTF-8.


        1. Меню «Параметры соединения»


Страница «Параметры соединения» предназначена для настройки языка сообщений для пользователей по умолчанию. В поля вводится текст сообщения, отображаемого во время входа пользователя на прокси-серверы (см. Рисунок ).

Рисунок - Настройки языка сообщений


        1. Меню «Настройки»


Меню «Настройки» предназначено для управления настройками СКДПУ.

На странице «Настройки» отображается перечень настроек СКДПУ (см. Рисунок ):

настройки внешнего хранилища (External vault);

настройки пользовательского интерфейса (GUI);

настройки регистрации системных событий (Logger);

настройки продукта (OEM);

настройки RDP (RDP proxy);

настройки записи сессий RDP (RDP proxy sesman);

настройки SSH (SSH proxy);

системные настройки (WAB Engine);

настройки сервисов (WAB Watchdog).

Внимание: для выполнения операций по настройке СКДПУ необходима квалификация Системного администратора!

Для редактирования настроек СКДПУ необходимо перейти по ссылке названия настройки, расположенной в столбце «Настройки» (см. Рисунок ).



Рисунок – Настройки СКДПУ


          1. Настройки внешнего хранилища


Страница «External vault» предназначена для управления настройками внешнего хранилища (см. Рисунок ).

Рисунок - Настройки внешнего хранилища

Для каждой настройки на форме редактирования приведено описание и пример заполнения.

Для отображения полного перечня настроек необходимо установить флажок «Сложные настройки».


          1. Настройки интерфейса


Страница «GUI» предназначена для управления настройками интерфейса СКДПУ (см. Рисунок ).

Для каждой настройки на форме редактирования приведено описание, формат данных и пример заполнения.

Для отображения полного перечня настроек необходимо установить флажок «Сложные настройки».

Рисунок – Настройки интерфейса


          1. Настройки регистрации событий


Страница «Logger» предназначена для настройки параметров регистрации системных событий СКДПУ (см. Рисунок ).

Для каждой настройки на форме редактирования приведено описание и пример заполнения.

Для отображения полного перечня настроек необходимо установить флажок «Сложные настройки».

Рисунок - Настройки регистрации событий


          1. Настройки продукта


Страница «OEM» предназначена для настройки информации о продукте: логотипа, названия продукта и т.д. (см. Рисунок ).

Рисунок – Настройки продукта


          1. Настройки RDP


Страница «RDP proxy» предназначена для конфигурирования параметров соединения по протоколу RDP (см. Рисунок ).

Для каждой настройки на форме редактирования приведено описание, формат данных и пример заполнения.

Для отображения полного перечня настроек необходимо установить флажок «Сложные настройки».

Рисунок – Настройки RDP


          1. Настройки записи сессий RDP


Страница «RDP proxy sesman» предназначена для управления настройками записи сеансов по протоколу RDP (см. Рисунок ).

Для каждой настройки на форме редактирования приведено описание, формат данных и пример заполнения.

Для отображения полного перечня настроек необходимо установить флажок «Сложные настройки».

Рисунок – Настройки записи сессий RDP


          1. Настройки SSH


Страница «SSH proxy» предназначена для управления настройками соединения по протоколу SSH (см. Рисунок ).

Для каждой настройки на форме редактирования приведено описание, формат данных и пример заполнения.

Для отображения полного перечня настроек необходимо установить флажок «Сложные настройки».

Рисунок – Настройки SSH


          1. Системные настройки


Страница «WAB Engine» предназначена для управления системными настройками СКДПУ (см. Рисунок ).

Для каждой настройки на форме редактирования приведено описание, формат данных и пример заполнения.

Для отображения полного перечня настроек необходимо установить флажок «Сложные настройки».

Рисунок – Системные настройки


          1. Настройки сервисов


Страница «WAB Watchdog» предназначена для управления параметрами сервисов (см. Рисунок ).

Для каждой настройки на форме редактирования приведено описание, формат данных и пример заполнения.

Для отображения полного перечня настроек необходимо установить флажок «Сложные настройки».

Рисунок – Настройки сервисов


        1. Меню «Лицензия»


Меню «Лицензия» предназначено для просмотра информации о текущей лицензии СКДПУ, а также для обновления лицензии.

На странице «Лицензия» в разделе «Свойства лицензии» приведена основная информация о текущей лицензии (см. Рисунок ).

Механизмы лицензирования выполняют следующие проверки:

количество целевых устройств и приложений, которые доступны для добавления;

максимальное количество одновременных уникальных основных подключений;

максимальное количество одновременных дополнительных подключений;

дата истечения срока действия лицензии.

Для обновления лицензии необходимо в разделе «Обновление лицензии» внести лицензионный ключ в текстовое поле и нажать кнопку «Обновить лицензию».



Рисунок – Лицензия

Ключ лицензии предоставляется Исполнителем в рамках договора поставки. Для получения лицензии необходимо предоставить Исполнителю серийный номер устройства и все MAC-адреса сетевых плат.

Ключ лицензии вводится в СКДПУ через веб-интерфейс.

Управление ключом лицензии доступно также из командной строки (корневого меню):

для ввода номера нового лицензионного ключа необходимо выполнить команду:



wab2:~# WABSetLicence

для отображения сведений о лицензии необходимо выполнить команду:



wab2:~# WABGetLicence
        1. Меню «Шифрование»


Меню «Шифрование» предназначено для просмотра информации о действующем механизме шифрования СКДПУ.

На странице «Шифрование» в разделе «Шифрование данных на SKDPU» приведена основная информация о текущем механизме шифрования данных (см. Рисунок ).

На странице «Шифрование» также отображается статус работы системы шифрования СКДПУ.

Рисунок – Шифрование


        1. Меню «Собственный аудит»


При выборе пункта «Собственный аудит» из бокового меню интерфейса администратора, отображаются последние 100 сообщений из журнала о работе СКДПУ (см. Рисунок ).

Для сохранения системного журнала необходимо нажать на значок .



Рисунок – Собственный аудит


      1. Меню «Система»


Меню «Система» предназначено для ввода информации о конфигурации СКДПУ.
        1. Меню «Статус»


При выборе пункта «Статус» из бокового меню интерфейса администратора, отображается общая информация о системе, включая следующие сведения (см. Рисунок ):

количество текущих подключений;

коэффициент использования ОЗУ;

коэффициент использования SWAP.

Примечание. Коэффициент использования ОЗУ не отображает системы буферов.

Рисунок – Статус работы СКДПУ


        1. Меню «Syslog»


При выборе пункта «Syslog» из бокового меню интерфейса администратора, отображаются последние 100 сообщений из журнала о работе СКДПУ или использовании интерфейса администрирования (см. Рисунок ), которые содержатся в файле /var/log/syslog.

Для сохранения системного журнала необходимо нажать на значок .



Рисунок – Системный журнал


        1. Меню «Отчет по запуску»


При выборе пункта «Отчет по запуску» из бокового меню интерфейса администратора, отображается информация журнала запуска системы dmesg, которая содержится в файле /var/log/boot (см. Рисунок ).

Для сохранения журнала сообщений необходимо нажать на значок .



Рисунок - Просмотр содержимого файла журнала сообщений


        1. Меню «Сеть»


Для настройки параметров сети необходимо выбрать пункт «Сеть» меню «Система» (см. Рисунок ).

Рисунок - Параметры сети

На форме управления настройками параметров сети доступны для изменения следующие элементы:

имя хоста (поле «Имя хоста»);

конфигурация сетевых интерфейсов в группе полей «Интерфейсы»:


  • параметр активации сетевых интерфейсов (флажки «Имя интерфейса»);

  • параметр использования сетевого протокола DHCP (выпадающий список DHCP);

  • IP-адрес сетевого интерфейса (поле «IP адрес»);

  • маска подсети (поле «Маска сети»);

  • шлюз (поле «Шлюз»);

маршруты в группе полей «Маршруты» со следующими атрибутами:

  • сеть (поле «Сеть»);

  • маска подсети (поле «Маска сети»);

  • шлюз (поле «Шлюз»);

Для добавления маршрута в список необходимо нажать на значок (Добавить). Для удаления маршрута из списка нажать на значок (Удалить).

записи в файл «etc/hosts» в группе полей «etc/hosts» со следующими атрибутами:



  • имя хоста (поле «Имя хоста»);

  • IP-адрес устройства (поле «IP»);

Для добавления записи в файл hosts в список необходимо нажать на значок (Добавить). Для удаления записи в файл hosts из списка нажать на значок (Удалить).

серверы DNS в группе полей «DNS» со следующими атрибутами:



  • имя домена (поле «Доменное имя»);

  • список DNS серверов. Для добавления списка необходимо нажать на значок (Добавить). Для удаления списка нажать на значок (Удалить).

Внимание: перед изменением IP-адреса СКДПУ, используемого для связи с файловым сервером (с удаленным хранилищем), рекомендуется отключить удаленное хранилище и после изменения адреса включить его повторно (см. раздел 5.2.10.6 «Меню «Удаленное хранилище»»).
        1. Меню «Сервис времени»


Страница «Сервис времени» предназначена для настройки службы времени, это особенно важно, поскольку:

дата и время СКДПУ должны быть синхронизированы с серверами проверки подлинности Kerberos;

СКДПУ является эталонной системой времени для данных аудита и управления периодами времени доступа пользователей.

Для настройки сервиса времени необходимо выбрать пункт «Сервис времени» меню «Система» (см. Рисунок ).



Рисунок – Управление настройками службы времени (NTP)

На форме управления настройками службы времени доступны для изменения следующие элементы:

выпадающий список часовых поясов («Таймзона»);

выпадающий список «Статус» (доступны следующие значения: включено или выключено);

список NTP серверов. Для добавления списка необходимо нажать на значок (Добавить). Для удаления списка нажать на значок (Удалить).


        1. Меню «Удаленное хранилище»


Страница «Удаленное хранилище» предназначена для переноса видеозаписей сеансов во внешнюю файловую систему.

Для управления удаленным хранилищем записей сеансов необходимо выбрать пункт «Удаленное хранилище» меню «Система» (см. Рисунок ).



Внимание: в случае если в СКДПУ уже были сделаны видеозаписи, при активации удаленного хранилища они будут скрыты, но после отключения удаленного хранилища они снова будут отображены.

Рисунок - Управление удаленным хранилищем записей сеансов

В качестве удаленного репозитория поддерживаются файловые системы CIFS и NFS.

Для каждой из вышеперечисленных файловых систем в необходимо указать следующие данные:

IP-адрес или FQDN файлового сервера (поле «Дом. Имя или IP сервера»;

номер порта удаленной службы (поле «Номер порта»);

путь к удаленному каталогу для хранения данных (поле «Путь»).

Для CIFS необходимо также указать следующие данные:

имя пользователя для доступа к удаленной службе (поле «Пользователь»);

пароль (поле «Пароль»).

Кнопка «Включить» используется для подключения файловой системы.

        1. Меню «Интеграция с SIEM»


Для перенаправления журналов Syslog для хранения на другом устройстве необходимо выбрать пункт «Интеграция с SIEM» меню «Система» (см. Рисунок ).

Страница «Интеграция с SIEM» предназначена для перенаправления журналов Syslog на другое сетевое устройство.

Журналы отправляются по выбранному IP-адресу (поле «Доменное имя или IP»), порту (поле «Порт») и протоколу (выпадающий список «Протокол»), сохраненным в локальной файловой системе.

Для включения/отключения перенаправления журналов Syslog на другое устройство необходимо выбрать значение включено/выключено из выпадающего списка «Роутинг».



Рисунок - Управление маршрутизацией с помощью протокола Syslog


        1. Меню «SNMP»


В состав СКДПУ входит встроенный агент SNMP со следующими свойствами (см. Рисунок ):

поддерживаемая версия протокола: 2c;

реализованная база MIB: MIB 2;

без механизмов оповещений (о ловушках) или уведомлений;

без списка ACL в исходном IP-адресе;

доступная команда SNMP: get, getbulk.

Заводская конфигурация имеет следующий вид:

имя системы (поле «Название системы»): WAB v2;

адрес электронной почты для уведомлений (поле «Контактная информация»): root@yourdomain;

расположение (поле «Расположение»): yourlocation;

описание системы (поле «Описание»);

статус подключения агента (выпадающий список «Статус»), по умолчанию агент отключен.



Рисунок - Настройка протокола сетевого управления



Внимание: агент SNMP включается только через веб-интерфейс пользователя!

Пример использования агента приведен на рисунке .



Рисунок - Пример использования агента SNMP


        1. Меню «Почтовый сервер»


Страница «Почтовый сервер» предназначена для настройки или изменения конфигурации почтового сервера для отправки уведомлений СКДПУ (см. Рисунок ).

Рисунок - Настройка протокола передачи почты

На форме управления настройками сервера для отправки сообщений электронной почты доступны для изменения следующие элементы:

имя сервера (поле «Сервер»);

порт сервера (поле «Порт»), порт по умолчанию: 25;

имя отправителя (поле «Имя отправителя»);

адрес отправителя (поле «Адрес отправителя»);

имя пользователя и пароль (поля «Пользователь» и «Пароль» соответственно) – не обязательны для заполнения;

Для проверки настроек введите один или несколько адресов назначения в поле ввода «Адрес получателя для проверки» и нажмите кнопку «Проверка».

Для сохранения настроек почтового сервиса необходимо нажать кнопку «Применить».


        1. Меню «Управление сервисами»


Страница «Управление сервисами» предназначена для включения/выключения сервисов (см. Рисунок ).

Рисунок - Управление сервисами


        1. Меню «Резервные копии»


Страница «Резервные копии» предназначена для настройки резервного копирования или восстановления копии конфигурации СКДПУ (см. Рисунок ).

Каждая резервная копия защищена 16-значным паролем. Перед восстановлением копии необходимо узнать ее пароль.

Для создания резервной копии необходимо ввести пароль в поле «Ключ» и подтвердить введенное значение в поле «Подтверждение ключа» и нажать кнопку «Создать».

Для восстановления СКДПУ из резервной копии необходимо ввести пароль в поле «Ключ», выбрать файл для выгрузки резервной копии с помощью кнопки «Обзор…» и нажать кнопку «Восстановить».



Рисунок - Сохранение и восстановление конфигурации СКПДУ

Примечания:


  1. Функция резервного копирования и восстановления не используется для сохранения данных аудита.

  2. Все данные, измененные или добавленные после создания резервной копии, будут потеряны при восстановлении из резервной копии.

Администратор будет автоматически выведен из СКДПУ. Администратор должен повторно войти в СКДПУ под одной из учетных записей, сохраненных в резервной копии и отличающейся от тех учетных записей, которые находились в системе до выполнения операции резервного копирования или восстановления.
      1. Меню «Импорт/Экспорт»


Страница «Импорт/Экспорт» предназначена для загрузки объектов в СКДПУ из файлов в формате CSV, выгрузки объектов из СКДПУ в файл в формате CSV, а также импорта пользователей из LDAP(S)/AD.
        1. Меню «CSV»


Для импорта/экспорта в формате CSV доступны следующие объекты СКДПУ (см. Рисунок ):

пользователи;

группы пользователей;

глобальные домены;

устройства;

приложения;

кластеры;

аккаунты;

группы ресурсов;

авторизации;

ограничения;

профили;


периоды времени;

внешние средства авторизации (только экспорт);

домены LDAP/AD;

уведомления.



Рисунок – Настройки импорта/экспорта в формате CSV

В разделе «Настройки импорта/экспорта» выбрать из выпадающих списков «Разделитель полей» и «Разделитель списка» требуемый для разделения данных символ.

Для импорта объекта необходимо установить флажок напротив названия требуемого объекта в поле «Type data», в разделе «Импорт» нажать кнопку «Обзор…» и выбрать требуемый для загрузки файл, затем нажать кнопку «Импорт».

Для экспорта объекта необходимо установить флажок напротив названия требуемого объекта в поле «Type data», в разделе «Экспорт» с помощью переключателя выбрать тип архива, в который требуется выгрузить данные, нажать кнопку «Экспорт».

        1. Импорт пользователей из файла в формате CSV.


Для заполнения базы данных пользователей СКДПУ может быть использован файл в формате CSV.

Внимание: файл должен обязательно начинаться со строки, содержащей следующий тэг: #wab31.

Если этот тэг отсутствует, то формат файла должен соответствовать формату СКДПУ версии 3.0, что обеспечит совместимость с файлами, созданными для ранних версий СКДПУ.

Каждая последующая строка в файле должна содержать следующие атрибуты учетной записи пользователя (см. таблицу 2), перечисленные через «;».

Таблица - Атрибуты учетной записи пользователя



Наименование атрибута

Тип

Обязательный атрибут

Допустимые значения

Имя пользователя

Текст

Да

[A - Z], [a - z],[0 - 9], <_>

Имя группы

Текст

Нет

[A - Z], [a - z],[0 - 9], <_>

Отображаемое имя

Текст

Нет

Произвольный текст

IP-адрес для ограничения доступа к прокси-серверам

IP/FQDN

Нет

[A - Z], [a - z],[0 - 9], <_>

Профиль

Текст

Да

Определенные профили

Процедура проверки подлинности

Текст

Да

Определенные проверки подлинности

Открытый ключ SSH

Текст

Нет

[A - Z], [a - z],[0 - 9], <_>

Пароль

Текст

Да/Нет

Произвольный текст

Примечания:

  1. Пароль требуется указывать в случае, если проверка подлинности определена в качестве локальной проверки подлинности;

  2. В случае, если указанная группа пользователей не существует, то она создается с периодом времени, заданным по умолчанию со значением «allthetime» («Постоянно»).

Например,

#wab31

martin;linuxadmins;Pierre Martin;;user;local;;jMpdu9/x2z

После импортирования атрибутов учетных записей пользователей из файла, в СКДПУ отображается сводный отчет, содержащий следующие данные:

дата и время импорта;

общее количество прочтенных строк в файле;

количество строк, соответствующих синтаксису;

количество пользователей, фактически созданных во внутренней базе данных СКДПУ;

количество отклоненных строк.

Для каждой отклоненной строки отправляется сообщение об ошибке.


        1. Импорт устройств и учетных записей из файла в формате CSV


Страница «Импорт/Экспорт» используется для импорта устройств и целевых учетных записей, сохраненных ранее в виде файла в формате CSV.

Описания устройств и учетных записей должны быть расположены в двух отдельных файлах; каждая строка, которого имеет конкретный формат. Каждая строка этих файлов является описанием целевого устройства или целевой учетной записи.

Примечание. Процесс импорта состоит из двух этапов: сначала импортируются устройства, а затем — целевые учетные записи (изначально должно существовать устройство, связанное с каждой учетной записью).

Файл должен начинаться со строки, содержащей следующий тэг: #wab31

Если этот тэг отсутствует, то формат файла должен соответствовать формату СКДПУ версии 3.0, что обеспечит совместимость с файлами, созданными для ранних версий СКДПУ.

Каждая последующая строка в файле должна содержать следующие атрибуты целевого устройства (см. таблицу 3).

Таблица - Атрибуты целевого устройства

Описание атрибута

Тип

Обязательный атрибут

Допустимые значения

Наименование устройства

Текст

Да

[A - Z], [a - z],[0 - 9], <_>

Псевдоним устройства

Текст

Нет

[A - Z], [a - z],[0 - 9], <_>

Описание

Текст

Нет

Произвольный текст

IP-адрес целевого устройства

IP/FQDN

Да

[A - Z], [a - z],[0 - 9], <_>

Service/Protocol/Port/Subprotocol

Текст

Да

NAME/PROTOCOL/N*/SUB-PROTOCOL*

Где NAME - произвольный текст;

PROTOCOL - Имя протокола (см. в примечании);

N* - необязательный номер порта;

SUB-PROTOCOL* - Необязательное имя подпротокола (см. в примечании)


Примечания:

1.PROTOCOL – может иметь одно из следующих значений: SSH, TELNET, RLOGIN, RDP, VNC

2.SUB-PROTOCOL: Для SSH: одно из следующих значений: SSH_SHELL_SESSION, SSH_REMOTE_COMMAND, SSH_SCP_UP, SSH_SCP_DOWN, SSH_X11_SESSION, SFTP_SESSION. Если значение SUB-PROTOCOL не указано, добавляются все подпротоколы. Значение для других протоколов точно совпадает со значением PROTOCOL и может быть пропущено;

Service/Protocol/Port/Sub-Protocol может содержать несколько значений, разделенных пробелом.



Пример:
#wab31

asterix;intranet;"Intranet server";192.168.0.10;ssh_22/ssh/22/ssh_shell_session

obelix;mail1;"Exchange server";192.168.0.11;telnet_23/telnet/23 rdp_1/rdp/3389

Каждая строка в файле должна содержать следующие атрибуты целевой учетной записи пользователя (см. таблицу 4).

Таблица - Атрибуты целевой учетной записи

Описание атрибута

Тип

Обязательный атрибут

Допустимые значения

Имя учетной записи

Текст

Да

[A - Z], [a - z],[0 - 9], <_>

Имя группы целевых учетных записей

Текст

Нет

[A - Z], [a - z],[0 - 9], <_>

Описание

Текст

Нет

Произвольный текст

Пароль

IP/FQDN

Да

[A - Z], [a - z],[0 - 9], <_>

Примечание – создавать целевые учетные записи при отключенной функции «Secondary auto logon» нельзя.

Пример:
#wab31

root@asterix;linux;"Root account";SecurePassword adminlinux@asterix;linux;
"Compte pour la connexion sans droits";plO@56zZ

        1. Импорт авторизаций из файла в формате CSV


Каждая строка в файле должна содержать атрибуты авторизации (см. таблицу 5).

Таблица - Атрибуты авторизации



Описание атрибута

Тип

Обязательный атрибут

Допустимые значения

Имя группы пользователей

Текст

Да

[A - Z], [a - z],[0 - 9], <_>

Имя группы целевых устройств

Текст

Да

[A - Z], [a - z],[0 - 9], <_>

Протокол

Текст

Да

SSH SHELL SESSION,

SSH_REMOTE_COMMAND, SSH_SCP_UP,

SSH SCP DOWN,

SSH X11 SESSION, TELNET,

RLOGIN, RDP, VNC


Пример:

#wab31

group_users1;group_devices1;SSH_SHELL_SESSION

После импорта файла CSV отображается сводный отчет.


        1. Меню «Импорт пользователей из каталога LDAP/LDAPS/Active Directory»


Для заполнения внутренней базы данных LDAP СКДПУ могут быть использованы данные, хранящиеся в удаленном каталоге.

Атрибуты для импорта пользователей из каталога заполняются в разделе «Импортировать из LDAP или AD» на странице «Импорт/Экспорт» (см. Рисунок ).



Рисунок - Импорт из удаленного каталога

Для каждого каталога должна быть заполнена следующая информация:

тип сервера, его адрес и порт подключения (в полях «Тип сервера», «Сервер», «Порт»);

расположение учетной записи (в поле «Base DN (dc=…));

атрибут подключения, т.е. данные пользователя, которые будут применяться для имени пользователя СКДПУ (в поле «Атрибут Имя Пользователя»);

имя пользователя и пароль, если к каталогу ограничен доступ для чтения (обязательно для AD) (в полях «Пользователь» и «Пароль»).

Примечание. Имя пользователя и пароль, использующиеся для входа в систему, должны иметь права на чтение пути к файлу, где сохранены данные пользователя.

В случае успешного выполнения операции импорта откроется новая страница со списком пользователей, загруженных из каталога.

После загрузки пользователя из каталога необходимо назначить ему:

группу пользователей;

процедуру проверки подлинности;

профиль пользователя.

Примечание. Если необходимо, чтобы импортированные пользователи прошли проверку подлинности для каталога, используемого для импорта, сначала необходимо создать метод проверки подлинности (см. раздел 5.2.9.2.1).



  1. Каталог: wp-content -> uploads -> 2016
    2016 -> Государственное областное бюджетное
    2016 -> В. П. Зинченко писал о том, что если человек в детстве не дополучил некую норму участия в игровом времяпрепровождении, он приобретает социально-психологическую ущербность вроде «игровой дистрофии», которую в последу
    2016 -> Общешкольное родительское собрание «Об ответственности родителей за воспитание детей»
    2016 -> 1 июня 2016 года Международный день защиты детей 1 июня
    2016 -> «Формирование социально-нравственной позиции дошкольников посредством введения сказочных сюжетов в компьютерные дидактические игры»
    2016 -> Принята Утверждена
    2016 -> Конкурс по разработке компьютерных игр патриотической направленности «патриот by»


    Поделитесь с Вашими друзьями:
1   ...   4   5   6   7   8   9   10   11   12


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал