Перейти к содержанию

Пользователи

Общие сведения

В данном разделе содержится информация о ранее созданных пользователях системы. Также доступны следующие операции:

  • image Обновить.

    Обновление информации в окне Пользователи.

  • image Добавить пользователя.

  • image Политика аутентификации.

    Изменение настроек безопасности аутентификации.

  • image Редактирование правил аутентификации.


Политика аутентификации

Для изменения настроек безопасности аутентификации необходимо нажать кнопку Политика аутентификации. В открывшейся форме Изменение настроек безопасности аутентификации необходимо заполнить следующие поля:

Окно Изменение настроек безопасности аутентификации

image

  1. Время ограничения (минут).

    Время, на которое пользователь будет заблокирован по достижении лимита попыток аутентификации, указанного в пункте 2.

  2. Количество попыток входа до ограничения.

    Количество попыток аутентификации до блокировки пользователя на время, указанное в пункте 1.

  3. Время между попытками (секунд).

    Время между попытками аутентификации.

  4. Ограничение при превышении лимита попыток.

    Включить/выключить блокировку пользователя при превышении лимита попыток аутентификации (включить/выключить работу функций пунктов 1, 2 и 3).

    Пример действий для блокировки пользователя

    - Конфигурация:

    Время ограничения (минут): 10.
    Количество попыток входа до ограничения: 5.
    Время между попытками (секунд): 60.

    - Действия:

    Пользователь user1 в течение 60 секунд осуществил 5 попыток аутентификации.

    - Результат:

    Произошла временная блокировка пользователя user1 на 10 минут. Аутентификация данного пользователя недоступна.

  5. Отображать ввод пароля при входе.

    Включить/выключить возможность отображения пароля в окне аутентификации без маскировки.

  6. Аутентификация с проверкой MAC-адресов.

    Включить/выключить проверку MAC-адреса при аутентификации. При активном переключателе становится доступен список MAC-адресов в пункте 14.

  7. Блокировка после третьей попытки.

    Включить/выключить постоянную блокировку для IP-адреса, который за заданный в пункте 13 период блокируется третий раз.

    Примечание

    Функция Блокировка после третьей попытки не будет работать, если не включена функция Блокировка IP-адреса при неудачных попытках входа.

  8. Блокировка IP-адреса при неудачных попытках входа.

    Включить/выключить блокировку IP-адреса при превышении лимита попыток аутентификации (включить/выключить работу функций пунктов 7, 11, 12 и 13).

    Пример действий для получения постоянной блокировки

    - Конфигурация:

    Время ограничения (минут): 10.
    Блокировка после третьей попытки: включено.
    Блокировка IP-адреса при неудачных попытках входа: включено.
    Количество неудачных попыток перед запретом IP: 10.

    - Действия:

    • С IP-адреса 192.168.0.150 произошло 10 неудачных попыток аутентификации любого пользователя.

    • Активировалась первая блокировка IP-адреса 192.168.0.150 на 10 минут.

    • По истечении времени первой блокировки с IP-адреса 192.168.0.150 произошло 10 неудачных попыток аутентификации любого пользователя.

    • Активировалась вторая блокировка IP-адреса на 30 минут.

    • По истечение времени второй блокировки с IP-адреса 192.168.0.150 произошло 10 неудачных попыток аутентификации любого пользователя.

    - Результат:

    Активировалась третья постоянная блокировка IP-адреса 192.168.0.150.

    Заблокированные IP-адреса

    Для заблокированных IP-адресов автоматически создаются запрещающие правила аутентификации.

  9. Уровень стойкости пароля.

    Выбор уровня стойки пароля.

    Смена уровня стойкости пароля

    Для смены уровня стойкости пароля необходимо ввести пароль Администратора безопасности.
    Пароль должен соответствовать устанавливаемому уровню стойкости до применения настройки.

  10. Время жизни 2FA-кода (секунд).

    Время действия кода двухфакторной аутентификации.

  11. Кол-во неудачных попыток перед запретом IP.

    Количество неудачных попыток аутентификации, после которых происходит блокировка IP-адреса на время, указанное в пункте 1 (для первой блокировки) или в пункте 12 (для второй и последующих блокировок).

  12. Длительность второй блокировки IP-адреса (минут).

    Длительность второй блокировки IP-адреса, если не обновился счетчик блокировки (пункт 13).

  13. Время после блокировки IP-адреса, когда счетчик попыток обнулится (минут).

    Интервал времени, в течение которого счетчик блокировки IP-адреса может увеличиться (13). Если после временной блокировки IP-адреса прошло заданное время, счетчик попыток обнуляется.

  14. Разрешенные MAC-адреса.

    Доступно только при активном переключателе Аутентификация с проверкой MAC-адресов (пункт 6).

    Список MAC-адресов, с которых разрешена аутентификация.

  15. Дисклеймер.

    Информационное всплывающее окно на странице аутентификации.

    Пример дсклеймера

    image


Правила аутентификации

Правила аутентификации предназначены для блокировки возможности пройти аутентификацию с нежелательных IP-адресов. Для создания и редактирования правил необходимо нажать кнопку Редактирование правил аутентификации. В открывшейся форме для добавления нового правила необходимо нажать кнопку Добавить и заполнить следующие поля:

Окно Добавить правило аутентификации

image

  1. IP-адрес.

    IP-адрес, аутентификация с которого будет разрешена/запрещена.

  2. Дата окончания.

    Дата и время окончания действия правила.

  3. Бессрочное действие правила.

    Активное положение переключателя делает правило бессрочным. Поле для ввода Дата окончания будет скрыто.

  4. Тип правила разрешающее.

    Активное положение переключателя делает правило разрешающим, неактивное - запрещающим.

    Важно

    При наличии хотя бы одного разрешающего правила вход с IP-адресов, не описанных правилами, будет блокироваться.
    Разрешающий режим можно сравнить с "белым списком", запрещающий - с "черным списком".

  5. Включено.

    Включить/выключить правило.

  6. Комментарий к правилу.

Важно

Для корректной работы функционала, отслеживающего IP-адрес клиента, запросы от клиента не должны проксироваться Web-сервером (apache, nginx и др.)
img.png


Создание пользователя

Создание нового пользователя осуществляется с помощью нажатия кнопки Добавить пользователя. В открывшемся окне необходимо заполнить следующие поля:

  • Имя нового пользователя.

  • Почтовый ящик.

  • Роли, которые назначены новому пользователю. Выбор ролей зависит от прав пользователя, от имени которого происходит создание нового пользователя.

  • Пароль для нового пользователя.

  • Повторный ввод пароля для нового пользователя.

  • Выбор организации (опционально).

    Примечание

    • Все новые пользователи с ролью Оператор ВМ без организации будут добавлены к Default organization.

    • Пользователи с ролью Оператор ВМ видят ресурсы только своей организации.

    Внимание

    В организацию могут быть добавлены только пользователи с ролью Оператор ВМ.

  • Дополнительные настройки.

Генерация пароля

Есть возможность сгенерировать пароль, соответствующий установленному в системе уровню стойкости паролей.
image

После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.

Доступ к данному разделу операторам ВМ ограничен.

Для корректировки данных о пользователе необходимо нажать на интересующего пользователя, после чего в открывшемся окне отобразится информация о пользователе.


Редактирование пользователя

Удаление пользователя

Удаление выбранного пользователя осуществляется по нажатию кнопки
Удалить пользователя и подтверждением операции в диалоговом окне кнопкой ОК.

По умолчанию удаление пользователей отключено. Для включения необходимо перейти в раздел Настройки - Системные основного меню и включить Возможность удаления пользователей.

Внимание

Удаление пользователя приводит к потере всей истории его действий. При необходимости ограничения доступа конкретному пользователю можно сделать его неактивным с помощью кнопки Состояние во вкладке "Информация".


Смена пароля

Любой пользователь может изменить свой пароль, нажав кнопку Изменить пароль и в открывшемся окне указав текущий пароль.

Администратор безопасности может изменить пароль любого пользователя без указания текущего пароля.

История паролей

В целях обеспечения информационной безопасности действует ограничение на использование старых паролей. Система запоминает до 10 использованных паролей.


Информация

Во вкладке Информация отображаются:

  • Логин.

  • Имя пользователя.

  • Фамилия пользователя.

  • Электронная почта.

  • Состояние пользователя.

    Редактируемый параметр.

    Может принимать значения: Активный и Неактивный.

  • Текущее количество неуспешных авторизаций.

  • Общее количество неуспешных авторизаций.

  • Время последней неуспешной авторизации.

  • Время последней успешной авторизации.


Настройки

Во вкладке Настройки отображаются:

  • Часовой пояс .

  • Дата окончания действия пользователя.

  • Дата окончания действия пароля.

  • Суточный период пользователя.

    Определяет, есть ли у пользователя ограничение на время работы в течение суток.

    Если опция включена, то необходимо указать время начала и время окончания суточного периода.

    Если опция выключена, то у пользователя нет ограничений по времени работы в течение суток.

    Таким образом, если суточный период пользователя включен, система будет разрешать доступ пользователя только в те часы, которые указаны в параметрах Время начала суточного периода и Время окончания суточного периода.

  • Время начала суточного периода.

    Определяет, с какого времени начинается суточный период пользователя.

    Значение можно указывать в 24-часовом формате, например, 08:00 или 20:30.

  • Время окончания суточного периода.

    Определяет, в какое время заканчивается суточный период пользователя.

    Значение можно указывать в 24-часовом формате, например, 18:00 или 23:59.

  • Посылать ошибки на электронную почту.

  • Посылать предупреждения на электронную почту.

  • Посылать информационные сообщения на электронную почту.

  • Двухфакторная аутентификация (при активации позволяющий ввести отдельную почту для получения ключей).

  • Максимальное количество одновременных сеансов.

  • Время неактивности для деактивации пользователя в днях.


Роли и разрешения

Во вкладке Роли и разрешения отображаются:

  • Роли пользователя.

  • Разрешения пользователя.

Управление ролями пользователей описано в разделе руководства системного программиста Пользователи и роли и в описании Роли.


Ресурсы

Роль

Актуально только для роли Оператора ВМ. Используется для контроля администратором сущностей владения оператора.

Во вкладке Ресурсы пользователя отображаются:

  • Доступные пользователю ВМ.

  • Пулы данных.

  • Диски.

  • Образы.

  • Файлы.


Сессии

Во вкладке Сессии для каждой сессии отображаются IP-адрес клиента, агент клиента, статус (текущая или нет), дата создания сессии, дата последнего использования и возможность завершить любую сессию пользователя, кроме активной. Также есть кнопка завершения всех неактивных сессий.


Ключи интеграции

Во вкладке Ключи интеграции отображаются ключи интеграции пользователя и кнопка создания ключа.

Для создания ключа необходимо указать уникальное имя ключа, IP-адрес (при необходимости), с которого будут осуществляться запросы, нажать кнопку Сгенерировать ключ, после чего скопировать ключ для дальнейшего использования сторонним приложением. Для удаления ключа необходимо нажать кнопку Удалить.

Просмотр ключа

Просмотр и копирование ключа возможны только при его создании.

Количество ключей

Имеется ограничение - до 96 ключей на одного пользователя.


События

Во вкладке События отображаются зарегистрированные в системе события, связанные с работой пользователей, с возможностью их сортировки по признакам - По всем типам, Ошибки, Предупреждения, Информационные.


Теги

Вкладка Теги содержит список присвоенных пользователю меток. Также имеется возможность обновления, создания и применения тега.