Администраторы
В Ideco NGFW вы можете создать локальных администраторов или интегрировать администраторов из сервисов Active Directory, ALD PRO, RADIUS.
При бездействии в течение 15 минут администратор будет автоматически разавторизован.
Доступ к веб-интерфейсу из внешней сети и удаленный доступ по SSH
Для включения доступа из внешней сети включите опцию коло пункта Доступ к веб-интерфейсу из внешней сети. Эта функция помогает заниматься администрированием Ideco NGFW удаленно. Попытки подбора паролей блокируются автоматически.
Для включения доступа к серверу по SSH из локальной или внешних сетей включите опцию около соответствующих пунктов (не рекомендуется). Доступ осуществляется по 22 TCP-порту. Попытки подбора паролей также будут автоматически блокироваться.
Подробнее о настройке подключения к веб-интерфейсу при удаленном доступе смотрите в статье Удаленный доступ для управления сервером.
Управление локальными администраторами
Чтобы добавить нового локального администратора, перейдите в раздел Управление сервером -> Администраторы на вкладку Локальные, нажмите кнопку Добавить и заполните поля:
Имя - введите имя нового администратора. Значение не должно быть длиннее 42 символов;
Логин - введите логин нового администратора. Значение не должно быть длиннее 42 символов;
Пароль/повторите пароль - введите пароль нового администратора. Рекомендуем использовать сложные пароли, содержащие латинские строчные и заглавные буквы, цифры и специальные символы;
Роль - выберите роль:
Администратор - получает полный доступ к настройке Ideco NGFW;
Только просмотр - доступ к просмотру настроек Ideco NGFW;
Администратор информационной безопасности - доступ к работе с событиями безопасности;
Администратор файрвола - доступ к созданию учетных записей, работа с правилами фильтрации, управление режимами работы Файрвола;
Администратор настройки доступов - доступ к настройкам сетевого взаимодействия пользователей Файрвола, субъектов доступа, информационных систем;
Просмотр отчетов - администратору будет доступна часть раздела Отчеты и журналы, а именно Трафик, Журнал событий, Журнал веб-доступа, Журнал антивируса, События безопасности и Журнал авторизации;
Создание отчетов - администратору будет доступна часть раздела Отчеты и журналы, а именно Трафик, Журнал событий, Журнал веб-доступа, Журнал антивируса, События безопасности, Журнал авторизации и Конструктор отчетов.
Подробнее о восстановлении пароля администратора смотрите в статье по ссылке.
Управление AD\ALD администраторами
Чтобы добавить администраторов, необходимо интегрировать Active Directory или ALD Pro с Ideco NGFW. При удалении домена AD/ALD из Ideco NGFW будут удалены сессии администраторов.
Чтобы интегрировать администраторов Active Directory или ALD Pro с Ideco NGFW, перейдите в раздел Управление сервером -> Администраторы и выберите нужную вкладку. Затем заполните поля:
Домен - выберите доменное имя;
Группа безопасности - выберите созданную группу безопасности;
Роль - выберите роль. Роли AD\ALD администраторов идентичны ролям локальных администраторов.
Особенности работы:
Если администратор был авторизован по правилу или группе безопасности, которые были удалены, его сессия будет удалена. Это произойдет только после синхронизации групп безопасности на Ideco NGFW, которая выполняется каждые 5 минут;
Если администратора исключить из группы безопасности, он не будет удален. Его сессия завершится через некоторое время, и при следующей попытке авторизации он не сможет войти в систему;
Если администратор соответствует нескольким правилам при авторизации, например, входит в несколько выбранных групп безопасности, ему будет отказано в доступе. Это необходимо, чтобы избежать проблем в определении прав доступа для администратора.
Сведения об авторизованных администраторах будут представлены в разделах Авторизация администраторов и Сессии администраторов:
Управление RADIUS-администраторами
В Ideco NGFW используется Vendor Code - 39410, для авторизации через RADIUS необходимо указать атрибуты 30 и 31, в которых передавать ID роли и ФИО администратора соответственно.
Для интеграции администраторов RADIUS с Ideco NGFW выполните действия:
1. Перейдите в раздел Управление сервером -> Администраторы, на вкладку RADIUS и включите опцию Интеграция с RADIUS-сервером.
2. Укажите доменное имя или IP-адрес внутреннего RADIUS-сервера и секрет (пароль доступа). Если требуется, поменяйте порт, по которому будет происходить подключение к серверу:
При наличии в сети двух RADIUS-серверов настройте один как резервный с указанием порта подключения. При отсутствии ответа от основного RADIUS-сервера запрос об аутентификации будет перенаправлен на резервный RADIUS-сервер.
3. Нажмите Сохранить.
Сведения об авторизованных администраторах RADIUS будут представлены в разделах Авторизация администраторов и Сессии администраторов:
Удаление администраторов
Если администратора удалить из раздела Администраторы, его сессия будет автоматически завершена, и он потеряет доступ к веб-интерфейсу.
Если администратора удалить из группы безопасности, то сессия будет автоматически завершена через 24 часа после авторизации.
Аутентификация администраторов
Ideco NGFW не только блокирует попытки авторизации с неправильными логином или паролем, но и обнаруживает случаи, когда не удается получить информацию об администраторе из контроллера домена. Если администратор не соответствует ни одному из правил авторизации, Ideco NGFW считает попытку авторизации неудачной и блокирует доступ, если количество неудачных попыток превышает допустимое.
Чтобы получить доступ к веб-интерфейсу Ideco NGFW, администратору нужно выполнить процедуру аутентификации, указав логин и пароль.
Для разных групп администраторов предусмотрены разные логины:
Локальный администратор - логин в формат
User;AD/ALD администратор - логин в формате
User@test.com, гдеtest.comдомен;RADIUS администратор - логин в формате
User@radius, где@radiusобязательная часть логина.
Last updated
