Веб. Управление

Управление. Общие сведения

Раздел «Управление» предназначен для настройки доступа к веб-интерфейсу, параметров аутентификации, пользователей и групп Termidesk Connect.

Раздел предоставляет доступ к настройке следующих параметров:

«Общее» – позволяет настроить общие параметры доступа к веб-интерфейсу;
«Серверы Аутентификации» – позволяет подключить службу каталогов, существующую в инфраструктуре организации, в качестве средства аутентификации и авторизации администраторов Termidesk Connect;
«Локальные Пользователи» – позволяет создавать пользователей Termidesk Connect и управлять их настройками;
«Локальные Группы» – позволяет создавать группы пользователей Termidesk Connect;
«Правила доступа» – позволяет разграничивать доступ пользователей к настройке и управлению Termidesk Connect.

Управление общими параметрами доступа к веб-интерфейсу

Для изменения настроек доступа к веб-интерфейсу Termidesk Connect следует перейти «Настройки – Система – Управление – Общее» и заполнить данные, перечисленные в столбце «Параметр» следующей таблицы (см. Данные службы каталогов).

Таблица 1. Данные службы каталогов
Параметр	Описание
«Сертификат пользовательского интерфейса»	Сертификат для подключения к веб-интерфейсу по протоколу HTTPS. При активированном параметре «PKI» для сертификата указывается путь Хранилища секретов. Пример значения параметра: «pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#certificate». Значение по умолчанию: «tdc_ss_public_key.pem»
«PKI»	Активация возможности получения файла из Хранилища секретов для сертификата
«Ключ пользовательского интерфейса»	Закрытый ключ к сертификату для подключения к веб-интерфейсу по протоколу HTTPS. При активированном параметре «PKI» для закрытого ключа указывается путь Хранилища секретов. Пример значения параметра: «pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#private_key». Значение по умолчанию: «tdc_ss_private_key.key»
«PKI»	Активация возможности получения файла из Хранилища секретов для закрытого ключа
«Порт»	Порт, на котором будет доступен веб-интерфейс. Значение по умолчанию: «443»
«Таймаут, c»	Время жизни (в секундах) сессии пользователя. Значение по умолчанию: «3600»

Для применения параметров следует нажать экранную кнопку [Применить].

Управление аутентификацией

Для подключения службы каталогов в качестве средства аутентификации и авторизации пользователей следует перейти «Настройки – Система – Управление – Серверы Аутентификации» и заполнить данные, перечисленные в столбце «Параметр» следующей таблицы (см. Данные службы каталогов).

Параметр Описание

«Тип»

Тип подключаемой службы каталогов.

Возможные значения:

«AD» – служба каталогов Active Directory Domain Services;
«FreeIPA» – служба каталогов FreeIPA;
«OpenLDAP» – служба каталогов OpenLDAP Directory Services

«Доменное имя сервера»

IP-адрес или доменное имя сервера службы каталогов, являющегося источником сведений о пользователях и их полномочиях

«Время ожидания»

Время ожидания (в секундах) ответа от службы каталогов.

Значение по умолчанию: «30»

«Тип безопасности»

Выбор типа безопасности подключения к службе каталогов.

Возможные значения:

«TEXT» – незащищенное подключение;
«SSL» – защищенное подключение. Перед обменом данными будет установлена TLS-сессия.

Значение по умолчанию: «TEXT»

«Порт»

TCP-порт, на котором запущена служба каталогов.

Значение по умолчанию: «389».

Возможные стандартные значения:

«389» – используется, если доступ к службе каталогов осуществляется по протоколу LDAP (незащищенное подключение);
«636» – используется, если доступ к службе каталогов осуществляется по протоколу LDAPS (защищенное подключение);
«3268» – альтернативный порт. Используется, если доступ к службе каталогов осуществляется по протоколу LDAP (незащищенное подключение);
«3269» – альтернативный порт. Используется, если доступ к службе каталогов осуществляется по протоколу LDAPS (защищенное подключение)

«Base DN»

Корень поиска в службе каталогов, с которого начинается поиск объектов. Указывается в формате Distinguished Name (DN).

Параметру следует задавать значение, соответствующее записи верхнего уровня в иерархии службы каталогов (без указания OU).

Вводимое значение не должно содержать пробелов:

в начале и конце строки;
рядом с разделителями (запятыми);
в элементах пути (например, «DC=company name,DC=de»).

Примеры (вводятся без кавычек):

для поиска в домене example.loc: «DC=example,DC=loc»;
для поиска только в подразделении Users домена example.loc: «OU=Users,DC=example,DC=loc»

«Administrator Bind DN»

Учетная запись в формате DN, используемая для подключения к службе каталогов. Должна указываться административная учетная запись с правами чтения объектов службы каталогов.

Вводимое значение не должно содержать пробелов:

в начале и конце строки;
рядом с разделителями (запятыми);
в элементах пути (например, «DC=company name,DC=de»).

Примеры (вводятся без кавычек):

Active Directory Domain Services: «CN=Administrator,OU=Users,DC=example,DC=loc»;
FreeIPA: «UID=admin,CN=users,CN=accounts,DC=example,DC=loc»;
OpenLDAP Directory Services: «CN=admin,DC=example,DC=loc».

Так же учетная запись может быть получена из Хранилища секретов. Пример значения параметра:

«kv://secret/data/my_ldap#dn» – для kv версии 2;
«ad://ldap/static-cred/my_ldap#dn» – для ldap

«Пароль»

Набор символов, подтверждающий полномочия объекта для подключения к службе каталогов.

Так же пароль может быть получен из Хранилища секретов. Пример значения параметра:

«kv://secret/data/my_ldap#last_password» – для kv версии 2;
«ad://ldap/static-cred/my_ldap#last_password» – для ldap

«Атрибут имени пользователя»

Атрибут уникального имени или идентификатора пользователя в службе каталогов.

Возможные атрибуты имени пользователя в службе каталогов:

«uid» – уникальный идентификатор учетной записи;
«userPrincipalName» – логин пользователя в формате «user@example.loc»;
«SamAccountName» – короткое имя пользователя;
«cn» – отображаемое имя пользователя (иногда – имя для входа)

«Атрибут группы»

Атрибут группы в службе каталогов, содержащий список участников группы.

Возможные атрибуты группы в службе каталогов:

«memberOf» – список участников группы, в котором каждый участник указывается в виде полного DN. Универсальный атрибут;
«uniqueMember» – аналог атрибута выше, но используется в некоторых реализациях LDAP, например, OpenLDAP Directory Services

«Имя сертификата УЦ»

Имя файла сертификата УЦ, который будет использоваться для защищенного подключения к службе каталогов.

Файл сертификата должен быть предварительно загружен на Termidesk Connect (см. подраздел TLS).

При активированном параметре «PKI» для сертификата УЦ указывается путь Хранилища секретов. Пример значения параметра: «pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#issuing_ca».

Параметр доступен при выборе типа безопасности «SSL»

«PKI»

Активация возможности получения файла из Хранилища секретов.

Параметр доступен при выборе типа безопасности «SSL»

Для применения параметров следует нажать экранную кнопку [Применить].

Управление пользователями

Для отображения списка пользователей следует перейти «Настройки – Система – Управление – Локальные Пользователи».

По умолчанию после установки доступны пользователи tdadmin и tdoperator. Запрещается удалять пользователя tdadmin, поскольку это приведет к неработоспособности системы.

По умолчанию записи представлены в табличном виде и упорядочены согласно столбцу «Имя».

Основные параметры списка приведены в таблице (см. Основные параметры списка пользователей).

Таблица 3. Основные параметры списка пользователей
Параметр	Описание
«Имя»	Имя пользователя
«Группы»	Группы пользователя

Для добавления пользователя следует перейти «Настройки – Система – Управление – Локальные Пользователи» и нажать экранную кнопку [Добавить].

Затем заполнить данные, перечисленные в столбце «Параметр» следующей таблицы (см. Данные для добавления пользователя).

Таблица 4. Данные для добавления пользователя

Параметр

Описание

«Имя»

Имя пользователя

«Пароль»

Пароль пользователя

В пароле нельзя использовать символы: ", ', \, `, $, !, <, >, ;, {, }, (, ), [, ], |, *, ?, ~, &, ^, а также управляющие символы – табуляции,переноса строки и возврата каретки.

«Подтвердите пароль»

Повтор ввода пароля пользователя

«Группа»

Группы пользователя

Управление группами

Для отображения списка групп следует перейти Настройки – Система – Управление – Локальные Группы».

Для добавления группы следует нажать экранную кнопку [Добавить].

Затем заполнить данные, перечисленные в столбце «Параметр» следующей таблицы (см. Данные для добавления группы).

По умолчанию после установки доступны группы tdadmin и tdoperator. Запрещается удалять группу tdadmin, поскольку это приведет к неработоспособности системы.

Таблица 5. Данные для добавления группы

Параметр

Описание

«Имя группы»

Имя группы

Параметр должен соответствовать имени группы в службе каталогов, если настроено подключение к ней.

Управление правилами контроля доступа

Для отображения списка правил контроля доступа следует перейти «Настройки – Система – Управление – Правила доступа».

По умолчанию записи представлены в табличном виде и упорядочены согласно столбцу «Имя списка».

Основные параметры списка приведены в таблице (см. Основные параметры списка правил).

Таблица 6. Основные параметры списка правил
Параметр	Описание
«Имя списка»	Имя списка правил контроля доступа
«Группы»	Список групп, к которым применяются права доступа
«Правила»	Список правил контроля доступа

По умолчанию есть преднастроенные списки правил контроля доступа:

«admin» – разрешены все действия по настройке Termidesk Connect;
«operator» – запрещены все действия по настройке Termidesk Connect, разрешен только просмотр.

Для добавления списка правил контроля доступа следует перейти «Настройки – Система – Управление – Правила доступа» и нажать экранную кнопку [Добавить].

Затем заполнить данные, перечисленные в столбце «Параметр» следующей таблицы (см. Данные для добавления правил).

Таблица 7. Данные для добавления правил
Параметр	Описание
«Имя списка»	Имя списка правил контроля доступа
«Группы»	Область добавления групп пользователей, которым будут назначены права доступа. Для добавления группы нажать экранную кнопку [+ Добавить]. Над группой можно выполнять следующие действия: добавить новую группу, для этого нажать экранную кнопку [+]; удалить текущую группу, для этого нажать экранную кнопку [-]. Значение «*» указывает, что список правил применяется ко всем группам пользователей
«Правила»	Список правил контроля доступа. Правила будут выполняться по порядку. Над списком правил можно выполнять следующие действия: добавить, для этого нажать экранную кнопку [Добавить]; изменить, для этого выбрать правило в списке и нажать экранную кнопку [Изменить] или нажать на имя правила в списке; удалить, для этого выбрать правило в списке и нажать экранную кнопку [Удалить]

Доступные параметры для добавления правила перечислены в столбце «Параметр» следующей таблицы (см. Данные для добавления правила).

Таблица 8. Данные для добавления правила
Параметр	Описание
«Имя»	Имя правила контроля доступа
«xpath»	Путь к элементам конфигурации Termidesk Connect. Предполагает выражения для указания конкретных путей обхода XML-дерева, расположенного в хранилище конфигурации. Осуществляется на языке запросов XPath, определенного в RFC 5261. По заданному выражению определяются права доступа к конкретным элементам конфигурации. Значение по умолчанию: «/». Значение «/» указывает на все возможное содержимое хранилища данных
«Операции»	Операции доступа, которые будут связаны с правилом. Возможные значения: «» – все операции и команды; «edit» – изменение конфигурации Termidesk Connect; «read» – чтение конфигурации Termidesk Connect; «exec» – выполнение определенных операций. Например: `commit`, `write`, `restore-broken-config` и т.д. Значение по умолчанию: «»
«Действие»	Выбор действия по управлению доступом, связанного с правилом. Возможные значения: «deny» – запретить; «permit» – разрешить
«Комментарий»	Текстовое описание правила контроля доступа