Пользователи
Общие сведения
В данном разделе содержится информация о ранее созданных пользователях системы. Также доступны следующие операции:
-
Обновление информации в окне Пользователи.
-
Изменение настроек безопасности аутентификации.
Политика аутентификации
Для изменения настроек безопасности аутентификации необходимо нажать кнопку Политика аутентификации. В открывшейся форме Изменение настроек безопасности аутентификации необходимо заполнить следующие поля:
-
Время ограничения (минут).
Время, на которое пользователь будет заблокирован по достижении лимита попыток аутентификации, указанного в пункте 2.
-
Количество попыток входа до ограничения.
Количество попыток аутентификации до блокировки пользователя на время, указанное в пункте 1.
-
Время между попытками (секунд).
Время между попытками аутентификации.
-
Ограничение при превышении лимита попыток.
Включить/выключить блокировку пользователя при превышении лимита попыток аутентификации (включить/выключить работу функций пунктов 1, 2 и 3).
Пример действий для блокировки пользователя
- Конфигурация:
Время ограничения (минут): 10.
Количество попыток входа до ограничения: 5.
Время между попытками (секунд): 60.- Действия:
Пользователь user1 в течение 60 секунд осуществил 5 попыток аутентификации.
- Результат:
Произошла временная блокировка пользователя user1 на 10 минут. Аутентификация данного пользователя недоступна.
-
Отображать ввод пароля при входе.
Включить/выключить возможность отображения пароля в окне аутентификации без маскировки.
-
Аутентификация с проверкой MAC-адресов.
Включить/выключить проверку MAC-адреса при аутентификации. При активном переключателе становится доступен список MAC-адресов в пункте 14.
-
Блокировка после третьей попытки.
Включить/выключить постоянную блокировку для IP-адреса, который за заданный в пункте 13 период блокируется третий раз.
Примечание
Функция Блокировка после третьей попытки не будет работать, если не включена функция Блокировка IP-адреса при неудачных попытках входа.
-
Блокировка IP-адреса при неудачных попытках входа.
Включить/выключить блокировку IP-адреса при превышении лимита попыток аутентификации (включить/выключить работу функций пунктов 7, 11, 12 и 13).
Пример действий для получения постоянной блокировки
- Конфигурация:
Время ограничения (минут): 10.
Блокировка после третьей попытки: включено.
Блокировка IP-адреса при неудачных попытках входа: включено.
Количество неудачных попыток перед запретом IP: 10.- Действия:
-
С IP-адреса 192.168.0.150 произошло 10 неудачных попыток аутентификации любого пользователя.
-
Активировалась первая блокировка IP-адреса 192.168.0.150 на 10 минут.
-
По истечении времени первой блокировки с IP-адреса 192.168.0.150 произошло 10 неудачных попыток аутентификации любого пользователя.
-
Активировалась вторая блокировка IP-адреса на 30 минут.
-
По истечение времени второй блокировки с IP-адреса 192.168.0.150 произошло 10 неудачных попыток аутентификации любого пользователя.
- Результат:
Активировалась третья постоянная блокировка IP-адреса 192.168.0.150.
Заблокированные IP-адреса
Для заблокированных IP-адресов автоматически создаются запрещающие правила аутентификации.
-
-
Уровень стойкости пароля.
Выбор уровня стойки пароля.
Смена уровня стойкости пароля
Для смены уровня стойкости пароля необходимо ввести пароль Администратора безопасности.
Пароль должен соответствовать устанавливаемому уровню стойкости до применения настройки. -
Время жизни 2FA-кода (секунд).
Время действия кода двухфакторной аутентификации.
-
Кол-во неудачных попыток перед запретом IP.
Количество неудачных попыток аутентификации, после которых происходит блокировка IP-адреса на время, указанное в пункте 1 (для первой блокировки) или в пункте 12 (для второй и последующих блокировок).
-
Длительность второй блокировки IP-адреса (минут).
Длительность второй блокировки IP-адреса, если не обновился счетчик блокировки (пункт 13).
-
Время после блокировки IP-адреса, когда счетчик попыток обнулится (минут).
Интервал времени, в течение которого счетчик блокировки IP-адреса может увеличиться (13). Если после временной блокировки IP-адреса прошло заданное время, счетчик попыток обнуляется.
-
Разрешенные MAC-адреса.
Доступно только при активном переключателе Аутентификация с проверкой MAC-адресов (пункт 6).
Список MAC-адресов, с которых разрешена аутентификация.
-
Дисклеймер.
Информационное всплывающее окно на странице аутентификации.
Правила аутентификации
Правила аутентификации предназначены для блокировки возможности пройти аутентификацию с нежелательных IP-адресов. Для создания и редактирования правил необходимо нажать кнопку Редактирование правил аутентификации. В открывшейся форме для добавления нового правила необходимо нажать кнопку Добавить и заполнить следующие поля:
-
IP-адрес.
IP-адрес, аутентификация с которого будет разрешена/запрещена.
-
Дата окончания.
Дата и время окончания действия правила.
-
Бессрочное действие правила.
Активное положение переключателя делает правило бессрочным. Поле для ввода Дата окончания будет скрыто.
-
Тип правила разрешающее.
Активное положение переключателя делает правило разрешающим, неактивное - запрещающим.
Важно
При наличии хотя бы одного разрешающего правила вход с IP-адресов, не описанных правилами, будет блокироваться.
Разрешающий режим можно сравнить с "белым списком", запрещающий - с "черным списком". -
Включено.
Включить/выключить правило.
-
Комментарий к правилу.
Важно
Для корректной работы функционала, отслеживающего IP-адрес клиента,
запросы от клиента не должны проксироваться Web-сервером (apache, nginx и др.)
Создание пользователя
Создание нового пользователя осуществляется с помощью нажатия кнопки Добавить пользователя. В открывшемся окне необходимо заполнить следующие поля:
-
Имя нового пользователя.
-
Почтовый ящик.
-
Роли, которые назначены новому пользователю. Выбор ролей зависит от прав пользователя, от имени которого происходит создание нового пользователя.
-
Пароль для нового пользователя.
-
Повторный ввод пароля для нового пользователя.
-
Выбор организации (опционально).
Примечание
-
Все новые пользователи с ролью Оператор ВМ без организации будут добавлены к Default organization.
-
Пользователи с ролью Оператор ВМ видят ресурсы только своей организации.
Внимание
В организацию могут быть добавлены только пользователи с ролью Оператор ВМ.
-
-
Дополнительные настройки.
Генерация пароля
Есть возможность сгенерировать пароль, соответствующий установленному в системе уровню стойкости паролей.
После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.
Доступ к данному разделу операторам ВМ ограничен.
Для корректировки данных о пользователе необходимо нажать на интересующего пользователя, после чего в открывшемся окне отобразится информация о пользователе.
Редактирование пользователя
Удаление пользователя
Удаление выбранного пользователя осуществляется по нажатию кнопки
Удалить пользователя и подтверждением операции в диалоговом окне кнопкой ОК.
По умолчанию удаление пользователей отключено. Для включения необходимо перейти в раздел Настройки - Системные основного меню и включить Возможность удаления пользователей.
Внимание
Удаление пользователя приводит к потере всей истории его действий. При необходимости ограничения доступа конкретному пользователю можно сделать его неактивным с помощью кнопки Состояние во вкладке "Информация".
Смена пароля
Любой пользователь может изменить свой пароль, нажав кнопку Изменить пароль и в открывшемся окне указав текущий пароль.
Администратор безопасности может изменить пароль любого пользователя без указания текущего пароля.
История паролей
В целях обеспечения информационной безопасности действует ограничение на использование старых паролей. Система запоминает до 10 использованных паролей.
Информация
Во вкладке Информация отображаются:
-
Логин.
-
Имя пользователя.
-
Фамилия пользователя.
-
Электронная почта.
-
Состояние пользователя.
Редактируемый параметр.
Может принимать значения: Активный и Неактивный.
-
Текущее количество неуспешных авторизаций.
-
Общее количество неуспешных авторизаций.
-
Время последней неуспешной авторизации.
-
Время последней успешной авторизации.
Настройки
Во вкладке Настройки отображаются:
-
Часовой пояс .
-
Дата окончания действия пользователя.
-
Дата окончания действия пароля.
-
Суточный период пользователя.
Определяет, есть ли у пользователя ограничение на время работы в течение суток.
Если опция включена, то необходимо указать время начала и время окончания суточного периода.
Если опция выключена, то у пользователя нет ограничений по времени работы в течение суток.
Таким образом, если суточный период пользователя включен, система будет разрешать доступ пользователя только в те часы, которые указаны в параметрах Время начала суточного периода и Время окончания суточного периода.
-
Время начала суточного периода.
Определяет, с какого времени начинается суточный период пользователя.
Значение можно указывать в 24-часовом формате, например,
08:00
или20:30
. -
Время окончания суточного периода.
Определяет, в какое время заканчивается суточный период пользователя.
Значение можно указывать в 24-часовом формате, например,
18:00
или23:59
. -
Посылать ошибки на электронную почту.
-
Посылать предупреждения на электронную почту.
-
Посылать информационные сообщения на электронную почту.
-
Двухфакторная аутентификация (при активации позволяющий ввести отдельную почту для получения ключей).
-
Максимальное количество одновременных сеансов.
-
Время неактивности для деактивации пользователя в днях.
Роли и разрешения
Во вкладке Роли и разрешения отображаются:
-
Роли пользователя.
-
Разрешения пользователя.
Управление ролями пользователей описано в разделе руководства системного программиста Пользователи и роли и в описании Роли.
Ресурсы
Роль
Актуально только для роли Оператора ВМ. Используется для контроля администратором сущностей владения оператора.
Во вкладке Ресурсы пользователя отображаются:
-
Доступные пользователю ВМ.
-
Пулы данных.
-
Диски.
-
Образы.
-
Файлы.
Сессии
Во вкладке Сессии для каждой сессии отображаются IP-адрес клиента, агент клиента, статус (текущая или нет), дата создания сессии, дата последнего использования и возможность завершить любую сессию пользователя, кроме активной. Также есть кнопка завершения всех неактивных сессий.
Ключи интеграции
Во вкладке Ключи интеграции отображаются ключи интеграции пользователя и кнопка создания ключа.
Для создания ключа необходимо указать уникальное имя ключа, IP-адрес (при необходимости), с которого будут осуществляться запросы, нажать кнопку Сгенерировать ключ, после чего скопировать ключ для дальнейшего использования сторонним приложением. Для удаления ключа необходимо нажать кнопку Удалить.
Просмотр ключа
Просмотр и копирование ключа возможны только при его создании.
Количество ключей
Имеется ограничение - до 96 ключей на одного пользователя.
События
Во вкладке События отображаются зарегистрированные в системе события, связанные с работой пользователей, с возможностью их сортировки по признакам - По всем типам, Ошибки, Предупреждения, Информационные.
Теги
Вкладка Теги содержит список присвоенных пользователю меток. Также имеется возможность обновления, создания и применения тега.