Управление системой

Общие параметры управления

После установки Termidesk Connect необходимо выполнить начальную конфигурацию веб-сервера Apache для настройки доступа к веб-интерфейсу.

Настройка доступа к веб-интерфейсу выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Управление).

Описание параметров также приведено в подразделе Объект system.

Для настройки доступа используются команды:

  • задание IP-адреса веб-интерфейса управления из списка существующих на узле:

set system mgmt ip <IP-адрес>

  • задание порта для подключения к веб-интерфейсу (по умолчанию – 443):

set system mgmt webui-port <порт>

  • задание сертификата для подключения к веб-интерфейсу по протоколу HTTPS (по умолчанию – tdc_ss_public_key.pem):

Загрузка сертификатов и ключей выполняется с помощью протокола SFTP или через веб-интерфейс (см. подраздел Веб. TLS).

После загрузки файлы будут расположены в каталоге /etc/ssl/tdc/.

Так же файл может быть получен из Хранилища секретов. Пример значения параметра: pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#certificate.

 
set system mgmt webui-cert <файл>

  • задание закрытого ключа к сертификату для подключения к веб-интерфейсу по протоколу HTTPS (по умолчанию – tdc_ss_private_key.key):

Так же файл может быть получен из Хранилища секретов. Пример значения параметра: pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#private_key. 
set system mgmt webui-key <файл>

  • задание времени жизни (в секундах) сессии пользователя (по умолчанию – 3600):

set system mgmt webui-timeout <значение>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

Ролевая модель доступа

По умолчанию после установки Termidesk Connect используется следующая ролевая модель:

  • роль «Администратор»: роль, которой доступны настройка и управление Termidesk Connect после успешного прохождения процедуры идентификации и аутентификации. По умолчанию после установки с ролью «Администратор» ассоциируется локальный пользователь ОС tdadmin, состоящий в группе tdadmin;

Запрещается удалять пользователя tdadmin и группу tdadmin, поскольку это приведет к неработоспособности системы.

  • роль «Оператор»: роль, которой доступен только просмотр настроек Termidesk Connect после успешного прохождения процедуры идентификации и аутентификации. По умолчанию после установки с ролью «Оператор» ассоциируется локальный пользователь ОС tdoperator, состоящий в группе tdoperator.

По умолчанию все операции (авторизация, просмотр и изменение настроек) для неидентифицированных пользователей запрещены.

Администратор Termidesk Connect может гибко настроить:

Конфигурация по умолчанию после установки:

  • просмотр конфигурации:

show configuration cli nacm

  • пример вывода:

set nacm enable-nacm true
set nacm read-default deny
set nacm write-default deny
set nacm exec-default deny
set nacm rule-list admin
set nacm rule-list admin group tdadmin
set nacm rule-list admin rule allow-all
set nacm rule-list admin rule allow-all path /
set nacm rule-list admin rule allow-all access-operations *
set nacm rule-list admin rule allow-all action permit
set nacm rule-list operator
set nacm rule-list operator group tdoperator
set nacm rule-list operator rule allow-read
set nacm rule-list operator rule allow-read path /
set nacm rule-list operator rule allow-read access-operations read
set nacm rule-list operator rule allow-read action permit

Создание групп и пользователей

Создание и настройка пользователей и группы выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Управление).

По умолчанию после установки доступны пользователи и группы tdadmin и tdoperator. Запрещается удалять пользователя и группу tdadmin, поскольку это приведет к неработоспособности системы.

Для создания и настройки пользователей и групп используются команды:

Описание параметров также приведено в подразделах Объект user и Объект groups.

  • создание группы:

Имя группы должно соответствовать заданной в службе каталогов, если настроено подключение к ней (см. подраздел Аутентификация и авторизация пользователей через службу каталогов). 
set groups name <имя_группы>

  • создание пользователя и добавление его в группу:

set user name <имя_пользователя> groups <имя_группы>

  • применение конфигурации (после создания пользователя команду выполнять обязательно):

commit

  • назначение пароля пользователю:

set user name <имя_пользователя> password

Пароль вводится в интерактивном режиме и отправляется после нажатия клавиши <ENTER>. Длина пароля должна составлять от 8 до 72 символов.

В пароле нельзя использовать символы: ", ', \, `, $, !, <, >, ;, {, }, (, ), [, ], |, *, ?, ~, &, ^, а также управляющие символы – табуляции,переноса строки и возврата каретки.

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных настроек (указывается формат вывода – XML, JSON или TXT):

show configuration xml user name <имя>

  • просмотр выполненных команд:

show configuration cli user name <имя>

Создание набора правил доступа

Правила доступа используются для разграничения доступа пользователей к настройке и управлению Termidesk Connect (см. подраздел Ролевая модель доступа).

Для создания и настройки списка правил доступа используются команды:

Описание параметров также приведено в подразделе Объект nacm.

  • создание набора правил доступа:

По умолчанию есть следующие преднастроенные наборы:

  • admin – разрешены все действия по настройке Termidesk Connect;

  • operator – разрешен только просмотр, действия по настройке Termidesk Connect запрещены.

 
set nacm rule-list <имя_набора>

  • назначение набора правил доступа группе пользователей (группа пользователей должна быть предварительно создана, см. подраздел Создание групп и пользователей):

Может быть назначено несколько групп пользователей. 
set nacm rule-list <имя_набора> group <имя_группы>

  • создание непосредственно правила доступа для набора:

Может быть создано несколько правил доступа. 
set nacm rule-list <имя_набора> rule <имя_правила>

  • настройка добавленного правила доступа для набора:

    • указание пути к элементам конфигурации Termidesk Connect (по умолчанию – /):

      Предполагает выражения для указания конкретных путей обхода XML-дерева, расположенного в хранилище конфигурации. Осуществляется на языке запросов XPath, определенного в RFC 5261. По заданному выражению определяются права доступа к конкретным элементам конфигурации.

      Значение / указывает на все возможное содержимое хранилища данных.

      		 
      set nacm rule-list <имя_набора> rule <имя_правила> path <путь>

    • определение операции доступа, которая будет связана с правилом (по умолчанию – *):

      Операцией может быть:

      • edit – изменение конфигурации Termidesk Connect;

      • read – чтение конфигурации Termidesk Connect;

      • exec – выполнение определенных операций. Например: commit, write, restore-broken-config и т.д.;

      • * – все операции и команды.

      		 
      set nacm rule-list <имя_набора> rule <имя_правила> access-operations <операция>

    • определение действия по доступу, которое будет связано с правилом:

      Действием может быть:

      • deny – запретить операции;

      • permit – разрешить операции.

      		 
      set nacm rule-list <имя_набора> rule <имя_правила> action <действие>

    • указание текстового описания правила доступа:

      set nacm rule-list <имя_набора> rule <имя_правила> comment <комментарий>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных настроек (указывается формат вывода – XML, JSON или TXT):

show configuration xml nacm rule-list <имя_набора>

  • просмотр выполненных команд:

show configuration cli nacm rule-list <имя_набора>

Пример создания набора правил, разрешающего все действия с объектами для созданной группы users:

set groups name users
set rule-list allow-change group users
set rule-list allow-change rule allow-change
set rule-list allow-change rule allow-change action permit
set rule-list allow-change rule allow-change access-operations *

Аутентификация и авторизация пользователей через службу каталогов

В качестве средства аутентификации и авторизации пользователей (администраторов Termidesk Connect) может использоваться служба каталогов, существующая и настроенная в инфраструктуре организации.

Особенности работы при подключении к службе каталогов:

  • для аутентификации и авторизации пользователей используется PAM-модуль;

  • права пользователей к Termidesk Connect назначаются в зависимости от правил доступа группы, в которую входит пользователь (см. подраздел Создание набора правил доступа);

  • подключенная служба каталогов не исключает функции локальных администраторов, существующих в Termidesk Connect.

Настройка подключения к службе каталогов выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Управление).

Для настройки подключения к службе каталогов используются команды:

Описание параметров также приведено в подразделе Объект ldap.

  • указание типа подключаемой службы каталогов:

Возможные значения:

  • AD – служба каталогов Active Directory Domain Services;

  • FreeIPA – служба каталогов FreeIPA;

  • OpenLDAP – служба каталогов OpenLDAP Directory Services.

 
set ldap type <тип_службы_каталогов>

  • указание доменного имени сервера службы каталогов или его IP-адреса:

Пример:

set ldap domain example.loc
 
set ldap domain <доменное_имя_сервера_или_IP>

  • указание времени ожидания (в секундах) ответа от службы каталогов (по умолчанию – 30):

set ldap timeout <значение>

  • указание типа безопасности для подключения к службе каталогов (по умолчанию – TEXT):

Возможные значения:

  • TEXT – незащищенное подключение;

  • SSL – защищенное подключение. Перед обменом данными будет установлена TLS-сессия.

 
set ldap security <тип_безопасности>

  • (опционально, если используется защищенное подключение к службе каталогов) указание файла сертификата УЦ:

Файл сертификата УЦ должен быть предварительно загружен на Termidesk Connect (см. подраздел TLS).

Так же сертификат УЦ может быть получен из Хранилища секретов. Пример значения параметра: pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#issuing_ca.

 
set ldap ca-cert <имя_файла>

  • указание порта для подключения к службе каталогов (по умолчанию – 389):

set ldap port <значение>

  • указание корня поиска в службе каталогов (Base DN):

Вводимое значение не должно содержать пробелов:

  • в начале и конце строки;

  • рядом с разделителями (запятыми);

  • в элементах пути (например, «DC=company name,DC=de»).

Пример:

set ldap base-dn DC=example,DC=loc
 
set ldap base-dn <значение>

  • указание учетной записи (с правами на чтение) в формате DN, используемой для подключения к службе каталогов:

Вводимое значение не должно содержать пробелов:

  • в начале и конце строки;

  • рядом с разделителями (запятыми);

  • в элементах пути (например, «DC=company name,DC=de»).

Пример:

set ldap administrator-bind-dn CN=admin,OU=Users,DC=example,DC=loc

Так же учетная запись может быть получена из Хранилища секретов. Пример значения параметра:

  • kv://secret/data/my_ldap#dn – для kv версии 2;

  • ad://ldap/static-cred/my_ldap#dn – для ldap.

 
set ldap administrator-bind-dn <значение>

  • указание пароля учетной записи:

Так же пароль может быть получен из Хранилища секретов. Пример значения параметра:

  • kv://secret/data/my_ldap#last_password – для kv версии 2;

  • ad://ldap/static-cred/my_ldap#last_password – для ldap.

 
set ldap password <пароль>

  • указание атрибута уникального имени или идентификатора пользователя в службе каталогов (по умолчанию – userPrincipalName):

Возможные значения:

  • uid – уникальный идентификатор учетной записи;

  • userPrincipalName – логин пользователя в формате user@example.loc;

  • SamAccountName – короткое имя пользователя;

  • cn – отображаемое имя пользователя (иногда – имя для входа).

 
set ldap user-name-attribute <атрибут_имени_пользователя>

  • указание атрибута группы (по умолчанию – memberOf):

Возможные значения:

  • memberOf – список участников группы, в котором каждый участник указывается в виде полного DN. Универсальный атрибут;

  • uniqueMember – аналог атрибута выше, но используется в некоторых реализациях LDAP, например, OpenLDAP Directory Services.

 
set ldap group-attribute <атрибут_группы>

  • применение заданных настроек:

commit

  • сохранение настроек:

write

  • просмотр заданных настроек (указывается формат вывода – XML, JSON или TXT):

show configuration xml ldap

  • просмотр выполненных команд:

show configuration cli ldap

После настройки подключения должно быть выполнено добавление группы пользователей службы каталогов (см. подраздел Создание групп и пользователей).

Для разделения полномочий в Termidesk Connect также должна быть выполнена настройка правил доступа (см. подраздел Создание набора правил доступа).