Управление системой

Общие параметры управления

После установки Termidesk Connect необходимо выполнить начальную конфигурацию веб-сервера Apache для настройки доступа к веб-интерфейсу.

Настройка доступа к веб-интерфейсу выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Управление).

Описание параметров также приведено в подразделе Объект system.

Для настройки доступа используются команды:

  • задание IP-адреса веб-интерфейса управления из списка существующих на узле:

set system mgmt ip <IP-адрес>

  • задание порта для подключения к веб-интерфейсу (по умолчанию – 443):

set system mgmt webui-port <порт>

  • задание сертификата для подключения к веб-интерфейсу по протоколу HTTPS (по умолчанию – tdc_ss_public_key.pem):

Загрузка сертификатов и ключей выполняется с помощью протокола SFTP или через веб-интерфейс (см. подраздел Веб. TLS).

После загрузки файлы будут расположены в каталоге /etc/ssl/tdc/.

Так же файл может быть получен из Хранилища секретов. Пример значения параметра: pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#certificate.

 
set system mgmt webui-cert <файл>

  • задание закрытого ключа к сертификату для подключения к веб-интерфейсу по протоколу HTTPS (по умолчанию – tdc_ss_private_key.key):

Так же файл может быть получен из Хранилища секретов. Пример значения параметра: pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#private_key. 
set system mgmt webui-key <файл>

  • задание времени жизни (в секундах) сессии пользователя (по умолчанию – 3600):

set system mgmt webui-timeout <значение>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

Ролевая модель доступа

По умолчанию после установки Termidesk Connect используется следующая ролевая модель:

  • роль «Администратор»: роль, которой доступны настройка и управление Termidesk Connect после успешного прохождения процедуры идентификации и аутентификации. По умолчанию после установки с ролью «Администратор» ассоциируется локальный пользователь ОС tdadmin, состоящий в группе tdadmin;

Запрещается удалять пользователя tdadmin и группу tdadmin, поскольку это приведет к неработоспособности системы.

  • роль «Оператор»: роль, которой доступен только просмотр настроек Termidesk Connect после успешного прохождения процедуры идентификации и аутентификации. По умолчанию после установки с ролью «Оператор» ассоциируется локальный пользователь ОС tdoperator, состоящий в группе tdoperator.

По умолчанию все операции (авторизация, просмотр и изменение настроек) для неидентифицированных пользователей запрещены.

Администратор Termidesk Connect может гибко настроить:

Конфигурация по умолчанию после установки:

  • просмотр конфигурации:

show configuration cli nacm

  • пример вывода:

set nacm enable-nacm true
set nacm read-default deny
set nacm write-default deny
set nacm exec-default deny
set nacm rule-list admin
set nacm rule-list admin group tdadmin
set nacm rule-list admin rule allow-all
set nacm rule-list admin rule allow-all path /
set nacm rule-list admin rule allow-all access-operations *
set nacm rule-list admin rule allow-all action permit
set nacm rule-list operator
set nacm rule-list operator group tdoperator
set nacm rule-list operator rule allow-read
set nacm rule-list operator rule allow-read path /
set nacm rule-list operator rule allow-read access-operations read
set nacm rule-list operator rule allow-read action permit

Создание групп и пользователей

Создание и настройка пользователей и группы выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Управление).

По умолчанию после установки доступны пользователи и группы tdadmin и tdoperator. Запрещается удалять пользователя и группу tdadmin, поскольку это приведет к неработоспособности системы.

Для создания и настройки пользователей и групп используются команды:

Описание параметров также приведено в подразделах Объект user и Объект groups.

  • создание группы:

Имя группы должно соответствовать заданной в службе каталогов, если настроено подключение к ней (см. подраздел Аутентификация и авторизация пользователей через службу каталогов). 
set groups name <имя_группы>

  • создание пользователя и добавление его в группу:

set user name <имя_пользователя> groups <имя_группы>

  • применение конфигурации (после создания пользователя команду выполнять обязательно):

commit

  • назначение пароля пользователю:

set user name <имя_пользователя> password

Пароль вводится в интерактивном режиме и отправляется после нажатия клавиши <ENTER>. Длина пароля должна составлять от 8 до 72 символов.

В пароле нельзя использовать символы: ", ', \, `, $, !, <, >, ;, {, }, (, ), [, ], |, *, ?, ~, &, ^, а также управляющие символы – табуляции,переноса строки и возврата каретки.

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных настроек (указывается формат вывода – XML, JSON или TXT):

show configuration xml user name <имя>

  • просмотр выполненных команд:

show configuration cli user name <имя>

Создание набора правил доступа

Правила доступа используются для разграничения доступа пользователей к настройке и управлению Termidesk Connect (см. подраздел Ролевая модель доступа).

Для создания и настройки списка правил доступа используются команды:

Описание параметров также приведено в подразделе Объект nacm.

  • создание набора правил доступа:

По умолчанию есть следующие преднастроенные наборы:

  • admin – разрешены все действия по настройке Termidesk Connect;

  • operator – разрешен только просмотр, действия по настройке Termidesk Connect запрещены.

 
set nacm rule-list <имя_набора>

  • назначение набора правил доступа группе пользователей (группа пользователей должна быть предварительно создана, см. подраздел Создание групп и пользователей):

Может быть назначено несколько групп пользователей. 
set nacm rule-list <имя_набора> group <имя_группы>

  • создание непосредственно правила доступа для набора:

Может быть создано несколько правил доступа. 
set nacm rule-list <имя_набора> rule <имя_правила>

  • настройка добавленного правила доступа для набора:

    • указание пути к элементам конфигурации Termidesk Connect (по умолчанию – /):

      Предполагает выражения для указания конкретных путей обхода XML-дерева, расположенного в хранилище конфигурации. Осуществляется на языке запросов XPath, определенного в RFC 5261. По заданному выражению определяются права доступа к конкретным элементам конфигурации.

      Значение / указывает на все возможное содержимое хранилища данных.

      		 
      set nacm rule-list <имя_набора> rule <имя_правила> path <путь>

    • определение операции доступа, которая будет связана с правилом (по умолчанию – *):

      Операцией может быть:

      • edit – изменение конфигурации Termidesk Connect;

      • read – чтение конфигурации Termidesk Connect;

      • exec – выполнение определенных операций. Например: commit, write, restore-broken-config и т.д.;

      • * – все операции и команды.

      		 
      set nacm rule-list <имя_набора> rule <имя_правила> access-operations <операция>

    • определение действия по доступу, которое будет связано с правилом:

      Действием может быть:

      • deny – запретить операции;

      • permit – разрешить операции.

      		 
      set nacm rule-list <имя_набора> rule <имя_правила> action <действие>

    • указание текстового описания правила доступа:

      set nacm rule-list <имя_набора> rule <имя_правила> comment <комментарий>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных настроек (указывается формат вывода – XML, JSON или TXT):

show configuration xml nacm rule-list <имя_набора>

  • просмотр выполненных команд:

show configuration cli nacm rule-list <имя_набора>

Пример создания набора правил, разрешающего все действия с объектами для созданной группы users:

set groups name users
set rule-list allow-change group users
set rule-list allow-change rule allow-change
set rule-list allow-change rule allow-change action permit
set rule-list allow-change rule allow-change access-operations *

Аутентификация и авторизация пользователей через службу каталогов

В качестве средства аутентификации и авторизации пользователей (администраторов Termidesk Connect) может использоваться служба каталогов, существующая и настроенная в инфраструктуре организации.

Особенности работы при подключении к службе каталогов:

  • для аутентификации и авторизации пользователей используется PAM-модуль;

  • права пользователей к Termidesk Connect назначаются в зависимости от правил доступа группы, в которую входит пользователь (см. подраздел Создание набора правил доступа);

  • подключенная служба каталогов не исключает функции локальных администраторов, существующих в Termidesk Connect.

Настройка подключения к службе каталогов выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Управление).

Для настройки подключения к службе каталогов используются команды:

Описание параметров также приведено в подразделе Объект ldap.

  • указание типа подключаемой службы каталогов:

Возможные значения:

  • AD – служба каталогов Active Directory Domain Services;

  • FreeIPA – служба каталогов FreeIPA;

  • OpenLDAP – служба каталогов OpenLDAP Directory Services.

 
set ldap type <тип_службы_каталогов>

  • указание доменного имени сервера службы каталогов или его IP-адреса:

Пример:

set ldap domain example.loc
 
set ldap domain <доменное_имя_сервера_или_IP>

  • указание времени ожидания (в секундах) ответа от службы каталогов (по умолчанию – 30):

set ldap timeout <значение>

  • указание типа безопасности для подключения к службе каталогов (по умолчанию – TEXT):

Возможные значения:

  • TEXT – незащищенное подключение;

  • SSL – защищенное подключение. Перед обменом данными будет установлена TLS-сессия.

 
set ldap security <тип_безопасности>

  • (опционально, если используется защищенное подключение к службе каталогов) указание файла сертификата УЦ:

При проверке сертификата учитывается только значение CN (Common Name), которое должно быть строго идентично доменному имени, указанному в параметре domain. Записи из поля SAN (Subject Alternative Name) игнорируются.

Если выбрано защищенное подключение (SSL), но сертификат УЦ не указан, будет установлено SSL/TLS-подключение к LDAP-серверу. Однако ошибки проверки сертификата будут игнорироваться.

Файл сертификата УЦ должен быть предварительно загружен на Termidesk Connect (см. подраздел TLS).

Так же сертификат УЦ может быть получен из Хранилища секретов. Пример значения параметра: pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#issuing_ca.

 
set ldap ca-cert <имя_файла>

  • указание порта для подключения к службе каталогов (по умолчанию – 389):

set ldap port <значение>

  • указание корня поиска в службе каталогов (Base DN):

Вводимое значение не должно содержать пробелов:

  • в начале и конце строки;

  • рядом с разделителями (запятыми);

  • в элементах пути (например, «DC=company name,DC=de»).

Пример:

set ldap base-dn DC=example,DC=loc
 
set ldap base-dn <значение>

  • указание учетной записи (с правами на чтение) в формате DN, используемой для подключения к службе каталогов:

Вводимое значение не должно содержать пробелов:

  • в начале и конце строки;

  • рядом с разделителями (запятыми);

  • в элементах пути (например, «DC=company name,DC=de»).

Пример:

set ldap administrator-bind-dn CN=admin,OU=Users,DC=example,DC=loc

Так же учетная запись может быть получена из Хранилища секретов. Пример значения параметра:

  • kv://secret/data/my_ldap#dn – для kv версии 2;

  • ad://ldap/static-cred/my_ldap#dn – для ldap.

 
set ldap administrator-bind-dn <значение>

  • указание пароля учетной записи:

Так же пароль может быть получен из Хранилища секретов. Пример значения параметра:

  • kv://secret/data/my_ldap#last_password – для kv версии 2;

  • ad://ldap/static-cred/my_ldap#last_password – для ldap.

 
set ldap password <пароль>

  • указание атрибута уникального имени или идентификатора пользователя в службе каталогов (по умолчанию – userPrincipalName):

Возможные значения:

  • uid – уникальный идентификатор учетной записи;

  • userPrincipalName – логин пользователя в формате user@example.loc;

  • SamAccountName – короткое имя пользователя;

  • cn – отображаемое имя пользователя (иногда – имя для входа).

 
set ldap user-name-attribute <атрибут_имени_пользователя>

  • указание атрибута группы (по умолчанию – memberOf):

Возможные значения:

  • memberOf – список участников группы, в котором каждый участник указывается в виде полного DN. Универсальный атрибут;

  • uniqueMember – аналог атрибута выше, но используется в некоторых реализациях LDAP, например, OpenLDAP Directory Services.

 
set ldap group-attribute <атрибут_группы>

  • применение заданных настроек:

commit

  • сохранение настроек:

write

  • просмотр заданных настроек (указывается формат вывода – XML, JSON или TXT):

show configuration xml ldap

  • просмотр выполненных команд:

show configuration cli ldap

После настройки подключения должно быть выполнено добавление группы пользователей службы каталогов (см. подраздел Создание групп и пользователей).

Для разделения полномочий в Termidesk Connect также должна быть выполнена настройка правил доступа (см. подраздел Создание набора правил доступа).