Пользователи
Доступ пользователям с ролью Оператор ВМ к данному разделу в Web-интерфейсе ограничен.
Общие сведения
В данном разделе содержится информация о ранее созданных пользователях системы. Также доступны следующие операции:
-
Обновление информации в окне Пользователи.
-
Изменение настроек безопасности аутентификации.
Политика аутентификации
Для изменения настроек безопасности аутентификации необходимо нажать кнопку Политика аутентификации. В открывшейся форме Изменение настроек безопасности аутентификации необходимо заполнить следующие поля:
-
Время ограничения (минут).
Время, на которое пользователь будет заблокирован по достижении лимита попыток аутентификации, указанного в пункте 2.
-
Количество попыток входа до ограничения.
Количество попыток аутентификации до блокировки пользователя на время, указанное в пункте 1.
-
Время между попытками (секунд).
Время между попытками аутентификации.
-
Ограничение при превышении лимита попыток.
Включить/выключить блокировку пользователя при превышении лимита попыток аутентификации (включить/выключить работу функций пунктов 1, 2 и 3).
Пример действий для блокировки пользователя
- Конфигурация:
Время ограничения (минут): 10.
Количество попыток входа до ограничения: 5.
Время между попытками (секунд): 60.- Действия:
Пользователь user1 в течение 60 секунд осуществил 5 попыток аутентификации.
- Результат:
Произошла временная блокировка пользователя user1 на 10 минут. Аутентификация данного пользователя недоступна.
-
Отображать ввод пароля при входе.
Включить/выключить возможность отображения пароля в окне аутентификации без маскировки.
-
Аутентификация с проверкой MAC-адресов.
Включить/выключить проверку MAC-адреса при аутентификации. При активном переключателе становится доступен список MAC-адресов в пункте 14.
-
Блокировка после третьей попытки.
Включить/выключить постоянную блокировку для IP-адреса, который за заданный в пункте 13 период блокируется третий раз.
Блокировка после третьей попытки
Функция Блокировка после третьей попытки не будет работать, если не включена функция Блокировка IP-адреса при неудачных попытках входа.
-
Блокировка IP-адреса при неудачных попытках входа.
Включить/выключить блокировку IP-адреса при превышении лимита попыток аутентификации (включить/выключить работу функций пунктов 7, 11, 12 и 13).
Пример действий для получения постоянной блокировки
- Конфигурация:
Время ограничения (минут): 10.
Блокировка после третьей попытки: включено.
Блокировка IP-адреса при неудачных попытках входа: включено.
Количество неудачных попыток перед запретом IP: 10.- Действия:
-
С IP-адреса 192.168.0.150 произошло 10 неудачных попыток аутентификации любого пользователя.
-
Активировалась первая блокировка IP-адреса 192.168.0.150 на 10 минут.
-
По истечении времени первой блокировки с IP-адреса 192.168.0.150 произошло 10 неудачных попыток аутентификации любого пользователя.
-
Активировалась вторая блокировка IP-адреса на 30 минут.
-
По истечение времени второй блокировки с IP-адреса 192.168.0.150 произошло 10 неудачных попыток аутентификации любого пользователя.
- Результат:
Активировалась третья постоянная блокировка IP-адреса 192.168.0.150.
Заблокированные IP-адреса
Для заблокированных IP-адресов автоматически создаются запрещающие правила аутентификации.
-
-
Уровень стойкости пароля.
Выбор уровня стойки пароля.
Смена уровня стойкости пароля
-
Для смены уровня стойкости пароля необходимо ввести пароль Администратора безопасности.
-
Пароль должен соответствовать устанавливаемому уровню стойкости до применения настройки.
-
-
Время жизни 2FA-кода (секунд).
Время действия кода двухфакторной аутентификации.
-
Кол-во неудачных попыток перед запретом IP.
Количество неудачных попыток аутентификации, после которых происходит блокировка IP-адреса на время, указанное в пункте 1 (для первой блокировки) или в пункте 12 (для второй и последующих блокировок).
-
Длительность второй блокировки IP-адреса (минут).
Длительность второй блокировки IP-адреса, если не обновился счетчик блокировки (пункт 13).
-
Время после блокировки IP-адреса, когда счетчик попыток обнулится (минут).
Интервал времени, в течение которого счетчик блокировки IP-адреса может увеличиться. Если после временной блокировки IP-адреса прошло заданное время, счетчик попыток обнуляется.
-
Разрешенные MAC-адреса.
Доступно только при активном переключателе Аутентификация с проверкой MAC-адресов (пункт 6).
Список MAC-адресов, с которых разрешена аутентификация.
-
Дисклеймер.
Информационное всплывающее окно на странице аутентификации.
Правила аутентификации
Правила аутентификации предназначены для блокировки возможности пройти аутентификацию с нежелательных IP-адресов. Для создания и редактирования правил необходимо нажать кнопку Редактирование правил аутентификации. В открывшейся форме для добавления нового правила необходимо нажать кнопку Добавить и заполнить следующие поля:
-
IP-адрес.
IP-адрес, аутентификация с которого будет разрешена/запрещена.
-
Дата окончания.
Дата и время окончания действия правила.
-
Опция Бессрочное действие правила.
Включенная опция делает правило бессрочным. Поле для ввода Дата окончания будет скрыто.
-
Опция Тип правила разрешающее.
Включенная опция делает правило разрешающим, выключенная - запрещающим.
Разрешающий режим
-
При наличии хотя бы одного разрешающего правила вход с IP-адресов, не описанных правилами, будет блокироваться.
-
Разрешающий режим можно сравнить с "белым списком", запрещающий - с "черным списком".
-
-
Опция Включено.
Включить/выключить правило.
-
Комментарий к правилу.
Корректная работа функционала
Для корректной работы функционала, отслеживающего IP-адрес клиента,
запросы от клиента не должны проксироваться Web-сервером (apache, nginx и др.)
Создание пользователя
Создание нового пользователя осуществляется с помощью нажатия кнопки Добавить пользователя. В открывшемся окне необходимо заполнить следующие поля:
-
Логин.
-
Имя.
-
Фамилия.
-
Электронная почта.
-
Роли, которые назначены новому пользователю. Выбор ролей зависит от прав пользователя, от имени которого происходит создание нового пользователя.
-
Пароль для нового пользователя.
-
Повторный ввод пароля для нового пользователя.
-
Генерация пароля. Есть возможность сгенерировать пароль, соответствующий установленному в системе уровню стойкости паролей.
-
Выбор организации (опционально).
Пользователи с ролью Оператор ВМ
-
Все новые пользователи с ролью Оператор ВМ без организации будут добавлены к Default organization.
-
Пользователи с ролью Оператор ВМ видят ресурсы только своей организации.
-
В организацию могут быть добавлены только пользователи с ролью Оператор ВМ.
-
-
Дополнительные настройки.
После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.
Для корректировки данных о пользователе необходимо нажать на интересующего пользователя, после чего в открывшемся окне отобразится информация о пользователе.
Редактирование пользователя
Удаление пользователя
Удаление выбранного пользователя осуществляется по нажатию кнопки
Удалить пользователя
и подтверждением операции в диалоговом окне кнопкой ОК.
По умолчанию удаление пользователей отключено. Для включения необходимо перейти в раздел Настройки - Системные основного меню и включить Возможность удаления пользователей.
Удаление пользователя
-
Удаление пользователя приводит к потере всей истории его действий.
-
При необходимости ограничения доступа конкретному пользователю к SpaceVM
необходимо сделать его неактивным, изменив параметр Состояние в разделе Информация выбранного пользователя. -
Удаление встроенного пользователя
admin
невозможно.
Смена пароля
Любой пользователь может изменить свой пароль, нажав кнопку Изменить пароль и в открывшемся окне указав текущий пароль.
Администратор безопасности может изменить пароль любого пользователя без указания текущего пароля.
История паролей
В целях обеспечения информационной безопасности действует ограничение на использование старых паролей. Система запоминает до 10 использованных паролей.
Информация
Во вкладке Информация отображаются:
-
Логин.
-
Имя пользователя.
-
Фамилия пользователя.
-
Электронная почта.
-
Состояние пользователя.
Редактируемый параметр.
Может принимать значения: Активный и Неактивный.
-
Текущее количество неуспешных авторизаций.
-
Общее количество неуспешных авторизаций.
-
Время последней неуспешной авторизации.
-
Время последней успешной авторизации.
Настройки
Во вкладке Настройки отображаются:
-
Часовой пояс.
-
Дата окончания действия пользователя.
-
Дата окончания действия пароля.
-
Суточный период пользователя.
Определяет, есть ли у пользователя ограничение на время работы в течение суток.
Если опция включена, то необходимо указать время начала и время окончания суточного периода.
Если опция выключена, то у пользователя нет ограничений по времени работы в течение суток.
Таким образом, если суточный период пользователя включен, система будет разрешать доступ пользователя только в те часы, которые указаны в параметрах Время начала суточного периода и Время окончания суточного периода.
-
Время начала суточного периода.
Определяет, с какого времени начинается суточный период пользователя.
Значение можно указывать в 24-часовом формате, например,
08:00
или20:30
. -
Время окончания суточного периода.
Определяет, в какое время заканчивается суточный период пользователя.
Значение можно указывать в 24-часовом формате, например,
18:00
или23:59
. -
Отправлять ошибки на электронную почту.
Управление параметром доступно только пользователю с ролью Администратор и Администратор безопасности.
-
Отправлять предупреждения на электронную почту.
Управление параметром доступно только пользователю с ролью Администратор и Администратор безопасности.
-
Отправлять информационные сообщения на электронную почту.
Управление параметром доступно только пользователю с ролью Администратор и Администратор безопасности.
-
Отправлять на почту события безопасности.
Управление параметром доступно только пользователю с ролью Администратор безопасности.
-
Отправлять на почту обычные события.
-
Двухфакторная аутентификация (при активации позволяющая ввести отдельную почту для получения ключей).
-
Максимальное количество одновременных сеансов.
-
Время неактивности для деактивации пользователя в днях.
Роли и разрешения
Во вкладке Роли и разрешения отображаются:
-
Роли пользователя.
-
Разрешения пользователя.
Управление ролями пользователей описано в разделе руководства системного программиста Пользователи и роли и в описании Роли.
Сессии
Во вкладке Сессии для каждой сессии отображаются:
- Статус (текущая сессия или нет).
- Дата создания сессии.
- Действие (возможность завершить любую сессию пользователя, кроме активной).
Если у пользователя имеются незавершенные сессии, то доступна групповая операция по завершению всех неактивных сессий.
Неактивные сессии
Неактивные сессии
Неактивной считается сессия, которая не была завершена пользователем ранее.
Для завершения неактивных сессий необходимо нажать кнопку Завершить все неактивные сессии и в открывшемся окне подтвердить действие, нажав ОК.
Выполнить данную операцию может либо сам пользователь, либо пользователь с ролью Администратор безопасности.
Также завершить неактивные сессии можно в разделе основного меню Безопасность - Сессии.
Ключи интеграции
Во вкладке Ключи интеграции отображаются ключи интеграции пользователя и кнопка создания ключа.
Для создания ключа необходимо указать уникальное имя ключа, IP-адрес (при необходимости), с которого будут осуществляться запросы, нажать кнопку Сгенерировать ключ, после чего скопировать ключ для дальнейшего использования сторонним приложением. Для удаления ключа необходимо нажать кнопку Удалить.
Ключ интеграции
-
Просмотр и копирование ключа возможны только при его создании.
-
Имеется ограничение - до 96 ключей на одного пользователя.
События
Во вкладке События отображаются зарегистрированные в системе события, связанные с работой пользователей, с возможностью их сортировки по признакам - По всем типам, Ошибки, Предупреждения, Информационные.
Теги
Вкладка Теги содержит список присвоенных пользователю меток. Также имеется возможность обновления, создания и применения тега.