Управление системой

Ролевая модель доступа

По умолчанию после установки Termidesk Connect используется следующая ролевая модель:

  • роль «Администратор»: роль, которой доступны настройка и управление Termidesk Connect после успешного прохождения процедуры идентификации и аутентификации. По умолчанию после установки с ролью «Администратор» ассоциируется локальный пользователь ОС tdadmin, состоящий в группе tdadmin;

Запрещается удалять пользователя tdadmin и группу tdadmin, поскольку это приведет к неработоспособности системы.

  • роль «Оператор»: роль, которой доступен только просмотр настроек Termidesk Connect после успешного прохождения процедуры идентификации и аутентификации. По умолчанию после установки с ролью «Оператор» ассоциируется локальный пользователь ОС tdoperator, состоящий в группе tdoperator.

По умолчанию все операции (авторизация, просмотр и изменение настроек) для неидентифицированных пользователей запрещены.

Администратор Termidesk Connect может гибко настроить:

Конфигурация по умолчанию после установки:

  • просмотр конфигурации:

show configuration cli nacm

  • пример вывода:

set nacm enable-nacm true
set nacm read-default deny
set nacm write-default deny
set nacm exec-default deny
set nacm rule-list admin
set nacm rule-list admin group tdadmin
set nacm rule-list admin rule allow-all
set nacm rule-list admin rule allow-all path /
set nacm rule-list admin rule allow-all access-operations *
set nacm rule-list admin rule allow-all action permit
set nacm rule-list operator
set nacm rule-list operator group tdoperator
set nacm rule-list operator rule allow-read
set nacm rule-list operator rule allow-read path /
set nacm rule-list operator rule allow-read access-operations read
set nacm rule-list operator rule allow-read action permit

Создание групп и пользователей

Создание и настройка пользователей и группы выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Управление).

По умолчанию после установки доступны пользователи и группы tdadmin и tdoperator. Запрещается удалять пользователя и группу tdadmin, поскольку это приведет к неработоспособности системы.

Для создания и настройки пользователей и групп используются команды:

Описание параметров также приведено в подразделах Объект user и Объект groups.

  • создание группы:

Имя группы должно соответствовать заданной в службе каталогов, если настроено подключение к ней (см. подраздел Аутентификация и авторизация пользователей через службу каталогов). 
set groups name <имя_группы>

  • создание пользователя и добавление его в группу:

set user name <имя_пользователя> groups <имя_группы>

  • применение конфигурации (после создания пользователя команду выполнять обязательно):

commit

  • назначение пароля пользователю:

set user name <имя_пользователя> password

Пароль вводится в интерактивном режиме и отправляется после нажатия клавиши <ENTER>. Длина пароля должна составлять от 8 до 72 символов.

В пароле нельзя использовать символы: ", ', \, `, $, !, <, >, ;, \{, }, (, ), [, ], |, *, ?, ~, &, ^, а также управляющие символы – табуляции,переноса строки и возврата каретки.

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных проверок (указывается формат вывода – XML, JSON и TXT):

show configuration xml user name <имя>

  • просмотр выполненных команд:

show configuration cli user name <имя>

Создание набора правил доступа

Правила доступа используются для разграничения доступа пользователей к настройке и управлению Termidesk Connect (см. подраздел Ролевая модель доступа).

Для создания и настройки списка правил доступа используются команды:

Описание параметров также приведено в подразделе Объект nacm.

  • создание набора правил доступа:

По умолчанию есть следующие преднастроенные наборы:

  • admin – разрешены все действия по настройке Termidesk Connect;

  • operator – разрешен только просмотр, действия по настройке Termidesk Connect запрещены.

 
set nacm rule-list <имя_набора>

  • назначение набора правил доступа группе пользователей (группа пользователей должна быть предварительно создана, см. подраздел Создание групп и пользователей):

set nacm rule-list <имя_набора> group <имя_группы>

  • создание непосредственно правила доступа для набора:

set nacm rule-list <имя_набора> rule <имя_правила>

  • настройка добавленного правила доступа для набора:

    • определение операции доступа, которая будет связана с правилом:

      Операцией может быть:

      • edit – изменение;

      • exec – выполнение;

      • read – чтение;

      • * – все перечисленные операции.

      		 
      set nacm rule-list <имя_набора> rule <имя_правила> access-operations <операция>

    • определение действия по доступу, которое будет связано с правилом:

      Действием может быть:

      • deny – запретить операции;

      • permit – разрешить операции.

      		 
      set nacm rule-list <имя_набора> rule <имя_правила> action <действие>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных проверок (указывается формат вывода – XML, JSON и TXT):

show configuration xml nacm rule-list <имя_набора>

  • просмотр выполненных команд:

show configuration cli nacm rule-list <имя_набора>

Пример создания набора правил, разрешающего все действия с объектами для созданной группы users:

set groups name users
set rule-list allow-change group users
set rule-list allow-change rule allow-change
set rule-list allow-change rule allow-change action permit
set rule-list allow-change rule allow-change access-operations *

Аутентификация и авторизация пользователей через службу каталогов

В качестве средства аутентификации и авторизации пользователей (администраторов Termidesk Connect) может использоваться служба каталогов, существующая и настроенная в инфраструктуре организации.

Особенности работы при подключении к службе каталогов:

  • для аутентификации и авторизации пользователей используется PAM-модуль;

  • права пользователей к Termidesk Connect назначаются в зависимости от правил доступа группы, в которую входит пользователь (см. подраздел Создание набора правил доступа);

  • подключенная служба каталогов не исключает функции локальных администраторов, существующих в Termidesk Connect.

Настройка подключения к службе каталогов выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Управление).

Для настройки подключения к службе каталогов используются команды:

Описание параметров также приведено в подразделе Объект ldap.

  • указание типа подключаемой службы каталогов:

Возможные значения:

  • AD – служба каталогов Active Directory Domain Services;

  • FreeIPA – служба каталогов FreeIPA;

  • OpenLDAP – служба каталогов OpenLDAP Directory Services.

 
set ldap type <тип_службы_каталогов>

  • указание доменного имени сервера службы каталогов или его IP-адреса:

set ldap domian <доменное_имя_сервера_или_IP>

Пример:

set ldap domain example.loc

  • указание времени ожидания (в секундах) ответа от службы каталогов (по умолчанию – 30):

set ldap timeout <значение>

  • указание типа безопасности для подключения к службе каталогов (по умолчанию – TEXT):

Возможные значения:

  • TEXT – незащищенное подключение;

  • SSL – защищенное подключение. Перед обменом данными будет установлена TLS-сессия.

 
set ldap security <тип_безопасности>

  • (опционально, если используется защищенное подключение к службе каталогов) указание файла сертификата удостоверяющего центра:

Файл сертификата должен быть предварительно загружен на Termidesk Connect (см. подраздел TLS). 
set ldap ca-cert <имя_файла>

  • указание порта для подключения к службе каталогов (по умолчанию – 389):

set ldap port <значение>

  • указание корня поиска в службе каталогов (Base DN):

set ldap base-dn <значение>

Вводимое значение не должно содержать пробелов:

  • в начале и конце строки;

  • рядом с разделителями (запятыми);

  • в элементах пути (например, «DC=company name,DC=de»).

Пример:

set ldap base-dn DC=example,DC=loc

  • указание учетной записи (с правами на чтение) в формате DN, используемой для подключения к службе каталогов:

set ldap administrator-bind-dn <значение>

Вводимое значение не должно содержать пробелов:

  • в начале и конце строки;

  • рядом с разделителями (запятыми);

  • в элементах пути (например, «DC=company name,DC=de»).

Пример:

set ldap administrator-bind-dn CN=admin,OU=Users,DC=example,DC=loc

  • указание пароля учетной записи:

set ldap password <пароль>

  • указание атрибута уникального имени или идентификатора пользователя в службе каталогов (по умолчанию – userPrincipalName):

Возможные значения:

  • uid – уникальный идентификатор учетной записи;

  • userPrincipalName – логин пользователя в формате «user@example.loc»;

  • SamAccountName – короткое имя пользователя;

  • cn – отображаемое имя пользователя (иногда – имя для входа).

 
set ldap user-name-attribute <атрибут_имени_пользователя>

  • указание атрибута группы (по умолчанию – memberOf):

Возможные значения:

  • memberOf – список участников группы, в котором каждый участник указывается в виде полного DN. Универсальный атрибут;

  • uniqueMember – аналог атрибута выше, но используется в некоторых реализациях LDAP, например, OpenLDAP Directory Services.

 
set ldap group-attribute <атрибут_группы>

  • применение заданных настроек:

commit

  • сохранение настроек:

write

  • просмотр заданных проверок (указывается формат вывода – XML, JSON и TXT):

show configuration xml ldap

  • просмотр выполненных команд:

show configuration cli ldap

После настройки подключения должно быть выполнено добавление группы пользователей службы каталогов (см. подраздел Создание групп и пользователей).

Для разделения полномочий в Termidesk Connect также должна быть выполнена настройка правил доступа (см. подраздел Создание набора правил доступа).