Дерево пользователей и управление учетными записями

Статья описывает возможности дерева пользователей Ideco UTM VPP.

Дерево пользователей и управление учетными записями

Дерево пользователей

Дерево пользователей - это организованные в группы учетные записи пользователей. Уровень вложенности групп не ограничен. Дерево доступно в разделе Пользователи -> Учетные записи.

Пример дерева пользователей:

Цвет пиктограммы пользователя зависит от состояния учетной записи пользователя:

Состояние учетной записи пользователя	Описание
	В данный момент времени пользователь прошел процедуру авторизации, и ему был предоставлен доступ в Интернет
	В настройках пользователей выбран запрет на авторизацию
	В данный момент времени пользователь не прошел процедуру авторизации, и ему не был предоставлен доступ в Интернет

Состояние учетной записи пользователя

Описание

В данный момент времени пользователь прошел процедуру авторизации, и ему был предоставлен доступ в Интернет

В настройках пользователей выбран запрет на авторизацию

В данный момент времени пользователь не прошел процедуру авторизации, и ему не был предоставлен доступ в Интернет

В дереве пользователей есть соответствующие кнопки, чтобы управлять группами и учетными записями:

Обозначение	Описание
	Создать учетную запись пользователя
	Создать группу
	Удалить учетную запись пользователя или группу

Обозначение

Описание

Создать учетную запись пользователя

Создать группу

Удалить учетную запись пользователя или группу

Как создать учетную запись пользователя

Создать учетную запись пользователя можно в определенной группе или вне групп:

В определенной группе - Выберите группу, нажмите кнопку Создать пользователя во вкладке Основное или рядом с названием группы в дереве:
Вне групп - Выберите группу Все в дереве пользователей и нажмите :

Логин необходимо вводить латинскими символами в нижнем регистре, например: i.ivanov.

При заполнении Дополнительных настроек будет создано соответствующее правило в учетной записи во вкладке IP и MAC авторизация и в разделе Авторизация -> IP и MAC-авторизация.

Рекомендации сложности паролей (можно автоматически сгенерировать пароль)

минимальная длина - 10 символов;
использование строчных и заглавных латинских символов;
использование цифр и специальных символов.

Для учетных записей, импортированных из MS Active Directory (AD), проверка пароля осуществляется средствами AD. Настройка авторизации пользователей Active Directory производится в разделе Пользователи -> Active Directory.

Создать пользователя Ideco UTM в группу Active Directory нельзя. Если требуется добавить дополнительного пользователя в группу Active Directory, это необходимо делать в дереве пользователей на контроллере домена.

Посмотреть или восстановить пароль учетной записи пользователя нельзя, допускается только его изменение.

Удаление учетной записи пользователя или группы

Для удаления учетной записи пользователя необходимо навести курсор на пользователя и нажать на соответствующий элемент управления. Также можно выбрать нужного вам пользователя и нажать на кнопку Удалить на вкладке Основное.

Удаление группы осуществляется аналогичным образом.

Перемещение карточки пользователя

Чтобы переместить учетную запись пользователя в другую группу, выделите этого пользователя и на вкладке Основное найдите поле Находится в группе. Из выпадающего списка выберите группу, в которую надо переместить пользователя, и нажмите на кнопку Сохранить.

Как настроить дерево пользователей

Для редактирования параметров учетных записей или групп пользователей, выберите нужный объект:

Группу пользователей;
Учетную запись пользователей.

Группа пользователей

При выборе группы пользователей появится возможность настроить две вкладки:

Основное - во вкладке представлена возможность:
- Изменить название и вложенность группы. Для этого в соответствующем поле введите новое название и укажите группу, в которую требуется переместить данную группу;
- Создать пользователя. При нажатии на одноименную кнопку появится форма создания пользователя;
- Удаление группы. Вместе с группой удаляются УЗ пользователей группы и привязки по IP и MAC-адресам;
- Запретить доступ. При активации опции всем пользователям группы будет запрещен доступ в сеть Интернет.
Active Directory - вкладка содержит информацию об имени домена и типе группы. Процесс настройки синхронизации с Active Directory и импорт пользователей описан в статье Интеграция с Active Directory.

Учетная запись пользователей

При выборе учетной записи появится возможность настроить следующие вкладки:

Основное - вкладка включает в себя множество параметров, определяющих статус учетной записи пользователя. Базовые параметры:
- Имя пользователя - Имя пользователя, например, Иванов Иван. Максимальное количество символов - 128;
- Логин - Будет применяться пользователем для авторизации в различных службах Ideco UTM. Логин необходимо вводить латинскими символами в нижнем регистре. Максимальное количество символов - 32;
- Находится в группе - Используйте это поле для перемещения пользователя в другую группу;
- Запретить доступ - При установке этого флага, пользователь не сможет авторизоваться, соответственно пользоваться ресурсами сети Интернет, почтой и личным кабинетом.
Для пользователей, экспортированных из Active Directory во вкладке Основное нельзя редактировать имя, логин, перемещать в другую группу и менять пароль.
IP и MAC авторизация - вкладка содержит правила авторизации по IP и MAC, созданные для определенного пользователя в двух разделах:
- Пользователи -> Учетные записи -> IP и MAC авторизация;
- Пользователи -> Авторизации -> IP и MAC авторизация.
Сессии - вкладка содержит таблицу с информацией о всех активных сессиях пользователях:
При нажатии на в столбце Управление, UTM разорвет сессию пользователя. Аналогичная таблица расположена в разделе Мониторинг -> Авторизованные пользователи.

Импорт пользователей из Active Directory

Импорт учетных записей из LDAP

В Ideco UTM VPP реализована возможность импорта учетных записей из LDAP-каталога Active Directory (далее AD). Импорт осуществляется по протоколам LDAP/LDAPS (протокол LDAPS не требует дополнительных настроек со стороны UTM и будет использоваться автоматически в случае использования его на контроллере домена). Импортировать группы пользователей AD можно в специально созданные группы пользователей в Ideco UTM VPP. Их название может быть произвольным. Для импорта пользователей из AD, выполните следующие действия:

Создайте группу в дереве пользователей Ideco UTM VPP. Подробнее о создании групп в статье.
Выберите эту группу в дереве и перейдите на вкладку Active Directory в правой части экрана.
Выберите домен, из которого требуется импортировать пользователей (если Ideco UTM VPP является членом нескольких доменов).
В поле Тип группы выберите LDAP/AD группа.
При нажатии на поле LDAP группа откроется дерево пользователей Active Directory. Выберите из него необходимую группу для импорта (также можно выбрать корневую группу для импорта всего дерева).
Нажмите Сохранить (будет произведен импорт пользователей).

Пользователи автоматически синхронизируются с Active Directory каждые 15 минут.

При необходимости можно воспользоваться фильтром запросов. Например, если в одних и тех же контейнерах находятся пользователи и компьютеры, а хотите импортировать только пользователей, то в поле LDAP-фильтр напишите следующий текст: (&(objectCategory=person)(objectClass=user))

Не стоит импортировать подгруппы уже импортированной группы, поскольку подгруппы уже будут добавлены вместе с основной группой.

Импорт учетных записей из групп безопасности

Пользователь Active Directory может быть импортирован только в одну группу Ideco UTM VPP. Если пользователь находится в нескольких группах безопасности Active Directory, он попадет в одну группу, импортированную последней.

Можно импортировать любое количество групп безопасности AD в разные папки в дереве пользователей. Для импорта выполните действия:

Создайте группу в дереве пользователей Ideco UTM VPP.
Выберите эту группу в дереве и перейдите на вкладку Active Directory.
В поле Имя домена выберите нужный домен.
В поле Тип группы выберите Группа безопасности AD.
В поле ниже из раскрывающего списка выберите нужную группу безопасности.
Нажмите Сохранить.

Пример настройки импорта пользователей из групп безопасности:

Если из AD импортировались не все пользователи

Если из AD импортировались не все пользователи, то включите режим совместимости. Важно: включенный режим совместимости импортирует пользователей медленнее.

Примеры включения через терминал и браузер:

Терминал

1. Авторизуйтесь командой:

curl -c /tmp/cookie -b /tmp/cookie -X POST https://адрес_сервера/web/auth/login -d '{"login": "логин", "password": "пароль", "rest_path": "/"}' -k

2. Отправьте запрос на включение режима:

curl -c /tmp/cookie -b /tmp/cookie -X PUT https://адрес_сервера/ad_backend/security_group_import_settings -d '{"compatibility_mode": true}' -i -k -H 'Content-type: application/json'

Браузер

1. Откройте веб-интерфейс Ideco UTM VPP и нажмите F12;

2. Перейдите во вкладку Сеть и нажмите на любой запрос;

3. В появившемся окне перейдите на вкладку Новый запрос;

4. Отправьте запрос авторизации:

POST https://адрес_сервера/web/auth/login

Тело запроса:

{
    "login": "логин", "password": "пароль", "rest_path": "/"
}

5. Отправьте запрос на включение режима:

PUT /ad_backend/security_group_import_settings

Тело запроса:

{
  "compatibility_mode": true
}

Для выключения режима совместимости в теле запроса вместо true укажите false.

PreviousНастройка пользователей и интеграция с контроллерами домена NextНастройка авторизации пользователей

Last updated 6 months ago