Uploaded by nikita.merediktov

https it-bastion.com wp-content uploads 2022 02 skdpu rukovodstvo administratora

advertisement
УТВЕРЖДЕНО
RU.33654484.0004-01 91 01-ЛУ
ПРОГРАММНЫЙ КОМПЛЕКС
«СИСТЕМА КОНТРОЛЯ ДЕЙСТВИЙ ПОСТАВЩИКОВ ИТ-УСЛУГ»
RU.33654484.0004-01 91 01
Листов 130
Инв. № подл.
Подпись и дата
Взам. инв № Инв. № дубл.
Подпись и дата
РУКОВОДСТВО АДМИНИСТРАТОРА
2021
2
RU.33654484.0004-01 91 01
АННОТАЦИЯ
Настоящий документ представляет собой руководство администратора программного
комплекса Система контроля действий поставщиков ИТ-услуг (далее по тексту – СКДПУ).
3
RU.33654484.0004-01 91 01
СОДЕРЖАНИЕ
1 Введение ................................................................................................................................................... 5
1.1 Краткое описание возможностей ...................................................................................................... 5
1.2 Уровень подготовки администратора ............................................................................................... 6
1.3 Перечень эксплуатационной документации для ознакомления .................................................... 6
2 Назначение и условия работы СКДПУ .................................................................................................. 7
2.1 Назначение СКДПУ ........................................................................................................................... 7
2.2 Положение СКДПУ в сетевой инфраструктуре .............................................................................. 7
2.3 Требования к АРМ администратора ................................................................................................. 8
2.3.1 Требования к аппаратному обеспечению ............................................................................... 8
2.3.2 Требования к программному обеспечению ........................................................................... 8
3 Подготовка к работе .............................................................................................................................. 10
4 Механизм расширенного управления правами ................................................................................... 11
5 Интерфейс администратора .................................................................................................................. 12
5.1 Запуск консоли администратора ..................................................................................................... 12
5.2 Описание основных элементов интерфейса .................................................................................. 12
5.2.1 Меню «Мои настройки» ........................................................................................................ 16
5.2.2 Меню «Мои авторизации» ..................................................................................................... 18
5.2.3 Меню «Аудит» ........................................................................................................................ 19
5.2.4 Меню «Пользователи» ........................................................................................................... 29
5.2.5 Меню «Ресурсы» .................................................................................................................... 43
5.2.6 Меню «Управление паролями» ............................................................................................. 62
5.2.7 Меню «Управление сессиями».............................................................................................. 65
5.2.8 Меню «Авторизации» ............................................................................................................ 68
5.2.9 Меню «Конфигурация» .......................................................................................................... 72
5.2.10 Меню «Система» .................................................................................................................. 97
5.2.11 Меню «Импорт/Экспорт» .................................................................................................. 109
6 Основы работы ..................................................................................................................................... 115
4
RU.33654484.0004-01 91 01
6.1 Использование командной строки для подключения к СКДПУ ............................................... 115
6.2 Экспорт данных аудита .................................................................................................................. 115
6.3 Резервное копирование и восстановление из командной строки .............................................. 116
6.4 Настройка автоматического резервного копирования ................................................................ 118
6.5 Анализ потоков SSH. Обнаружение шаблонов ........................................................................... 118
6.6 Анализ потоков RDP. Обнаружение шаблонов ........................................................................... 119
6.7 Сценарий подключения по протоколу «TELNET» ..................................................................... 119
7 Действия в нештатных ситуациях ...................................................................................................... 121
7.1 Восстановление заданной по умолчанию учетной записи «admin» .......................................... 121
7.2 Возврат устройства в исходное состояние ................................................................................... 121
8 Рекомендации по освоению ................................................................................................................ 122
Перечень терминов и определений ....................................................................................................... 123
Перечень рисунков.................................................................................................................................. 124
Перечень таблиц...................................................................................................................................... 127
Перечень сокращений ............................................................................................................................. 128
5
RU.33654484.0004-01 91 01
1 ВВЕДЕНИЕ
Настоящий документ предназначен для администраторов СКДПУ, осуществляющих
администрирование ИТ-инфраструктуры, а также обеспечение контроля доступа и мониторинг
операций.
В настоящем документе приводится подробное описание действий, необходимых для
установки и настройки СКДПУ, управления работой СКДПУ и поддержки ее функционирования.
СКДПУ представляет собой Систему, предназначенную для мониторинга и аудита
действий поставщиков ИТ-услуг и других третьих лиц на администрируемых устройствах.
1.1 Краткое описание возможностей
Основные возможности СКДПУ приведены в таблице 1.
Т а б л и ц а 1 – Соответствие требований разделам документа
Основные возможности
Описание
Контроль доступа
СКДПУ позволяет создать политику управления доступом на основе
прав пользователей: целевые учетные записи, протоколы,
интервалы времени и типы сеансов.
Единая точка входа в систему (SSO)
Для доступа к учетным записям достаточно предоставить имя
пользователя и пароль в СКДПУ.
Поддержка
нескольких
администрирования
СКДПУ поддерживает следующие протоколы администрирования
устройств и серверов: RDP/TSE, SSH, Telnet, VNC, SFTP/SCP и т.д.
протоколов
Отслеживание активности и запись сеансов
Регистрация и возможность записи всех действий, выполненных на
управляемых устройствах в течение графического сеанса (RDP/TSE
или VNC) или сеанса командной строки (SSH, Telnet).
Управление паролями
СКДПУ позволяет изменять пароли на управляемых устройствах по
запросу или через заданные интервалы времени.
Работа без использования агентов
СКДПУ работает без использования специальных агентов на
администрируемых устройствах или на рабочих станциях
администраторов.
Статистика и отчеты о действиях
Возможность формировать рабочую статистику/отчеты и
экспортировать эти данные в формате CSV через интерфейс
администратора.
Делегирование функций администрирования
СКДПУ
Средства управления профилями позволяют определить, какие
действия будут доступны каждому пользователю СКПДУ
(например, создание пользователей, управление правами и т.д.)
Анализ потока и распознавание текста
СКПДУ позволяет в реальном времени обнаруживать определенные
строки символов в сессиях SSH и анализировать содержимое
сеансов подключения к удаленному рабочему столу (RDP/TSE).
Контроль в реальном времени
Администраторы СКПДУ могут просматривать активные сеансы
подключения к удаленному рабочему столу и SSH в СКДПУ в
реальном времени.
Поддержка Web Service
Вся информация о пользователях, учетных записях, устройствах,
правах доступа в СКДПУ может вводиться или быть доступна с
помощью Web Service API.
6
RU.33654484.0004-01 91 01
1.2 Уровень подготовки администратора
Администратор должен обладать следующими знаниями:
 Системное администрирование операционных систем Windows/Linux и активного
сетевого оборудования;
 Базовые знания сетевых протоколов;
 Администрирование СКДПУ и умение с ее помощью реализовывать корпоративную
политику безопасности, в части относящейся к информационному обмену;
 Знание и соблюдение требований конфиденциальности (секретности) при проведении
работ.
1.3 Перечень эксплуатационной документации для ознакомления
Администратор СКДПУ должен ознакомиться с настоящим документом и со следующими
эксплуатационными документами:
RU.33654484.0004-01 91 02
Программный комплекс «Система контроля действий
поставщиков ИТ-услуг» Руководство системного
администратора
RU.33654484.0004-01 91 03
Программный комплекс «Система контроля действий
поставщиков ИТ-услуг» Руководство по быстрой настройке
RU.33654484.0004-01 91 04
Программный комплекс «Система контроля действий
поставщиков ИТ-услуг» Руководство по конфигурации Х509
RU.33654484.0004-01 91 05
Программный комплекс «Система контроля действий
поставщиков ИТ-услуг» Руководство администратора.
Команды консоли администрирования
RU.33654484.0004-01 90 01
Программный комплекс «Система контроля действий
поставщиков ИТ-услуг» Руководство пользователя
7
RU.33654484.0004-01 91 01
2 НАЗНАЧЕНИЕ И УСЛОВИЯ РАБОТЫ СКДПУ
2.1 Назначение СКДПУ
СКДПУ предназначена для мониторинга и аудита действий поставщиков ИТ-услуг и
других третьих лиц на администрируемых устройствах с целью контроля доступа внутренних и
внешних поставщиков ИТ-услуг, владельцев учетных записей с расширенными правами и
пользователей с повышенными рисками. СКДПУ своевременно уведомляет Администратора о
любых попытках подключения к устройствам, определенным как критичные, о неудачных
попытках входа в СКДПУ или о невозможности автоматического входа с использованием заданной
учетной записи.
СКДПУ предназначена для записи рабочих сеансов для последующего просмотра с целью
аудита, управления инцидентами и проведения расследований.
СКДПУ анализирует все команды, вводимые в ходе сеансов SSH, в реальном времени и в
случае обнаружения запрещенных строк отправляет соответствующее уведомление или разрывает
сеанс подключения. Кроме того, СКДПУ использует технологию оптического распознавания
символов (OCR) сеансов подключения к удаленному рабочему столу (RDP и VNC) в реальном
времени, что упрощает процесс выявления причин сбоев или инцидентов безопасности.
СКДПУ поддерживает следующие протоколы передачи данных:
 HTTP (RFC 2616) и HTTPS (HTTP Over TLS – RFC 2818);
 SSH (RFC 4250 – 4256) и подсистемы указанного протокола;
 Telnet (RFC 854);
 Rlogin (RFC 1282);
 RDP (v. 5 – 8.1) и VNC (на основе RFB 3.8, RFC 6143) в домене пользователя.
2.2 Положение СКДПУ в сетевой инфраструктуре
В сетевой инфраструктуре СКДПУ располагается между доменом с низким уровнем
доверия и доменом с высоким уровнем доверия. Домен с высоким уровнем доверия представлен
устройствами, изолированными с помощью СКДПУ. Эти устройства и связанные с ними учетные
записи в терминологии СКДПУ называются целевыми учетными записями. Домен с низким
уровнем доверия представлен объектами с прямым доступом к СКДПУ (персонал компании с
открытым доступом к Интернет).
Пользователи СКДПУ могут получить доступ к целевым учетным записям (доменам с
высоким уровнем доверия) только с помощью СКДПУ.
Схема расположения СКДПУ в сетевой инфраструктуре приведена на рисунке 1.
8
RU.33654484.0004-01 91 01
Демилитаризованная зона
СКДПУ
RDP,SSH,
TELNET
Интернет
Корпоративная сеть
RDP,SSH
RDP, SSH
Внешние поставщики
ИТ-услуг
Внутренние поставщики
ИТ-услуг
Серверы приложений,
инфраструктурные
серверы,
сетевые хранилища,
устройства обеспечения
безопасности
Рисунок 1 – СКПДУ в сетевой инфраструктуре
2.3 Требования к АРМ администратора
АРМ администратора СКДПУ должно иметь терминальный доступ к ОС сервера, на
котором установлена СКДПУ.
2.3.1 Требования к аппаратному обеспечению
АРМ администратора СКДПУ должно быть оборудовано компьютером, обладающим
следующим характеристиками:
 Процессор с тактовой частотой не менее 2 ГГц и объемом оперативной памяти не менее
4 ГБ;
 Объем жесткого диска не менее 20 ГБ;
 Разрешение экрана при работе с управляющим интерфейсом – от 1280х1024;
 Сетевой адаптер Ethernet.
2.3.2 Требования к программному обеспечению
В состав программного обеспечения АРМ администратора СКДПУ должна входить
программа-клиент, предоставляющая возможность навигации и просмотра веб-ресурсов - веббраузер. Рекомендуемые версии веб-браузеров, обеспечивающих поддержку стандарта HTTP 1.1:
 Internet Explorer 7.0, 8.0;
 Google Chrome 10.0-50.0 и выше;
 Mozilla Firefox 3.0, 17.0, 24.0 и выше.
9
RU.33654484.0004-01 91 01
Веб-браузер должен быть установлен перед началом работы с СКДПУ. Описание установки
веб-браузера приведено в документации поставщика ПО.
В состав программного обеспечения АРМ администратора СКДПУ должен также входить
свободно распространяемый клиент для различных протоколов удалённого доступа, включая SSH,
Telnet, rlogin. В качестве таких клиентов могут быть использованы «PuTTY», «WinSCP», «FileZilla».
10
RU.33654484.0004-01 91 01
3 ПОДГОТОВКА К РАБОТЕ
Проверка корректности установки и работоспособности СКДПУ осуществляется при
первом запуске СКДПУ, порядок установки и запуска СКДПУ приведен в документе
RU.33654484.0004-01 91 03. Критерием корректности установки и работоспособности СКДПУ
является запуск СКДПУ и предоставление доступа к СКДПУ, после прохождения проверки
аутентификации.
11
RU.33654484.0004-01 91 01
4 МЕХАНИЗМ РАСШИРЕННОГО УПРАВЛЕНИЯ ПРАВАМИ
Для определения того, какие пользователи имеют доступ к той или иной системе, в течение
какого промежутка времени и по каким протоколам, в СКДПУ используется механизм
расширенного управления правами.
Списки контроля доступа состоят из следующих объектов:
 Пользователи: физические пользователи СКДПУ;
 Группы пользователей: наборы пользователей;
 Устройства: физические и виртуальные устройства, доступ к которым запрашивается с
помощью СКДПУ;
 Целевые учетные записи: учетные записи, объявленные на устройстве;
 Группы целевых учетных записей: набор целевых учетных записей.
В СКДПУ доступ пользователя к целевой учетной записи зависит от профиля авторизации.
Авторизации устанавливаются между группой пользователей и группой целевых учетных записей
(это значит, что каждая целевая учетная запись должна входить в группу целевых учетных записей,
а каждый пользователь должен быть членом группы пользователей).
К основным объектам добавляются другие объекты, что позволяет определить:
 Периоды времени подключения;
 Уровни важности доступа к целевым ресурсам;
 Необходимость записи сеанса;
 Тип процедуры проверки подлинности пользователя.
Можно также определить количество различных профилей администратора СКДПУ с
различными правами (например, аудит, добавление пользователей, администрирование систем,
авторизация и т. д.).
12
RU.33654484.0004-01 91 01
5 ИНТЕРФЕЙС АДМИНИСТРАТОРА
5.1 Запуск консоли администратора
Для запуска консоли Администратора с целью получения доступа к веб-интерфейсу
администрирования
необходимо
пройти
процедуру
регистрации,
выполнив
следующую
следующее
значение:
последовательность действий:
1) Откройте веб-браузер;
2) В
адресной
строке
веб-браузера
введите
https://<IP-адрес СКДПУ>.
П р и м е ч а н и е – Веб-браузер должен быть настроен для принятия файлов cookies и
запуска JavaScript.
3) В окне веб-браузера появится окно авторизации пользователя СКДПУ (см. рисунок 2);
Рисунок 2 – Авторизация администратора
4) Для получения доступа к веб-интерфейсу администрирования в окне авторизации
необходимо указать имя пользователя (логин) в поле «Имя пользователя» и пароль в поле «Пароль».
П р и м е ч а н и е – При установке СКДПУ создается необходимая для первого входа в
систему учетная запись администратора с именем пользователя «admin» и паролем «admin». Из
соображений безопасности при первой авторизации необходимо изменить пароль администратора
(см. раздел 5.2.1.2).
5) Нажать кнопку «Войти».
5.2 Описание основных элементов интерфейса
Интерфейс администратора СКДПУ имеет три основных области (см. рисунок 3):
1) Главное меню (обозначено цифрой «1»);
2) Боковое меню для доступа ко всем функциям администрирования СКДПУ (обозначено
цифрой «2»);
13
RU.33654484.0004-01 91 01
3) Рабочая область (обозначена цифрой «3»).
Рисунок 3 – Основные области интерфейса
Главное меню содержит панель авторизации, отображающую информацию о пользователе,
выполнившем вход в СКДПУ, кнопку для выхода из интерфейса
и кнопку для отображения уведомлений
, кнопку для вызова справки
.
Боковое меню содержит следующие пункты:
1) «Мои настройки» – предназначен для изменения настроек профиля пользователя;
2) «Мои авторизации» – предназначен для отображения доступных аккаунтов и сервисов
для доступа к ресурсам и содержит следующие подразделы:
«Сессии» – описание доступных сессий;
«Пароли» – модуль управления паролями различных соединений;
3) «Аудит» содержит следующие подразделы:
«Текущие соединения» – предназначен для отображения списка текущих соединений;
«История соединений» – предназначен для отображения списка закрытых соединений;
«Показать историю по учетной записи» – предназначен для отображения событий по
выбранной учетной записи пользователя СКДПУ;
«История разрешений» – предназначен для отображения перечня явно подтвержденных
пользователям разрешений для доступа к устройствам;
«История авторизаций» – предназначен для отображения основного журнала
авторизаций;
«Статистика соединений» – предназначен для создания схем со статистикой соединений;
4) «Пользователи» содержит следующие подразделы:
14
RU.33654484.0004-01 91 01
«Аккаунты» – предназначен для управления учетными записями пользователей СКДПУ
и массовой загрузки пользователей из файла в формате CSV и LDAP-каталога;
«Группы» – предназначен для управления группами пользователей СКДПУ массовой
загрузки их из файла в формате CSV и LDAP-каталога;
«Профили» – предназначен для управления профилями пользователей в СКДПУ и
массовой загрузки профилей из файла в формате CSV;
5) «Ресурсы» содержит следующие подразделы:
«Домены» – предназначен для управления доменами и массовой загрузки их из файла
в формате CSV;
«Устройства» – предназначен для управления целевыми устройствами и массовой
загрузки их из файла в формате CSV;
«Приложения» – предназначен для управления приложениями и массовой загрузки их
из файла в формате CSV;
«Аккаунты» – предназначен для управления целевыми учетными записями и массовой
загрузки их из файла в формате CSV;
«Кластеры» – предназначен для управления доступом к кластерам, объединяющим
несколько целевых учетных записей RDP и массовой загрузки их из файла в формате CSV;
«Группы» – предназначен для управления группами целевых учетных записей и
массовой загрузки их из файла в формате CSV;
«Административный доступ» – предназначен для управления административными
данными для доступа к устройствам;
«Политики выборки» – предназначен для управления политиками выборки паролей и
загрузки их из файла в формате CSV;
6) «Управление паролями» содержит следующие подразделы:
«Плагины изменения паролей» – предназначен для управления плагинами для
изменения паролей и загрузки их из файла в формате CSV;
«Политики замены паролей» – предназначен для управления политиками замены
паролей и загрузки их из файла в формате CSV;
7) «Управление сессиями» содержит следующие подразделы:
«Параметры записи» – предназначен для управления режимами записей сессий;
«Политики соединения» – предназначен для управления параметрами соединения;
8) «Авторизации» содержит следующие подразделы:
15
RU.33654484.0004-01 91 01
«Управление авторизациями» – предназначен для управления авторизациями между
группами целевых учетных записей и группами пользователей;
«Мои разрешения» – предназначен для отображения перечня разрешений, выданных
текущим активным администратором СКДПУ и их статусы;
«История моих разрешений» – предназначен для отображения истории выданных
текущим администратором СКДПУ разрешений доступа;
9) «Конфигурация» содержит следующие подразделы:
«Периоды времени» – предназначен для управления временными интервалами для
доступа к ресурсам;
«Внешние авторизации» – предназначен для управления методами внешней проверки
подлинности (LDAP/LDAPS, Active Directory, Kerberos, Radius, TACACS+);
«Домены LDAP/AD» – предназначен для маппинга групп пользователей LDAP/AD с
группами пользователей СКДПУ;
«Уведомления» – предназначен для управления уведомлениями;
«Локальная политика паролей» – предназначен для управления локальной политикой
паролей на СКДПУ;
«Параметры соединения» – предназначен для настройки сообщений, отображаемых во
время входа пользователя на целевую систему через СКДПУ;
«Настройки» – предназначен для управления настройками СКДПУ;
«Лицензия» – предназначен для отображения и обновления ключа лицензии;
«Шифрование» – предназначен для инициализации шифрования данных СКДПУ;
«Собственный аудит» – предназначен для просмотра и сохранения журнала событий
СКДПУ;
10)
«Система» содержит следующие подразделы:
«Статус» – предназначен для просмотра состояния системы;
«Syslog» – предназначен для просмотра и сохранения содержимого файла системного
журнала /var/log/syslog;
«Отчет по запуску» – предназначен для просмотра и сохранения содержимого файла
журнала сообщений /var/log/boot;
«Cеть» – предназначен для настройки параметров сети;
«Сервис времени» – предназначен для настройки сервиса времени (NTP);
16
RU.33654484.0004-01 91 01
«Удаленное хранилище» – предназначен для управления удаленным хранилищем
записей сеансов;
«Интеграция с SIEM» – предназначен для настройки параметров хранения журналов
Syslog на другом устройстве;
«SNMP» – предназначен для управления агентом SNMP;
«Почтовый сервер» – предназначен для настройки сервера для отправки сообщений
электронной почты;
«Управление сервисами» – предназначен для управления сервисами;
«Резервные копии» – предназначен для сохранения и восстановления конфигурации
СКПДУ.
11)
«Импорт/Экспорт» – предназначен для управления настройками импорта/экспорта;
5.2.1 Меню «Мои настройки»
При выборе пункта «Мои настройки» из бокового меню интерфейса администратора, в
рабочей области отображаются настройки, которые могут быть изменены пользователем
(см. рисунок 4).
С помощью данного пункта меню пользователь может:
 Изменить адрес электронной почты и язык интерфейса;
 Изменить пароль (только если пользователь был объявлен локально);
 Загрузить открытый ключ SSH;
 Загрузить GPG ключ.
П р и м е ч а н и е – Меню «Мои настройки» доступно всем пользователям вне зависимости
от прав администрирования.
17
RU.33654484.0004-01 91 01
Рисунок 4 – Меню «Мои настройки»
5.2.1.1 Изменение адреса электронной почты
Для изменения адреса электронной почты или языка интерфейса необходимо перейти в
раздел «Профиль» (см. рисунок 4) и выполнить следующие действия:
1) Для изменения языка интерфейса из раскрывающегося списка «Предпочитаемый язык»
выбрать необходимый язык;
2) Для изменения адреса электронной почты в поле «E-mail» ввести адрес электронной
почты;
3) Для сохранения внесенных изменений нажать кнопку «Применить».
5.2.1.2 Изменение пароля
Для изменения пароля необходимо перейти в раздел «Пароль SKDPU» (см. рисунок 4) и
выполнить следующие действия:
1) Ввести текущий пароль в поле «Текущий пароль»;
2) Ввести новый пароль и подтверждение пароля в двойное поле «Новый пароль»;
3) Для сохранения внесенных изменений нажать кнопку «Применить».
18
RU.33654484.0004-01 91 01
5.2.1.3 Загрузка открытого ключа SSH
Для загрузки открытого ключа SSH необходимо перейти в раздел «Публичный ключ SSH»
(см. рисунок 4) и выполнить следующие действия:
1) Нажать кнопку «Обзор…» для вызова окна выгрузки файла и выбрать необходимый
файл ключа;
2) Для загрузки нажать кнопку «Закачать».
5.2.1.4 Загрузка GPG ключа
Для загрузки GPG ключа необходимо в разделе «GPG ключ» (см. рисунок 4) нажать кнопку
«Закачать», выбрав требуемый файл.
5.2.2 Меню «Мои авторизации»
С помощью пункта меню «Мои авторизации» пользователь может:
Просмотреть информацию по своим доступам к целевым учетным записям и доступным сервисам;
Получить доступ к разрешенным ресурсам и сервисам.
5.2.2.1 Меню «Сессии»
При выборе пункта «Сессии» из бокового меню интерфейса администратора, в рабочей
области отображается перечень доступных сервисов (см. рисунок 5).
Рисунок 5 – Меню «Сессии»
19
RU.33654484.0004-01 91 01
СКДПУ позволяет, как скачать ссылку на выбранный сервис (значок
) для будущих
входов без использования веб-интерфейса, так и непосредственно инициировать вход (значок
).
5.2.2.2 Меню «Пароли»
При выборе пункта «Пароли» из бокового меню интерфейса администратора отображается
перечень доступных целевых учетных записей (см. рисунок 6).
Рисунок 6 – Меню «Пароли»
Для просмотра данных учетной записи необходимо перейти по ссылке «Просмотр»,
расположенной в первом столбце таблицы (см. рисунок 6). Откроется страница с параметрами
учетной записи. На странице с данными учетной записи для просмотра пароля учетной записи
необходимо перейти по ссылке «Просмотр», расположенной справа от поля «Пароль». Для загрузки
ключа SSH перейти по ссылке «Скачать», для того, чтобы скопировать ключ необходимо перейти
по ссылке «Копировать в буфер обмена».
5.2.3 Меню «Аудит»
5.2.3.1 Меню «Текущие соединения»
При выборе пункта «Текущие соединения» из бокового меню интерфейса администратора
отображаются активные подключения, выполненные с помощью СКДПУ для прокси-серверов SSH,
RDP (активные сеансы в пользовательском веб-интерфейсе не отображаются) (см. рисунок 7).
П р и м е ч а н и е – Далее по тексту для обозначения соединений по протоколу SSH и RDP
будет использоваться общий термин «Соединение».
20
RU.33654484.0004-01 91 01
Рисунок 7 – Текущие соединения
Для каждого из подключений отображается следующая информация:
 Статус соединения;
 Пользователь — в виде user@machine(ip);
 Цель – имя целевого устройства;
 Целевой хост/IP – IP адрес или имя хоста целевого устройства;
 Протокол (RDP, SSH или другой);
 Время начала соединения;
 Длительность соединения.
Кроме того, на странице «Текущие соединения» можно завершить одно или несколько
подключений. Для этого необходимо установить флажок напротив строки с именем сессии,
которую необходимо завершить, и нажать на значок
(«Закрыть соединения») в левом верхнем
углу экрана.
Если используются прокси-серверы SSH и RDP, пользователи получают сообщения о том,
что администратор завершил подключение (см. рисунок 8).
21
RU.33654484.0004-01 91 01
Рисунок 8 – Завершение подключения по SSH
П р и м е ч а н и е – Страница «Текущие соединения» регулярно обновляется. Для того
чтобы остановить обновление, воспользуйтесь подсказкой в верхней части страницы. Это удобно
при выборе активного подключения, которое требуется завершить.
На странице «Текущие соединения» рядом с элементами в списке текущих соединений
может располагаться значок с изображением увеличительного стекла, он предназначен для того,
чтобы открыть вкладку и просмотреть сеанс RDP или SSH в режиме реального времени. Для того
чтобы закрыть вкладку необходимо нажать на значок еще раз.
5.2.3.2 Меню «История соединений»
При выборе пункта «История соединений» из бокового меню интерфейса администратора,
отображается журнал всех подключений, выполненных с помощью СКДПУ (см. рисунок 9).
На странице «История соединений» отображаются только закрытые подключения
(просмотр текущих подключений описан в разделе 5.2.3.1).
22
RU.33654484.0004-01 91 01
Рисунок 9 – История соединений
Для каждого из соединений отображается следующая информация:
 Имя пользователя и исходный IP-адрес для подключения (например, name@ipsource);
 Целевой объект (в виде account@target:service);
 Целевой хост/IP;
 Протокол;
 Время начала соединения;
 Время окончания соединения;
 Длительность соединения;
 Результат.
П р и м е ч а н и е – Результат подключения может указывать на наличие проблемы при
подключении к целевой учетной записи (например, неправильный пароль, отсутствие доступа к
целевому ресурсу и т. д.).
Для упрощения поиска к записям можно применить фильтры (см. рисунок 10). Доступны
следующие фильтры:
 Показать все/на существующем устройстве/на существующем приложении;
 Диапазон дат;
 Последних N дней/недель/месяцев.
23
RU.33654484.0004-01 91 01
Рисунок 10 – Применение фильтра к истории подключений
На странице «История соединений» рядом с элементами в отчете истории соединений
могут появиться следующие значки:
,
.
Для загрузки записи сеанса SSH в необработанном формате «ttyrec» необходимо нажать на
значок
.
Для того чтобы открыть страницу просмотра записей сеансов необходимо нажать на значок
.
На странице RDP также находится кнопка «Скачать», позволяющая загрузить видео
целиком (см. рисунок 11).
Для того чтобы перейти к соответствующему моменту в видео необходимо выбрать
требуемый пункт списка.
В случае обнаружения модулем OCR приложений, ссылка для загрузки списка OCR будет
выведена под видео в виде значка
.
Для сохранения фрагмента записи необходимо нажать на значок
строке соответствующего фрагмента записи.
, раположенный в
24
RU.33654484.0004-01 91 01
Рисунок 11 – Просмотр сеанса RDP
5.2.3.3 Меню «История авторизаций»
При выборе пункта «История авторизаций» из бокового меню интерфейса администратора
отобразится список попыток авторизации через интерфейсы прокси-серверов RDP и SSH (порты
3389 и 22, соответственно) (см. рисунок 12).
Рисунок 12 – История авторизаций
Для каждого из этих соединений отображается следующая информация:
 Дата и время события;
25
RU.33654484.0004-01 91 01
 Имя пользователя (имя пользователя СКДПУ);
 IP-адрес источника;
 Результат входа;
 Диагностика результата.
Результат входа может иметь значение «Успешно» или «Не успешно» в зависимости от
результата проверки подлинности для СКДПУ. Дополнительные сведения приведены в столбце
«Диагностика».
На странице «История авторизаций» используются аналогичные фильтры, что и в журнале
подключений. Применяются аналогичные ограничения по количеству отображаемых результатов
(см. раздел 5.2.3.2).
5.2.3.4 Меню «Статистика соединений»
При выборе пункта «Статистика соединений» (см. рисунок 13) из бокового меню
интерфейса
администратора,
отображаются
статистические
данные
по
соединениям,
установленным с помощью СКДПУ, за указанный период времени, а также статистика по
неиспользуемым ресурсам.
Для отображения статистики подключений доступны следующие фильтры:
 Показывать ТОП-N (максимальное количество – 20);
 Пользователи СКДПУ (выбор пользователей активируется отметкой «Сложные
настройки»);
 Выбранные графики:
 Количество дополнительных подключений для каждого устройства;
 Количество дополнительных подключений для каждой целевой учетной записи;
 Количество основных подключений для каждого пользователя;
 Количество дополнительных подключений для каждого пользователя;
 Дополнительные подключения по продолжительности;
 Общее время дополнительных подключений для каждого пользователя;
 Дополнительные подключения по дате.
 Даты начала/окончания;
 Период (последние N дней/недель/месяцев).
26
RU.33654484.0004-01 91 01
Рисунок 13 – Статистика соединений
Пример статистического графика приведен на рисунок 14.
Все данные в этих статистических отчетах можно загрузить в виде файла CSV.
Можно запланировать регулярную отправку статистических отчетов (см. раздел 5.2.9.4).
27
RU.33654484.0004-01 91 01
Рисунок 14 – Пример статистического графика
5.2.3.5 Меню «История разрешений»
При выборе пункта «История разрешений» из бокового меню интерфейса администратора,
отображаются сведения о разрешениях доступа пользователей к ресурсам (см. рисунок 15).
Рисунок 15 – История разрешений
28
RU.33654484.0004-01 91 01
Для каждого из этих разрешений отображается следующая информация:
 Статус;
 Кворум;
 Тикет;
 Имя пользователя (имя пользователя СКДПУ);
 Цель (имя или IP-адрес ресурса);
 Начало действия разрешения;
 Окончание действия разрешения;
 Длительность;
 Ответы.
На странице «История разрешений» используются аналогичные фильтры, что и в журнале
подключений. Применяются аналогичные ограничения по количеству отображаемых результатов
(см. раздел 5.2.3.2).
5.2.3.6 Меню «Показать историю по учетной записи»
При выборе пункта «Показать историю по учетной записи» из бокового меню интерфейса
администратора, отображаются сведения об истории учетных записей (см. рисунок 16):
Рисунок 16 – Список учетных записей из пункта «Показать историю по учетной записи»
История активности по учетной записи доступна при нажатии на ссылку «Активность» (см.
рисунок 17):
29
RU.33654484.0004-01 91 01
Рисунок 17 – Активность учетной записи
История смены паролей по учетной записи доступна при нажатии на ссылку «История» (см.
рисунок 18):
Рисунок 18 – История учетной записи
5.2.4 Меню «Пользователи»
Меню «Пользователи» предназначено для создания и импорта пользователей и
администраторов СКДПУ, профилей и групп пользователей.
Можно также настроить группы пользователей, к которым применяются авторизации (см.
раздел 5.2.5.6).
30
RU.33654484.0004-01 91 01
5.2.4.1.1 Меню «Аккаунты»
Страница «Аккаунты» предназначена для:
 Отображения информации об учетных записях пользователей;
 Добавления, изменения, удаления учетных записей пользователей СКДПУ;
 Отображения информации об устройствах, авторизованный доступ к которым
предоставлен пользователям СКДПУ;
 Сохранения информации об учетных записях пользователей в файле формата CSV;
 Массовой загрузки пользователей из файла в формате CSV.
Страница «Аккаунты» вызывается с помощью пункта «Аккаунты» из бокового меню
интерфейса администратора (см. рисунок 19).
На странице «Аккаунты» отображается таблица с перечнем учетных записей пользователей
СКДПУ.
Рисунок 19 – Учетные записи пользователей
Данные таблицы с перечнем учетных записей пользователя можно отфильтровать с
помощью кнопок
по любому из атрибутов таблицы. Фильтр применяется ко всем пользователям,
а не только к расположенным на текущей открытой странице.
По умолчанию в таблице отображается 10 результатов на страницу. С помощью
навигационного меню можно переходить между страницами и изменять количество результатов,
отображаемых на каждой из них.
Для быстрого поиска на странице «Аккаунты» расположено поле «Поиск».
31
RU.33654484.0004-01 91 01
Для сохранения данных таблицы в файл необходимо нажать на значок
, расположенный
в правом верхнем углу рабочей области страницы.
5.2.4.1.2 Создание учетной записи пользователя
Для
создания
учетной
записи
пользователя
необходимо
нажать
на
значок
, расположенный в верхнем левом углу рабочей области страницы (см.
рисунок 20).
Откроется страница создания учетной записи пользователя (см. рисунок 20).
Для создания учетной записи пользователя вводятся следующие данные:
 Имя пользователя для входа в веб-интерфейс СКДПУ и на прокси-серверы в поле «Имя
пользователя»;
 Имя, используемое для идентификации лица, которому принадлежит имя пользователя в
поле «Показать имя»;
 Адрес электронной почты в поле «E-mail»;
 Язык, используемый в сообщениях, отправляемых пользователю с прокси-серверов в
выпадающем списке «Предпочитаемый язык»;
 Профиль, используемый для определения прав пользователя из выпадающего списка
«Профиль»;
 Список групп, в которые требуется добавить пользователя в поле «Группы». Управление
списком выбранных групп осуществляется с помощью кнопок
,
.
 Серверы авторизации и резервного копирования, которые могут быть разными для
каждого пользователя (см. раздел 5.2.9.2). Можно выбрать несколько серверов для внешних
проверок подлинности (LDAP, RADIUS и т.д.).
 Параметры авторизации:
 Пароль в поле «Пароль». Вводится повторно только для проверки подлинности,
отличной от локальной. Может быть задан в соответствии с установленной политикой паролей
(см. раздел 5.2.9.5).
 Параметр принудительной смены пароля выбирается из выпадающего списка
«Требовать изменить пароль». В случае если для параметра установлено значение «Да»,
пользователь получит уведомление о создании учетной записи и необходимости изменения
пароля при первом входе в систему (см. раздел 5.2.10.9).
 Открытый ключ SSH в поле «Публичный ключ SSH» загружается с помощью окна
выгрузки файла, которая вызывается нажатием кнопки «Обзор…».
32
RU.33654484.0004-01 91 01
Исходный IP-адрес, используемый для ограничения доступа к прокси-серверам по этому
IP-адресу или FQDN (данное ограничение не касается доступа к WUI) в группе полей «Ограничения
по IP».
Рисунок 20 – Создание учетной записи пользователя
П р и м е ч а н и я:
1.
Поля, отмеченные символом «*», обязательны для заполнения.
2.
После создания учетной записи пользователя имя пользователя изменить нельзя,
однако пользователю для изменения будут доступны пароль и открытый ключ SSH.
Можно также добавить пользователя в группу на странице управления группами (см. раздел
5.2.4.2).
33
RU.33654484.0004-01 91 01
Для массовой загрузки пользователей из файла в формате CSV необходимо нажать на
значок
, расположенный в правом верхнем углу рабочей области страницы «Аккаунты» (см.
рисунок 19).
5.2.4.1.3 Просмотр информации о пользователе и изменение пользователя
Для просмотра информации о пользователе необходимо на странице «Аккаунт» перейти
по ссылке имени необходимого пользователя, расположенной в столбце «Имя пользователя»
таблицы (см. рисунок 21).
Для просмотра доступна следующая информация о пользователе:
 Имя пользователя для входа в веб-интерфейс СКДПУ и на прокси-серверы;
 Отображаемое имя, используемое для идентификации лица, которому принадлежит имя
пользователя;
 Адрес электронной почты в поле «E-mail»;
 Язык, используемый в сообщениях, отправляемых пользователю с прокси-серверов;
 Ограничения по IP для доступа к прокси-серверам;
 Профиль, используемый для определения прав пользователя;
 Список групп, в которые добавлен пользователь;
 Серверы авторизации;
 Пароль;
 Открытый ключ SSH;
 Права пользователя в интерфейсе;
 Перечень устройств и приложений, на доступ к которым авторизован пользователь
(информация о каждом целевом устройстве, целевой учетной записи и фактическом адресе
устройства и протокол, используемый для доступа в разрешенный период времени).
34
RU.33654484.0004-01 91 01
Рисунок 21 – Просмотр информации о пользователе
Для
изменения
учетной
записи
пользователя
необходимо
нажать
на
значок
, расположенный в верхнем левом углу рабочей области страницы.
Откроется страница «Редактировать пользователя» (см. рисунок 22).
Для изменения доступны следующие атрибуты учетной записи пользователя:
 Имя, используемое для идентификации лица, которому принадлежит имя пользователя в
поле «Показать имя»;
 Адрес электронной почты в поле «E-mail»;
 Язык, используемый в сообщениях, отправляемых пользователю с прокси-серверов в
выпадающем списке «Предпочитаемый язык»;
 Профиль, используемый для определения прав пользователя из выпадающего списка
«Профиль»;
 Список групп, в которые требуется добавить пользователя в поле «Группы». Управление
списком выбранных групп осуществляется с помощью кнопок
 Серверы авторизации;
 Параметры авторизации:
,
.
35
RU.33654484.0004-01 91 01
 Пароль в поле «Пароль». Вводится повторно только для проверки подлинности,
отличной от локальной. Может быть задан в соответствии с установленной политикой паролей
(см. раздел 5.2.9.5).
П р и м е ч а н и е – если значение в поле «Пароль» не изменилось, то после сохранения
изменений пароль пользователя останется прежним.
 Параметр принудительной смены пароля выбирается из выпадающего списка
«Требовать изменить пароль». В случае если для параметра установлено значение «Да»,
пользователь получит уведомление о создании учетной записи и необходимости изменения
пароля при первом входе в систему (см. раздел 5.2.10.9).
 Открытый ключ SSH в поле «Публичный ключ SSH» загружается с помощью окна
выгрузки файла, которая вызывается нажатием кнопки «Обзор…».
Исходный IP-адрес, используемый для ограничения доступа к прокси-серверам по этому IP-адресу
или FQDN (данное ограничение не касается доступа к WUI) в группе полей «Ограничения по IP».
Для сохранения внесенных изменений необходимо нажать на кнопку «Применить».
Рисунок 22 – Изменить учетную запись пользователя
36
RU.33654484.0004-01 91 01
5.2.4.1.4 Удаление учетной записи пользователя
Для удаления учетной записи пользователя необходимо на странице «Аккаунты» в таблице
с перечнем учетных записей установить флажки напротив имен необходимых пользователе и
нажать кнопку
(«Удалить») (см. рисунок 19).
Перед удалением учетных записей без возможности восстановления в СКДПУ откроется
окно подтверждения удаления.
5.2.4.2 Меню «Группы»
Меню «Группы» предназначено для просмотра списка объявленных групп пользователей и
управления группами пользователей СКДПУ.
Страница «Группы» предназначена для:
 Отображения информации о группах пользователей СКДПУ;
 Добавления, изменения, удаления групп пользователей СКДПУ;
 Сохранения информации о группах пользователей СКДПУ в файле формата CSV;
 Массовой загрузки групп пользователей из файла в формате CSV.
Страница «Группы» вызывается с помощью пункта «Группы» из бокового меню
интерфейса администратора (см. рисунок 23).
На странице «Группы» отображается таблица с перечнем групп пользователей СКДПУ.
Для сохранения данных таблицы в файл необходимо нажать на значок
в правом верхнем углу рабочей области страницы.
Рисунок 23 – Управление группами пользователей СКДПУ
, расположенный
37
RU.33654484.0004-01 91 01
5.2.4.2.1 Добавление группы пользователей
Для добавления группы пользователей СКДПУ необходимо нажать на значок
, расположенный в верхнем левом углу рабочей области страницы (см.
рисунок 24).
Рисунок 24 – Добавление группы пользователей
Форма для создания группы пользователей состоит из следующих полей:
 «Имя группы»;
 «Описание»;
 «Периоды времени»;
 «Пользователи» - список пользователей в группе. Управление списком пользователей
осуществляется с помощью кнопок
,
и
(«Выбрать все»),
(«Очистить»);
 Список действий, которые применяются при обнаружении определенных строк символов
в восходящем потоке с прокси-серверов (см. раздел 6.5);
 Параметры сопоставления для аутентификации LDAP (профиль пользователя, имя
домена LDAP/AD, имя группы LDAP).
38
RU.33654484.0004-01 91 01
П р и м е ч а н и е – В случае если выбрано несколько периодов времени к группе будет
применено их сочетание.
Для массовой загрузки групп пользователей из файла в формате CSV необходимо нажать
на значок
, расположенный в правом верхнем углу рабочей области страницы «Группы» (см.
рисунок 23).
5.2.4.2.2 Просмотр информации о группе пользователей и изменение группы
пользователей
Для просмотра информации о группе пользователей и списка входящих в нее пользователей
необходимо на странице «Группы» перейти по ссылке имени группы, расположенной в столбце
«Имя группы» таблицы (см. рисунок 23).
Для изменения группы необходимо нажать на значок ,
расположенный в верхнем левом углу рабочей области страницы с информацией о группе (см.
рисунок 25).
Рисунок 25 – Информация о группе пользователей
Откроется страница «Редактировать группу» (см. рисунок 26).
Поля на форме изменения группы аналогичны полям на странице добавления группы, за
исключением поля «Имя группы», т.к. оно недоступно для изменения. Описание полей приведено
в разделе 5.2.4.2.1.
Для сохранения внесенных изменений необходимо нажать на кнопку «Применить».
39
RU.33654484.0004-01 91 01
Рисунок 26 – Изменить группу пользователей
5.2.4.2.3 Удаление группы или групп пользователей
Для удаления группы или нескольких групп пользователей необходимо на странице
«Группы» в таблице с перечнем групп пользователей установить флажки напротив имен
необходимых групп пользователей и нажать
(«Удалить») (см. рисунок 23).
Перед удалением групп пользователей без возможности восстановления в СКДПУ
откроется окно подтверждения удаления.
Примечание
– Группа пользователей недоступна для удаления пока в ней
присутствует хотя бы один пользователь!
5.2.4.3 Меню «Профили»
Меню «Профили» предназначено для просмотра списка объявленных профилей
пользователей и управления профилями пользователей СКДПУ.
40
RU.33654484.0004-01 91 01
В СКДПУ созданы несколько профилей пользователей по умолчанию, изменение которых
выполняется аналогично изменению любых других профилей. Доступны следующие профили по
умолчанию:
 User – не дает прав доступа уровня «Администратор», но дает доступ к целевым
устройствам;
 Auditor – дает право проверять данные аудита СКДПУ (см. раздел 5.2.3), но не дает право
доступа к устройствам;
 WAB_Administrator – имеет полные права доступа администратора и может
подключаться к целевым устройствам;
 System_administrator – дает доступ к вкладке «Система» и вкладкам настроек
пользователя (только для себя), но не дает прав доступа к другим вкладкам, а также к целевым
устройствам;
 Approver – имеет доступ к управлению выдачи разрешений на организацию сессий
подключения к целевым ресурсам;
 Disabled – профиль без прав доступа.
П р и м е ч а н и е – В качестве заводской конфигурации профиля «admin» задан профиль
WAB_Administrator.
Страница «Профили» предназначена для:
 Отображения информации о профилях пользователей СКДПУ;
 Добавления, изменения, удаления профилей пользователей СКДПУ;
 Сохранения информации о профилях пользователей СКДПУ в файле формата CSV;
 Массовой загрузки профилей пользователей из файла в формате CSV.
Страница «Профили» вызывается с помощью пункта «Профили» из бокового меню
интерфейса администратора (см. рисунок 27).
На странице «Профили» отображается таблица с перечнем профилей пользователей
СКДПУ.
Для сохранения данных таблицы в файл необходимо нажать на значок
в правом верхнем углу рабочей области страницы.
, расположенный
41
RU.33654484.0004-01 91 01
Рисунок 27 – Профили пользователей
5.2.4.3.1 Добавление профиля
Для добавления профиля пользователей СКДПУ необходимо нажать на значок ,
расположенный в верхнем левом углу рабочей области страницы (см.
рисунок 28).
Рисунок 28 – Добавление профиля пользователя
На форме создания профиля пользователей необходимо выполнить следующие действия:
 Задать имя профиля в поле «Имя профиля»;
 В группе полей «Права» с помощью переключателей определить доступ к пунктам меню
СКДПУ, а также доступ к аккаунтам устройств. Для каждой функции графического
пользовательского интерфейса существует набор прав:
 Нет - при входе пользователя меню не отображается;
42
RU.33654484.0004-01 91 01
 Просмотр – пользователь может просматривать созданные объекты, но не может
изменять их;
 Правка - пользователь может просматривать и изменять объекты;
 Выполнение (только для резервного копирования и восстановления): пользователь
может запускать процессы резервного копирования или восстановления системы.
 Задать требуемые ограничения профиля в группе полей «Другие возможности»:
 «Ограничения по IP» – это ограничение профиля для входа из конкретной подсети, т.е.
профилю СКДПУ доступна только из сети 192.168.1.0/24.
 «Ограничения групп» - ограничение пользователя доступом к данным выбранных
групп устройств или пользователей, т.е. все предоставленные пользователю права доступа
работают в пределах сессий указанной группы.
Ограничение прав для групп позволяет добавлять пользователей или целевые учетные
записи только к группам, для которых авторизован профиль, просматривать архив сессий только
для выбранных групп.
Для сохранения созданного профиля необходимо нажать на кнопку «Применить».
Для массовой загрузки профилей пользователей из файла в формате CSV необходимо
нажать на значок
, расположенный в правом верхнем углу рабочей области страницы
«Профили» (см. рисунок 27).
5.2.4.3.2 Просмотр информации о профиле пользователей и редактирование профиля
Для просмотра информации о профиле пользователей необходимо на странице «Профили»
перейти по ссылке имени профиля, расположенной в столбце «Имя профиля» таблицы (см.
рисунок 29).
43
RU.33654484.0004-01 91 01
Рисунок 29 – Просмотр и редактирование профиля пользователя
Для изменения профиля доступны только:
Группа полей «Права», в которой с помощью переключателей можно изменить доступ к пунктам
меню СКДПУ, а также доступ к аккаунтам устройств;
Группа полей «Другие возможности».
Для изменения параметров профиля необходимо нажать на кнопку «Применить».
П р и м е ч а н и е – встроенные профили СКДПУ недоступны для редактирования!
5.2.4.3.3 Удаление профилей пользователей
Для удаления профиля или нескольких профилей пользователей необходимо на странице
«Профили» в таблице с перечнем групп пользователей установить флажки напротив имен
необходимых профилей пользователей и нажать кнопку
(«Удалить») (см. рисунок 27).
Перед удалением профилей пользователей без возможности восстановления в СКДПУ
откроется окно подтверждения удаления.
П р и м е ч а н и е – встроенные профили СКДПУ недоступны для удаления!
5.2.5 Меню «Ресурсы»
Меню «Ресурсы» предназначено для создания и импорта устройств и учетных записей,
доступных через СКДПУ, а также для определения групп целевых учетных записей.
44
RU.33654484.0004-01 91 01
5.2.5.1 Меню «Домены»
Для отображения информации о списке целевых, контролируемых СКДПУ, доменов, а
также для добавления глобальных доменов необходимо выбрать пункт «Домены» из бокового меню
интерфейса администратора (см. рисунок 30).
Для просмотра информации о доменах необходимо выбрать тип домена в строке «Показать
типы доменов».
Рисунок 30 – Просмотр информации по доменам, контролируемым СКДПУ
5.2.5.1.1 Добавление глобального домена
Для добавления глобального домена необходимо выполнить следующие действия:
1) На странице «Домены» из выпадающего списка «Показать типы доменов» выбрать
«Глобальные»;
2) Нажать на
(см. рисунок 30 – );
3) Откроется страница «Создать глобальный домен» (см. рисунок 31);
45
RU.33654484.0004-01 91 01
Рисунок 31 – Создание глобального домена
4) На странице создания домена необходимо заполнить следующие поля:
 «Имя домена» (Name);
 «Описание» (Description);
 «Административный доступ» (Admin account);
 «Политика замены паролей» (Credential change policy) (выбрать из выпадающего
списка);
 «Плагин изменения пароля» (Credential change plugin) (выбрать из выпадающего
списка).
5) Нажать кнопку «Применить».
Для массовой загрузки доменов из файла в формате CSV необходимо нажать на значок
, расположенный в правом верхнем углу рабочей области страницы (см. рисунок 31).
5.2.5.1.2 Изменение атрибутов глобального домена
Для изменения атрибутов глобального домена необходимо выполнить следующие
действия:
1) На странице «Домены» из выпадающего списка «Показать типы доменов» выбрать
«Global»;
2) Перейти по ссылке имени домена (см. рисунок 30);
3) Откроется страница с перечнем атрибутов домена (см. рисунок 32);
46
RU.33654484.0004-01 91 01
Рисунок 32 – Просмотр атрибутов домена
4) Для редактирования атрибутов домена нажать на
(см. рисунок 32);
5) Откроется страница редактирования атрибутов домена (см. рисунок 33);
Рисунок 33 – Редактирование атрибутов домена
6) Изменить необходимые атрибуты домена и для сохранения изменений нажать кнопку
«Применить».
5.2.5.1.3 Удаление глобального домена
Для удаления домена необходимо на странице «Домены» в таблице с перечнем доменов
установить флажки напротив имен необходимых доменов и нажать на
(см. рисунок 30).
(«Удалить»)
47
RU.33654484.0004-01 91 01
Перед удалением доменов без возможности восстановления в СКДПУ откроется окно
подтверждения удаления.
5.2.5.2 Меню «Устройства»
Для отображения информации о списке целевых, контролируемых СКДПУ, устройств
необходимо выбрать пункт «Устройства» из бокового меню интерфейса администратора (см.
рисунок 34).
На странице «Устройства» отображается таблица с перечнем целевых устройств СКДПУ.
На странице «Устройства» можно добавлять новые устройства, изменять атрибуты
существующих устройств, а также удалять устройства.
Для сохранения данных таблицы в файл необходимо нажать на значок
, расположенный
в правом верхнем углу рабочей области страницы.
Рисунок 34 – Список целевых устройств
5.2.5.2.1 Добавление целевого устройства
Для добавления целевого устройства необходимо нажать на значок
,
расположенный в верхнем левом углу рабочей области страницы с информацией об устройствах
(см. рисунок 34).
48
RU.33654484.0004-01 91 01
Рисунок 35 – Добавление целевого устройства
При добавлении целевого устройства необходимо ввести следующую информацию в форму
(см. рисунок 35):
 Имя устройства – имя, которое будет использоваться для доступа к устройству. Оно
может быть независимым от DNS-имени компьютера в поле «Name» («Имя устройства»);
 Псевдоним – дополнительное имя устройства («Алиас»);
 Сетевой адрес (IP или FQDN) в поле «Device host» («Сетевой адрес устройства»);
 Описание в поле «Description» («Описание»);
 Локальные домены в поле «Local Domains» («Локальные домены»);
 Список служб, к которым можно получить доступ на этом устройстве в разделе «Services»
(«Сервисы»).
Для добавления службы в список необходимо нажать на соответствующую кнопку: «VNC»,
«RDP», «RLOGIN», «TELNET», «SSH».
Список служб содержит следующую информацию:
 Имя службы – имя, которое будет использоваться для доступа к службе. Оно может быть
независимым от имени протокола и номера порта в поле «Service name» («Имя службы»);
 Подпротокол в поле «Subprotocols» («Подпротокол»);
 Порт в поле «Port» («Порт»);
 Политика соединения в поле «Connection policy» («Политика соединения»);
 Глобальный домен (выбирается из выпадающего списка «Global domains»).
Механизм проверки подлинности требуется указать в следующих случаях:
49
RU.33654484.0004-01 91 01
Вход на устройство в TELNET, выберите сценарий подключения, который был определен ранее (см.
раздел 6.6).
5.2.5.2.2 Просмотр и изменение целевого устройства
Для просмотра информации о целевом устройстве необходимо на странице «Устройства»
перейти по ссылке наименования устройства в столбце «Устройства» таблицы (см. рисунок 34).
Появится страница с информацией об устройстве (см. рисунок 36).
На странице с информацией об устройстве отображается информация, указанная при
создании устройства, подробное описание атрибутов устройства приведено в разделе 5.2.5.2.1.
Рисунок 36 – Информация о целевом устройстве
Для
изменения
целевого
устройства
необходимо
нажать
на
значок
, расположенный в верхнем левом углу рабочей области страницы с
информацией об устройствах (см. рисунок 36).
Откроется страница изменения целевого устройства (см. рисунок 37).
Поля, доступные для изменения на странице изменения целевого устройства, аналогичны
полям на странице создания целевого устройства, за исключением поля «Name» («Наименование
50
RU.33654484.0004-01 91 01
устройства»), т.к. имя устройства изменить нельзя. Подробное описание атрибутов устройства
приведено в разделе 5.2.5.2.1.
Для просмотра информации о связанных с данным устройством учетных записях
необходимо нажать на значок
, расположенный в разделе
«Учетные записи устройства».
Для создания
учетной
записи
для
устройства необходимо нажать
на значок
, расположенный в разделе «Учетные записи устройства». Работа с формой
создания учетной записи подробно описана в разделе 5.2.5.4.1.
Для сохранения внесенных изменений необходимо нажать кнопку «Применить».
Рисунок 37 – Изменение целевого устройства
5.2.5.2.3 Удаление целевого устройства
Для удаления целевого устройства необходимо на странице «Устройства» установить
флажок напротив наименования выбранного устройства или нескольких выбранных устройств и
нажать кнопку
(«Удалить») (см. рисунок 34).
Перед удалением целевых устройств без возможности восстановления в СКДПУ откроется
окно подтверждения удаления.
51
RU.33654484.0004-01 91 01
П р и м е ч а н и е – В случае если в целевом устройстве объявлены целевые учетные
записи, то это устройство удалить нельзя, на странице «Устройства» оно будет недоступно для
удаления.
5.2.5.3 Меню «Приложения»
Меню «Приложения» предназначено для просмотра списка доступных приложений (см.
рисунок 38).
На странице «Приложения» (см. рисунок 38) доступны следующие операции:
 Добавление приложения;
 Изменение информации о приложении;
 Удаление приложения.
Рисунок 38 – Целевые приложения
5.2.5.3.1 Добавление целевого приложения
Для добавления приложения необходимо нажать на значок
(см. рисунок 38).
При добавлении приложения необходимо ввести следующую информацию в форму
(см. рисунок 39):
 Имя приложения в поле «Name» («Имя приложения»);
 Описание в поле «Description» («Описание»);
 Параметры приложения в поле «Parameters» («Параметры»);
52
RU.33654484.0004-01 91 01
 Выбрать из выпадающего списка целевой кластер «Target/Cluster name»1;
 Выбрать из выпадающего списка «Global domains» домен;
 Указать путь к приложению в поле «Application path» («Путь к приложению»);
 Указать каталог запуска в поле «Startup directory» («Каталог запуска»).
Нажать кнопку «Применить».
Рисунок 39 – Добавление приложения
5.2.5.3.2 Изменение целевого приложения
Для изменения целевого приложения необходимо на странице списка приложений перейти
по ссылке имени приложения и нажать на значок
(см. рисунок 38).
Поля, доступные для изменения на странице изменения приложения, аналогичны полям на
странице создания приложения, за исключением поля «Name» («Имя приложения»), т.к. имя
целевого приложения изменить нельзя. Подробное описание атрибутов приложений приведено в
разделе 5.2.5.3.1.
5.2.5.3.3 Удаление целевого приложения
Для удаления целевого приложения необходимо на странице списка приложений
установить флажок напротив имени целевого приложения и нажать на значок
(«Удалить») (см.
рисунок 38).
1
Подробное описание кластера и функций СКДПУ по управлению кластерами приведено в разделе 5.2.5.55.
53
RU.33654484.0004-01 91 01
5.2.5.4 Меню «Аккаунты»
Меню «Аккаунты» предназначено для просмотра списка целевых учетных записей, для
доступа к устройству или приложению.
Для просмотра всех целевых учетных записей для устройства или приложения необходимо
перейти по ссылке имени устройства (см. рисунок 40).
Рисунок 40 – Список всех целевых учетных записей для устройства
На странице списка учетных записей доступны следующие операции:
 Создание целевой учетной записи для службы;
 Изменение целевой учетной записи для службы.
5.2.5.4.1 Создание целевой учетной записи для службы
Для создания целевой учетной записи необходимо на странице списка учетных записей для
службы нажать на значок
(см. рисунок 40).
При создании целевой учетной записи для службы необходимо ввести следующую
информацию в форму (см. рисунок 41):
 Название системы в поле «Название системы»;
 Имя учетной записи в поле «Логин»;
 Описание в поле «Описание»;
 Параметр хранения данных учетной записи с помощью флажка «Во внешнем сейфе»;
 Пароль и подтверждение пароля в двойном поле «Пароль»;
 Параметры публичного ключа в поле «Публичный ключ»;
54
RU.33654484.0004-01 91 01
 Параметры закрытого ключа в поле «Закрытый ключ»;
 Политика вскрытия (выбрать из выпадающего списка);
 Тип учетной записи с помощью переключателя «Account Type» («Тип аккаунта»).
Доступны следующие варианты: домен, устройство, приложение. В зависимости от типа учетной
записи задаются дополнительные параметры учетной записи.
Рисунок 41 – Создание целевой учетной записи для службы
Для сохранения целевой учетной записи нажать кнопку «Применить».
5.2.5.4.2 Изменение целевой учетной записи
Для изменения целевой учетной записи необходимо на странице списка учетных записей
перейти по ссылке имени целевой учетной записи (см. рисунок 40).
Поля, доступные для изменения на странице изменения целевой учетной записи,
аналогичны полям на странице создания целевой учетной записи. Подробное описание атрибутов
устройства приведено в разделе 5.2.5.4.1.
5.2.5.4.3 Удаление целевой учетной записи
Для удаления целевой учетной записи необходимо на странице списка учетных записей для
службы установить флажок напротив имени целевой учетной записи и нажать на значок
(«Удалить») (см. рисунок 40).
55
RU.33654484.0004-01 91 01
5.2.5.5 Меню «Кластеры»
Меню «Кластеры» предназначено для просмотра списка объявленных в СКДПУ кластеров,
позволяющих объединить несколько целевых учетных записей RDP с целью запуска приложений с
возможностью балансировки нагрузки (см. рисунок 42).
Рисунок 42 – Список объявленных кластеров
5.2.5.5.1 Добавление целевых учетных записей в кластер
Для добавления целевых учетных записей в кластер необходимо на странице списка
объявленных кластеров нажать на значок
(см. рисунок 42).
При создании кластера и добавлении в него целевых учетных записей необходимо ввести
следующую информацию в форму:
 Имя кластера в поле «Имя кластера»;
 Описание в поле «Описание»;
 Список целевых учетных записей в группе «Имя назначения сервиса или кластера».
Управление списком целевых учетных записей осуществляется с помощью кнопок
«Выбрать все»,
«Очистить».
,
и
56
RU.33654484.0004-01 91 01
Рисунок 43 – Добавление Кластера
5.2.5.5.2 Импорт кластеров из файла в формате CSV
Для импорта кластеров из файла в формате CSV необходимо нажать на значок
,
расположенный в верхнем правом углу страницы «Кластеры» (см. рисунок 42).
Для загрузки данных из файла необходимо выбрать файл с помощью кнопки «Обзор…» в
разделе «Импорт» (см. рисунок 44).
Рисунок 44 – Импорт данных о Кластерах из файла
57
RU.33654484.0004-01 91 01
5.2.5.6 Меню «Группы»
Для управления группами ресурсов (приложений, аккаунтов и/или устройств) необходимо
выбрать пункт «Группы» меню «Ресурсы» (см. рисунок 45).
На странице списка управления группами доступны следующие операции (см. рисунок 45):
 Просмотр списка групп, а также ресурсов, входящих в каждую группу;
 Создание группы ресурсов;
 Изменение группы ресурсов;
 Удаление группы ресурсов;
 Сохранение списка групп ресурсов в файл в формате CSV;
 Загрузка списка групп ресурсов из файла в формате CSV.
Для сохранения данных таблицы в файл необходимо нажать на значок
, расположенный
в правом верхнем углу рабочей области страницы.
Рисунок 45 – Управление группами ресурсов
5.2.5.6.1 Создание группы ресурсов
Для создания группы ресурсов необходимо на странице списка групп ресурсов нажать на
значок
(см. рисунок 45).
При создании группы ресурсов необходимо ввести следующую информацию в форму (см.
рисунок 46):
 Имя группы целевых устройств в поле «Имя группы»;
 Описание группы в поле «Описание»;
58
RU.33654484.0004-01 91 01
 Список целевых приложений, входящих в группу, в группе полей «Целевые приложения»
(вызывается с помощью кнопки «Приложение»);
 Список целевых учетных записей, входящих в группу, в группе полей «Аккаунты»
(вызывается с помощью кнопки «Аккаунт»);
 Список целевых устройств, входящих в группу, в группе полей «Целевые устройства»
(вызывается с помощью кнопки «Устройство»);
 Список разрешенных устройств, в которых авторизовано соответствие учетной записи, в
группе полей «AM цели» (вызывается с помощью кнопки «Маппинг учетных записей
(АМ)/интерактивная авторизация»).
Управление списком выбранных целевых ресурсов осуществляется с помощью кнопок
кнопок
,
и
«Выбрать все»,
«Очистить».
П р и м е ч а н и е – В случае соответствия учетной записи, пользователь может входить на
целевое устройство, введя основные учетные данные. Это особенно полезно, когда учетная запись
пользователя объявлена в каталоге компании и у пользователя есть права доступа к целевому
ресурсу. Основные учетные данные пользователя воспроизводятся и на целевом устройстве.
Список действий, которые применяются при обнаружении определенных строк символов в
восходящем потоке с прокси-серверов, из выпадающего списка «Действие», а также правил в поле
«Правила», и протокола для их применения из выпадающего списка «Подпротокол». Для
добавления действия в список необходимо нажать на значок
из списка нажать на значок
(Удалить).
(Добавить). Для удаления действия
59
RU.33654484.0004-01 91 01
Рисунок 46 – Создание группы ресурсов
5.2.5.6.2 Изменение группы ресурсов
Для изменения группы ресурсов необходимо на странице списка управления группами
ресурсов перейти по ссылке имени группы (см. рисунок 45) и нажать на значок
, расположенный в верхнем левом углу рабочей области страницы с
информацией о группе ресурсов (см. рисунок 47).
60
RU.33654484.0004-01 91 01
Рисунок 47 – Изменение группы ресурсов
Поля, доступные для изменения на странице изменения группы ресурсов, аналогичны
полям на странице создания группы ресурсов, за исключением поля «Имя группы», т.к. имя группы
ресурсов изменить нельзя. Подробное описание атрибутов группы ресурсов приведено в разделе
5.2.5.6.1.
5.2.5.6.3 Удаление группы ресурсов
Для удаления группы ресурсов необходимо на странице управления группами ресурсов
установить флажок напротив имени группы ресурсов и нажать на значок
(«Удалить») (см.
рисунок 45).
П р и м е ч а н и е – Группу ресурсов нельзя удалить, если хотя бы с одной из учетных
записей, входящих в группу, связаны активные авторизации и/или если с этой группой связаны
целевые учетные записи.
5.2.5.7 Меню «Политики выборки»
Страница «Политики выборки» вызывается с помощью пункта «Политики выборки» из
бокового меню интерфейса администратора (см. рисунок 48).
На странице «Политики выборки» отображается список всех политик выборки ресурсов,
доступных в СКДПУ (см. рисунок 48).
61
RU.33654484.0004-01 91 01
Рисунок 48 – Политики выборки
5.2.5.7.1 Добавление политики выборки
Для
добавления
политики
выборки
необходимо
нажать
на
значок
, расположенный в верхнем левом углу рабочей области страницы со
списком всех политик выборки ресурсов (см. рисунок 48).
Форма добавления политики выборки предназначена для ввода следующей информации
(см. рисунок 49):
 Идентификатор политики выборки в поле «Cn» («Имя политики»);
 флажок включения блокировки;
 длительность в поле «Duration»;
 расширение в поле «Extension»;
 максимальная длительность в поле «MaxDuration»;
 создание задачи;
 создание комментария;
 регистрация изменений после использования.
62
RU.33654484.0004-01 91 01
Рисунок 49 – Создание политики выборки
5.2.5.7.2 Изменение политики выборки
Для изменения политики выборки необходимо на странице со списком всех политик
выборки перейти по ссылке имени политики выборки, расположенной в столбце «Имя»
(см. рисунок 48) и нажать на значок
.
Поля, доступные для изменения на странице изменения политики, аналогичны полям на
странице создания политики выборки, за исключением поля «Имя политики выборки», т.к. имя
политики изменить нельзя. Подробное описание атрибутов политики выборки приведено в разделе
5.2.5.7.1.
5.2.5.7.3 Удаление политики выборки
Для удаления политики выборки необходимо на странице со списком всех политик выборки
установить флажки напротив имен политик выборки и нажать на значок
(«Удалить»).
5.2.6 Меню «Управление паролями»
Данный пункт меню предназначен для настройки внешних политик управления паролями
СКДПУ, а также для загрузки внешних плагинов управления паролями.
5.2.6.1 Меню «Плагины изменения паролей»
Меню «Плагины изменения паролей» предназначено для загрузки внешних утилит
управления паролями.
На странице «Плагины изменения паролей» отображается перечень загруженных внешних
плагинов управления паролями (см. рисунок 50).
63
RU.33654484.0004-01 91 01
Для загрузки плагина управления паролями из файла необходимо нажать на значок
.
Рисунок 50 – Плагины изменения паролей
5.2.6.2 Меню «Политики замены паролей»
Меню «Политики замены паролей» предназначено для создания или загрузки внешних
политик управления паролями.
На странице «Политики замены паролей» отображается перечень политик управления
паролями СКДПУ (см. рисунок 51).
Для загрузки политики управления паролями из файла необходимо нажать на значок
Рисунок 51 – Политики замены паролей
.
64
RU.33654484.0004-01 91 01
5.2.6.2.1 Создание политики управления паролями
Для добавления политики управления паролями необходимо нажать на значок ,
, расположенный в верхнем левом углу рабочей области
страницы со списком всех политик выборки ресурсов (см. рисунок 51).
На форме добавления политики управления паролями заполнить поля следующей
информацией (см. рисунок 52):
 Имя политики управления паролями в поле «Имя политики»;
 Длина пароля в поле «Максимальная длина пароля»;
 Минимальное количество специальных символов в пароле в поле «Number of special
characters»;
 Количество строчных букв в поле «Number of lowercase letters»;
 Количество заглавных букв в поле «Number of capital letters»;
 Количество цифр в пароле в поле «Number of digital characters»;
 Тип ключа SSH в поле «SSH Key type»;
 Размер ключа SSH в поле «SSH Key size»;
 Период действия пароля в днях в поле «Period of change».
Рисунок 52 – Создание политики управления паролями
Для сохранения политики управления паролями необходимо нажать кнопку «Применить».
5.2.6.2.2 Изменение политики управления паролей
Для изменения политики управления паролей необходимо на странице со списком всех
политик управления паролей перейти по ссылке имени политики управления паролей,
65
RU.33654484.0004-01 91 01
расположенной
в
столбце
«Имя»
(см.
рисунок
51)
и
нажать
на
значок
.
Поля, доступные для изменения на странице изменения политики, аналогичны полям на
странице создания политики управления паролей, за исключением поля имени политики
управления паролями (поле «Policy name»), т.к. имя политики изменить нельзя. Подробное описание
атрибутов политики управления паролями приведено в разделе 5.2.6.2.1.
5.2.6.2.3 Удаление политики управления паролями
Для удаления политики управления паролями необходимо на странице со списком всех
политик управления паролями установить флажки напротив имен политик управления паролями и
нажать на значок
(«Удалить») (см. рисунок 51).
5.2.7 Меню «Управление сессиями»
5.2.7.1 Меню «Параметры записи»
Меню «Параметры записи» предназначено для управления режимами записи сессий.
Закодированные записи могут быть просмотрены только на том сервере СКДПУ, на котором они
были записаны.
На странице «Свойства записи сессий» доступны настройки кодирования сессий (см.
рисунок 53).
Для управления настройками кодирования сессий необходимо установить переключатель в
одно из следующих положений:
 Кодирование записей сессий выключено;
 Кодирование записей сессий выключено, только кл. суммы (настройка – по умолчанию);
 Кодирование включено.
После выбора требуемого режима кодирования записей сессий нажать кнопку
«Применить».
66
RU.33654484.0004-01 91 01
Рисунок 53 – Параметры записи сессий
5.2.7.2 Меню «Политики соединения»
Меню «Политики соединения» предназначено для управления параметрами соединения.
На странице «Параметры соединения» отображается перечень настроенных политик
соединения (см. рисунок 54).
Рисунок 54 – Параметры соединения
Для загрузки политики соединения из файла необходимо нажать на значок
.
5.2.7.2.1 Создание политики соединения
Для
добавления
политики
соединения
необходимо
нажать
на
значок
, расположенный в верхнем левом углу рабочей области страницы
со списком всех политик соединения (см. рисунок 54).
67
RU.33654484.0004-01 91 01
На форме добавления политики соединения заполнить поля следующей информацией (см.
рисунок 55):
 Имя политики соединения в поле «Policy name»;
 Описание политики соединения в поле «Description»;
 Выбрать протокол соединения из выпадающего списка «Protocol»;
 Метод аутентификации в поле «Methods»;
 Параметры авторизации в разделе «Тип авторизации» (Параметры авторизации
различаются в зависимости от выбранного протокола соединения).
Рисунок 55 – Создание политики соединений
Для сохранения политики соединения нажать кнопку «Применить».
5.2.7.2.2 Изменение политики соединения
Для изменения политики соединения необходимо на странице со списком всех политик
соединения перейти по ссылке имени политики, расположенной в столбце «Имя» (см. рисунок 54)
и нажать на значок
.
68
RU.33654484.0004-01 91 01
Поля, доступные для изменения на странице изменения политики, аналогичны полям на
странице создания политики соединения, за исключением поля имени политики, т.к. имя политики
изменить нельзя. Подробное описание атрибутов политики соединения приведено в разделе
5.2.7.2.1.
5.2.7.2.3 Удаление политики соединения
Для удаления политики соединения необходимо на странице со списком всех политик
соединения установить флажки напротив имен политик соединения и нажать на значок
(«Удалить») (см. рисунок 54).
5.2.8 Меню «Авторизации»
Меню «Авторизации» предназначено для определения, какие целевые учетные записи и
протоколы могут использоваться для доступа к устройствам.
Авторизации применяются к группам пользователей, связанным с группами целевых
учетных записей. Все пользователи в одной группе наследуют одни и те же авторизации.
5.2.8.1 Меню «Управление авторизациями»
Меню «Управление авторизациями» предназначено для вывода списка авторизаций,
добавления и удаления авторизаций, загрузка авторизаций из файла в формате CSV, а также
сохранения списка авторизаций в файле в формате CSV (см. рисунок 56).
Для сохранения данных таблицы в файл необходимо нажать на значок
в правом верхнем углу рабочей области страницы.
Рисунок 56 – Управление авторизациями
, расположенный
69
RU.33654484.0004-01 91 01
5.2.8.1.1 Добавление авторизации
Для добавления новой авторизации необходимо на странице «Управление авторизациями»
нажать на значок
(см. рисунок 56).
Авторизация является связью, созданной между группой пользователей и группой целевых
учетных записей.
Форма для добавления новой авторизации содержит поля для ввода следующей
информации:
 Группы пользователей в поле «Группа пользователей»;
 Группы целевых учетных записей в поле «Группа устройств»;
 Описание в поле «Описание»;
 Список авторизованных протоколов в группе полей «Протоколы/Подпротоколы».
Управление списком выбранных протоколов осуществляется с помощью кнопок
«Выбрать все»,
,
и
«Очистить»;
 Параметр, указывающий, являются ли критичными сеансы, разрешенные авторизацией
(при каждом доступе к критичному устройству может отправляться уведомление с помощью
флажка «Критично»);
 Параметр включения/отключения записи сеанса с помощью флажка «Записывается»;
 Параметр включения/отключения доступа через Прокси с помощью флажка «Разрешить
соединения через Прокси»;
 Параметр включения/отключения доступа к паролям с помощью флажка «Разрешить
доступ к паролям через GUI и REST API»;
 Параметр записи данной авторизации в историю разрешений с помощью флажка
«История разрешений».
Для сохранения авторизации необходимо нажать кнопку «Применить».
Для загрузки авторизаций из файла необходимо нажать на значок
правом верхнем углу рабочей области страницы.
, расположенный в
70
RU.33654484.0004-01 91 01
Рисунок 57 – Добавление авторизации
П р и м е ч а н и я:
1.
Для регистрации сеансов RDP используется запись видео и автоматическое
распознавание символов (OCR) для приложений, выполняющихся на удаленном компьютере, путем
обнаружения строк заголовков.
2.
Алгоритм, используемый для распознавания строк заголовков, позволяет отслеживать
сеансы в режиме реального времени, однако он очень чувствителен к конфигурации. Он работает
только в ОС Windows Standard с заданным по умолчанию размером шрифта 96PPP, глубиной цвета
15 бит или более (15, 16, 24 или 32 бита); он не поддерживает 8-битовый режим. Текущая версия
функции OCR не будет работать при изменении стиля строки заголовка даже на практически
аналогичный (например, Windows classic) или при изменении цвета, стиля, шрифта или разрешения
строки заголовка. Кроме того, функция OCR настроена для обнаружения только строк заголовков
приложений, закрытых с помощью трех значков: закрытия, сворачивания и разворачивания. Если
строка заголовка содержит значок, он обычно заменяется знаками вопроса, стоящими перед
распознанным текстом.
3.
Данная форма используется для выбора нескольких протоколов для группы
пользователей и указанной группы устройств. Это значит, что между двумя группами можно
создать несколько авторизаций.
71
RU.33654484.0004-01 91 01
5.2.8.1.2 Удаление авторизации
Для удаления авторизации необходимо на странице «Управление авторизациями»
установить флажки напротив имен требуемых авторизаций и нажать на значок
(«Удалить») (см.
рисунок 56).
5.2.8.2 Меню «Мои разрешения»
При выборе пункта «Мои разрешения» из бокового меню интерфейса администратора,
отображаются сведения о доступных разрешениях доступа (см. рисунок 58).
Рисунок 58 – Просмотр доступных разрешений
Для каждого из этих разрешений отображается следующая информация:
 Статус;
 Кворум;
 Тикет;
 Имя пользователя (имя пользователя СКДПУ);
 Цель (имя или IP-адрес ресурса);
 Начало действия разрешения;
 Окончание действия разрешения;
 Длительность;
 Ответы.
5.2.8.3 Меню «История моих разрешений»
Меню «История моих разрешений» предназначено для отображения перечня доступных
пользователям разрешений для доступа к устройствам и ресурсам (см. рисунок 59).
72
RU.33654484.0004-01 91 01
Рисунок 59 – История моих разрешений
На странице «История моих разрешений» используются аналогичные фильтры, что и в
журнале подключений. Применяются аналогичные ограничения по количеству отображаемых
результатов (см. раздел 5.2.3.2).
5.2.9 Меню «Конфигурация»
Меню «Конфигурация» предназначено для настройки следующих компонентов СКДПУ:
 Периоды времени для доступа пользователей в СКДПУ;
 Процедуры внешней авторизации;
 Управление доменами;
 Уведомления;
 Управление паролями;
 Политика паролей для зарегистрированных пользователей;
 Параметры соединения;
 Настройки СКДПУ;
 Лицензии;
 Шифрование.
5.2.9.1 Меню «Периоды времени»
Страница «Периоды времени» вызывается с помощью пункта «Периоды времени» меню
«Конфигурация», предназначена для добавления, изменения и удаления периодов времени для
доступа пользователей к СКДПУ (см. рисунок 60).
73
RU.33654484.0004-01 91 01
В СКДПУ по умолчанию задан период времени «allthetime» (Постоянно). Он позволяет
пользователям подключаться к целевым устройствам в любое время дня.
П р и м е ч а н и е – Период времени «allthetime» (Постоянно) удалить нельзя.
Рисунок 60 – Периоды времени
Для сохранения данных таблицы в файл необходимо нажать на значок
, расположенный
в правом верхнем углу рабочей области страницы.
5.2.9.1.1 Добавление периода времени доступа
Для добавления временного интервала доступа пользователей в СКДПУ необходимо
нажать на значок
, расположенный в верхнем левом углу рабочей
области страницы «Периоды времени» (см. рисунок 60).
На форме создания периода времени находятся следующие элементы (см. рисунок 61):
 Поле «Имя временного периода» для ввода имени временного периода;
 Поле «Описание» для ввода описания периода;
 Флажок «Не закрывать сессии по окончанию временного периода» для отключения
автоматического отсоединения в конце указанного периода;
 Группу полей «Периоды» для добавления одного или нескольких периодов доступа
пользователя.
Каждый временной период представляет собой календарный период, в течение которого
пользователи могут выполнять вход:
 Между определенными датами (поля «Начинается» и «Заканчивается»;
74
RU.33654484.0004-01 91 01
 Для установки периода, начинающегося с текущего дня установить флажок «Сегодня»;
 В определенные дни недели (флажки «Для этих дней недели»);
 Между определенными часами в каждый авторизованный день (поля «С часа» и «По»).
П р и м е ч а н и е – Время указывается в формате местного времени СКДПУ.
Рисунок 61 – Добавление периода времени
Для сохранения заданного временного периода нажать кнопку «Создать период».
Для загрузки периодов времени из файла необходимо нажать на значок
,
расположенный в правом верхнем углу рабочей области страницы.
Для изменения временного периода необходимо на странице «Периоды времени» перейти
по ссылке имени периода времени, расположенной в столбце «Имя временного периода» (см.
рисунок 60).
Элементы, доступные для изменения на странице «Редактировать временной период»,
аналогичны элементам на странице создания временного интервала, за исключением поля «Имя
временного периода», т.к. имя временного интервала изменить нельзя. Подробное описание
элементов приведено в разделе 5.2.9.1.1.
5.2.9.1.2 Удаление временного периода
Для удаления временного периода необходимо на странице «Периоды времени» установить
флажок напротив имени необходимого периода времени и нажать на значок
рисунок 60 – ).
(«Удалить») (см.
75
RU.33654484.0004-01 91 01
5.2.9.2 Меню «Внешние авторизации»
В СКДПУ можно настроить внешние средства авторизации, которые используются для
авторизации пользователя в СКДПУ.
Локальная авторизация является настройкой в СКДПУ по умолчанию. Она позволяет
пользователям входить в систему с помощью учетных записей СКДПУ.
На странице «Внешние средства авторизации» (см. рисунок 62) можно составлять список,
добавлять, изменять или удалять процедуры внешней авторизации. СКДПУ поддерживает
следующие методы проверки подлинности:
 LDAP;
 LDAPS;
 Active Directory;
 Kerberos;
 Radius;
 TACACS+.
Рисунок 62 – Настройки внешних средств авторизации
5.2.9.2.1 Создание внешней авторизации
Для
создания
внешней
авторизации
необходимо
нажать
на
значок
, расположенный в верхнем левом углу рабочей области страницы
«Внешние средства авторизации» (см. рисунок 63).
76
RU.33654484.0004-01 91 01
Рисунок 63 – Создание внешней авторизации (LDAP)
На форме создания внешней проверки подлинности находятся следующие элементы:
Выпадающий список «Тип авторизации»;
Примечание
– При выборе типа авторизации отображаются обязательные для
заполнения поля. Состав полей различен для разных типов авторизации:
 Имя проверки подлинности в поле «Имя авторизации»;
 Адрес сервера (IP или FQDN) в поле «Сервер»;
 Порт подключения в поле «Порт»;
 Описание в поле «Описание».
Для проверок подлинности LDAP/LDAPS нужно ввести расположение учетной записи в
поле «Base DN (ou=...)» и атрибут подключения. Атрибут подключения должен соответствовать
значению поля, в котором сохранено имя пользователя СКДПУ. Если в каталоге отключен
анонимный доступ «Анонимный доступ», можно добавить имя пользователя и пароль в поля
«Пользователя» и «Пароль» соответственно.
П р и м е ч а н и е – Пользователь должен иметь права на чтение используемой базы DN.
Для
проверок
подлинности
LDAP/AD
используется
атрибут
подключения
sAMAccountName (поле «Атрибут Имя Пользователя»). Поскольку анонимный доступ к Active
Directory невозможен,
для
создания
проверки
подлинности
требуется
учетная
запись
администратора домена.
Для проверок подлинности LDAP/AD указываемое имя пользователя должно быть
значимым именем base-dn: dc=mycompany,dc=ru – базовый dn-суффикс для поиска объекта в
77
RU.33654484.0004-01 91 01
LDAP/AD (поиск объекта производится только в данной ветви дерева и ее потомках) (поле «Base
DN (dc=...)») (см. рисунок 64).
Рисунок 64 – Проверка подлинности LDAP/AD
Для проверок подлинности KERBEROS требуется указать доменное имя (REALM) в поле
«Имя домена» и контроллер домена в поле «Домен контроллер» (см. рисунок 65).
Рисунок 65 – Проверка подлинности KERBEROS
Для проверок подлинности RADIUS требуется указать пакетный ключ проверки
подлинности в поле «Секрет» (см. рисунок 66).
78
RU.33654484.0004-01 91 01
Рисунок 66 – Проверка подлинности Radius
Для проверок подлинности TACACS+ требуется указать пакетный ключ проверки
подлинности в поле «Секрет» (см. рисунок 67).
Рисунок 67 – Проверка подлинности TACACS+
5.2.9.2.2 Изменение внешней авторизации
Для изменения проверки подлинности необходимо на странице «Внешние средства
авторизации» перейти по ссылке имени авторизации, расположенной в столбце «Имя авторизации»
(см. рисунок 62).
Элементы, доступные для изменения на странице «Изменение внешней авторизации»,
аналогичны элементам на странице создания внешней авторизации, за исключением поля «Имя
79
RU.33654484.0004-01 91 01
авторизации», т.к. имя авторизации изменить нельзя. Подробное описание элементов приведено в
разделе 5.2.9.2.1.
5.2.9.2.3 Удаление внешней проверки подлинности
Для удаления внешней проверки подлинности необходимо на странице «Внешние средства
авторизации» установить флажок напротив имени необходимой внешней проверки подлинности и
нажать на значок
(«Удалить») (см. рисунок 62).
5.2.9.3 Меню «Домены LDAP/AD»
В СКДПУ можно указать группу в LDAP и назначить ей группу пользователей СКДПУ для
того, чтобы осуществлять управление пользователями средствами Active Directory, т.о.
управлять/создавать/удалять пользователей в СКДПУ не требуется.
П р и м е ч а н и е – Данный функционал работает только при условии, что создана
внешняя авторизация LDAP!
На странице «Домены LDAP/AD» отображается информация обо всех группах СКДПУ и
соответствующих им группах в Active Directory и пользователях СКДПУ, входящих в группу (см.
рисунок 68).
Рисунок 68 – Домены LDAP/AD
80
RU.33654484.0004-01 91 01
5.2.9.3.1 Добавление домена LDAP/AD
Для добавления сопоставления группы пользователей СКДПУ с группой LDAP/AD
необходимо нажать на значок
, расположенный в верхнем левом углу рабочей
области страницы «Домены LDAP/AD» (см. рисунок 69).
Рисунок 69 – Добавление домена LDAP/AD
На форме добавления домена LDAP/AD находятся следующие элементы:
 Имя создаваемого домена в поле «WAB Domain name»;
 Описание в поле «Описание»;
 Флаг «Домен по умолчанию» для установки параметра по умолчанию и поле ввода имени
домена по умолчанию «Имя домена LDAP/AD»;
 Список внешних авторизаций в группе полей «Внешний LDAP». Управление списком
внешних проверок подлинности осуществляется с помощью кнопок
,
и
,
;
 Атрибут группы в поле «Атрибут группы»;
 Атрибут отображаемого имени в поле «Атрибут DN»;
 Атрибут адреса электронной почты в поле «Атрибут E-mail»;
 Атрибут языка по умолчанию в поле «Атрибут языка»;
 Выпадающий список «Язык по умолчанию» для установки языка по умолчанию;
81
RU.33654484.0004-01 91 01
 Адрес почтового сервера по умолчанию в поле «Почтовый домен по умолчанию»;
 Группа полей «Соотнесение LDAP авторизации», в которой задаются группа
пользователей СКДПУ в поле «Группа пользователей», профиль в поле «Профиль» и группа LDAP
в поле «Группа LDAP» для сопоставления.
5.2.9.3.2 Изменение параметров сопоставления группы пользователей СКДПУ с
группой LDAP/AD
Для изменения параметров сопоставления группы пользователей СКДПУ с группой
LDAP/AD необходимо на странице «Домены LDAP/AD» перейти по ссылке имени домена,
расположенной в столбце «Домен WAB» (см. рисунок 68).
Элементы, доступные для изменения на странице «Редактирование домена», аналогичны
элементам на странице добавления домена LDAP/AD, за исключением поля «WAB Domain name».
Подробное описание элементов приведено в разделе 5.2.9.3.1.
5.2.9.3.3 Удаление сопоставления группы пользователей СКДПУ с группой LDAP/AD
Для удаления сопоставления группы пользователей СКДПУ с группой LDAP/AD
необходимо на странице «Домены LDAP/AD» установить флажок напротив имени необходимого
домена и нажать на значок
(«Удалить») (см. рисунок 68 – ).
5.2.9.4 Меню «Уведомления»
Система СКДПУ позволяет настраивать уведомления. Уведомления запускаются в случае
обнаружения одного из следующих событий:
 Ежедневная отчетность;
 Соединение с критичным аккаунтом на устройстве;
 Сохранение нового отпечатка SSH ключа;
 Плохой отпечаток SSH ключа;
 Оповещения от мониторинга;
 Закончилось место (90%);
 Ошибка RAID;
 Нарушение целостности;
 Совпадение с паттерном в SSH потоке;
 Нет места на внешнем хранилище;
 Совпадение с паттерном в RDP потоке;
82
RU.33654484.0004-01 91 01
 Пароль устарел;
 Отказ первичной авторизации;
 Ошибка вторичного соединения.
Для просмотра списка уведомлений необходимо выбрать пункт «Уведомления» меню
«Конфигурация» (см. рисунок 70).
Рисунок 70 – Управление уведомлениями
5.2.9.4.1 Добавление уведомлений
Для добавления уведомлений необходимо нажать на значок
,
расположенный в верхнем левом углу рабочей области страницы «Уведомления» (см. рисунок 71).
83
RU.33654484.0004-01 91 01
Рисунок 71 – Добавление оповещения
На форме добавления уведомления находятся следующие элементы:
 Имя уведомления (поле «Название оповещения»);
 Описание (поле «Описание»);
 Флажки для включения отправки уведомлений для перечисленных выше событий (см.
5.2.9.4);
 Адрес электронной почты получателя (поле «Еmail получателя»).
П р и м е ч а н и е – Для настройки параметров электронной почты, перейдите на страницу
«Почтовый сервер» (см. раздел 5.2.10.9).
5.2.9.4.2 Изменение уведомления
Для изменения уведомления необходимо на странице «Уведомления» перейти по ссылке
имени уведомления, расположенной в столбце «Имя» (см. рисунок 70).
Элементы, доступные для изменения на странице «Редактировать оповещение»,
аналогичны элементам на странице создания уведомления, за исключением поля «Название
84
RU.33654484.0004-01 91 01
оповещения», т.к. имя название оповещения изменить нельзя. Подробное описание элементов
приведено в разделе 5.2.9.4.1.
5.2.9.4.3 Удаление уведомления
Для удаления уведомления необходимо на странице «Уведомления» установить флажок
напротив имени необходимого уведомления и нажать на значок
(«Удалить») (см. рисунок 70).
5.2.9.5 Меню «Локальная политика паролей»
Политика паролей устанавливает набор правил для хранения локальных паролей.
По умолчанию минимальная длина пароля составляет шесть символов; последние четыре
пароля нельзя использовать повторно; пароль не должен совпадать с именем пользователя.
По умолчанию на страницу «Локальная политика паролей» добавлен список запрещенных
простых паролей.
При настройке политики паролей также настраивается срок действия пароля.
Для настройки политики паролей необходимо выбрать пункт «Локальная политика
паролей» меню «Конфигурация» (см. рисунок 72).
Для
изменения
локальной
политики
паролей
необходимо
нажать
на
значок
, расположенный в верхнем левом углу рабочей области страницы
«Локальная политика паролей».
Рисунок 72 – Управление локальной политикой паролей
На форме управления локальной политикой паролей находятся следующие элементы:
85
RU.33654484.0004-01 91 01
 Период действия пароля в днях (поле «Устаревание пароля»). По истечении
установленного периода администратор должен определить новые учетные данные, а пользователи
не смогут выполнить вход с помощью существующего пароля. В качестве значения периода
рекомендуется выбрать срок, не превышающий один год;
 Период предупреждения пользователя о количестве дней, оставшихся до истечения срока
действия пароля (поле «Показывать предупреждение пользователю»);
 Минимальная длина пароля (поле «Минимальная длина пароля»). Значение должно
превышать сумму других ограничений длины пароля;
 Максимальное количество допустимых ошибок ввода пароля (поле «Макс. Число ошибок
авторизации для пользователя»);
 Минимальное количество символов в пароле (поле «Минимальное число символов»);
 Минимальное количество символов в верхнем регистре (поле «Минимальное число
больших букв»). Рекомендуется как минимум 2;
 Минимальное количество цифр в пароле (поле «Минимальное число цифр»).
Рекомендуется как минимум 2;
 Количество предыдущих паролей, которые нельзя использовать повторно (поле «Число
ранних паролей для контроля»). Рекомендуется как минимум 5;
 Флажок «Имя пользователя и пароль могут совпадать», разрешающий или запрещающий
пароли, совпадающие с именем пользователя. Рекомендуется запретить;
 Файл со списком запрещенных паролей.
П р и м е ч а н и е – Список запрещенных паролей допускается загружать только из файла
в формате UTF-8.
5.2.9.6 Меню «Параметры соединения»
Страница «Параметры соединения» предназначена для настройки языка сообщений для
пользователей по умолчанию. В поля вводится текст сообщения, отображаемого во время входа
пользователя на прокси-серверы (см. рисунок 73).
86
RU.33654484.0004-01 91 01
Рисунок 73 – Настройки языка сообщений
5.2.9.7 Меню «Настройки»
Меню «Настройки» предназначено для управления настройками СКДПУ.
На странице «Настройки» отображается перечень настроек СКДПУ (см. рисунок 74):
 Настройки внешнего хранилища (External vault);
 Настройки пользовательского интерфейса (GUI);
 Настройки регистрации системных событий (Logger);
 Настройки продукта (OEM);
 Настройки RDP (RDP proxy);
 Настройки записи сессий RDP (RDP proxy sesman);
 Настройки SSH (SSH proxy);
 Системные настройки (WAB Engine);
 Настройки сервисов (WAB Watchdog).
Примечание
– Для выполнения операций по настройке СКДПУ необходима
квалификация Системного администратора!
Для редактирования настроек СКДПУ необходимо перейти по ссылке названия настройки,
расположенной в столбце «Настройки» (см. рисунок 74).
87
RU.33654484.0004-01 91 01
Рисунок 74 – Настройки СКДПУ
5.2.9.7.1 Настройки внешнего хранилища
Страница «External vault» предназначена для управления настройками внешнего
хранилища (см. рисунок 75).
Рисунок 75 – Настройки внешнего хранилища
Для каждой настройки на форме редактирования приведено описание и пример заполнения.
Для отображения полного перечня настроек необходимо установить флажок «Сложные
настройки».
88
RU.33654484.0004-01 91 01
5.2.9.7.2 Настройки интерфейса
Страница «GUI» предназначена для управления настройками интерфейса СКДПУ (см.
рисунок 76).
Для каждой настройки на форме редактирования приведено описание, формат данных и
пример заполнения.
Для отображения полного перечня настроек необходимо установить флажок «Сложные
настройки».
Рисунок 76 – Настройки интерфейса
5.2.9.7.3 Настройки регистрации событий
Страница «Logger» предназначена для настройки параметров регистрации системных
событий СКДПУ (см. рисунок 77).
Для каждой настройки на форме редактирования приведено описание и пример заполнения.
Для отображения полного перечня настроек необходимо установить флажок «Сложные
настройки».
89
RU.33654484.0004-01 91 01
Рисунок 77 – Настройки регистрации событий
5.2.9.7.4 Настройки продукта
Страница «OEM» предназначена для настройки информации о продукте: логотипа,
названия продукта и т.д. (см. рисунок 78).
Рисунок 78 – Настройки продукта
90
RU.33654484.0004-01 91 01
5.2.9.7.5 Настройки RDP
Страница «RDP proxy» предназначена для конфигурирования параметров соединения по
протоколу RDP (см. рисунок 79 – ).
Для каждой настройки на форме редактирования приведено описание, формат данных и
пример заполнения.
Для отображения полного перечня настроек необходимо установить флажок «Сложные
настройки».
Рисунок 79 – Настройки RDP
5.2.9.7.6 Настройки записи сессий RDP
Страница «RDP proxy sesman» предназначена для управления настройками записи сеансов
по протоколу RDP (см. рисунок 80).
Для каждой настройки на форме редактирования приведено описание, формат данных и
пример заполнения.
Для отображения полного перечня настроек необходимо установить флажок «Сложные
настройки».
91
RU.33654484.0004-01 91 01
Рисунок 80 – Настройки записи сессий RDP
5.2.9.7.7 Настройки SSH
Страница «SSH proxy» предназначена для управления настройками соединения по
протоколу SSH (см. рисунок 81).
Для каждой настройки на форме редактирования приведено описание, формат данных и
пример заполнения.
Для отображения полного перечня настроек необходимо установить флажок «Сложные
настройки».
92
RU.33654484.0004-01 91 01
Рисунок 81 – Настройки SSH
5.2.9.7.8 Системные настройки
Страница «WAB Engine» предназначена для управления системными настройками СКДПУ
(см. рисунок 82).
Для каждой настройки на форме редактирования приведено описание, формат данных и
пример заполнения.
Для отображения полного перечня настроек необходимо установить флажок «Сложные
настройки».
93
RU.33654484.0004-01 91 01
Рисунок 82 – Системные настройки
5.2.9.7.9 Настройки сервисов
Страница «WAB Watchdog» предназначена для управления параметрами сервисов (см.
рисунок 83).
Для каждой настройки на форме редактирования приведено описание, формат данных и
пример заполнения.
Для отображения полного перечня настроек необходимо установить флажок «Сложные
настройки».
94
RU.33654484.0004-01 91 01
Рисунок 83 – Настройки сервисов
5.2.9.8 Меню «Лицензия»
Меню «Лицензия» предназначено для просмотра информации о текущей лицензии СКДПУ,
а также для обновления лицензии.
На странице «Лицензия» в разделе «Свойства лицензии» приведена основная информация
о текущей лицензии (см. рисунок 84).
Механизмы лицензирования выполняют следующие проверки:
 Количество целевых устройств и приложений, которые доступны для добавления;
 Максимальное количество одновременных уникальных основных подключений;
 Максимальное количество одновременных дополнительных подключений;
 Дата истечения срока действия лицензии.
Для обновления лицензии необходимо в разделе «Обновление лицензии» внести
лицензионный ключ в текстовое поле и нажать кнопку «Обновить лицензию».
95
RU.33654484.0004-01 91 01
Рисунок 84 – Лицензия
Ключ лицензии предоставляется Исполнителем в рамках договора поставки. Для получения
лицензии необходимо предоставить Исполнителю серийный номер устройства и все MAC-адреса
сетевых плат.
Ключ лицензии вводится в СКДПУ через веб-интерфейс.
Управление ключом лицензии доступно также из командной строки (корневого меню):
Для ввода номера нового лицензионного ключа необходимо выполнить команду:
wab2:~# WABSetLicence <New license number>
Для отображения сведений о лицензии необходимо выполнить команду:
wab2:~# WABGetLicence
5.2.9.9 Меню «Шифрование»
Меню «Шифрование» предназначено для просмотра информации о действующем
механизме шифрования СКДПУ.
На странице «Шифрование» в разделе «Шифрование данных на SKDPU» приведена
основная информация о текущем механизме шифрования данных (см. рисунок 85).
На странице «Шифрование» также отображается статус работы системы шифрования
СКДПУ.
96
RU.33654484.0004-01 91 01
Рисунок 85 – Шифрование
5.2.9.10 Меню «Собственный аудит»
При выборе пункта «Собственный аудит» из бокового меню интерфейса администратора,
отображаются последние 100 сообщений из журнала о работе СКДПУ (см. рисунок 86).
Для сохранения системного журнала необходимо нажать на значок
.
97
RU.33654484.0004-01 91 01
Рисунок 86 – Собственный аудит
5.2.10 Меню «Система»
Меню «Система» предназначено для ввода информации о конфигурации СКДПУ.
5.2.10.1 Меню «Статус»
При выборе пункта «Статус» из бокового меню интерфейса администратора, отображается
общая информация о системе, включая следующие сведения (см. рисунок 87):
 Количество текущих подключений;
 Коэффициент использования ОЗУ;
 Коэффициент использования SWAP.
П р и м е ч а н и е – Коэффициент использования ОЗУ не отображает системы буферов.
98
RU.33654484.0004-01 91 01
Рисунок 87 – Статус работы СКДПУ
5.2.10.2 Меню «Syslog»
При выборе пункта «Syslog» из бокового меню интерфейса администратора, отображаются
последние 100 сообщений из журнала о работе СКДПУ или использовании интерфейса
администрирования (см. рисунок 88), которые содержатся в файле /var/log/syslog.
Для
сохранения
.
системного
журнала
необходимо
нажать
на
значок
99
RU.33654484.0004-01 91 01
Рисунок 88 – Системный журнал
5.2.10.3 Меню «Отчет по запуску»
При выборе пункта «Отчет по запуску» из бокового меню интерфейса администратора,
отображается информация журнала запуска системы dmesg, которая содержится в файле
/var/log/boot (см. рисунок 89).
Для
сохранения
журнала
.
сообщений
необходимо
нажать
на
значок
100
RU.33654484.0004-01 91 01
Рисунок 89 – Просмотр содержимого файла журнала сообщений
5.2.10.4 Меню «Сеть»
Для настройки параметров сети необходимо выбрать пункт «Сеть» меню «Система» (см.
рисунок 90).
101
RU.33654484.0004-01 91 01
Рисунок 90 – Параметры сети
На форме управления настройками параметров сети доступны для изменения следующие
элементы:
 Имя хоста (поле «Имя хоста»);
 Конфигурация сетевых интерфейсов в группе полей «Интерфейсы»:
 Параметр активации сетевых интерфейсов (флажки «Имя интерфейса»);
 параметр использования сетевого протокола DHCP (выпадающий список DHCP);
 IP-адрес сетевого интерфейса (поле «IP адрес»);
 Маска подсети (поле «Маска сети»);
 Шлюз (поле «Шлюз»).
 Маршруты в группе полей «Маршруты» со следующими атрибутами:
 Сеть (поле «Сеть»);
 Маска подсети (поле «Маска сети»);
 Шлюз (поле «Шлюз»).
Для добавления маршрута в список необходимо нажать на значок
удаления маршрута из списка нажать на значок
(Добавить). Для
(Удалить).
 Записи в файл «etc/hosts» в группе полей «etc/hosts» со следующими атрибутами:
102
RU.33654484.0004-01 91 01
 Имя хоста (поле «Имя хоста»);
 IP-адрес устройства (поле «IP»);
Для добавления записи в файл hosts в список необходимо нажать на значок
Для удаления записи в файл hosts из списка нажать на значок
(Добавить).
(Удалить).
 Серверы DNS в группе полей «DNS» со следующими атрибутами:
 Имя домена (поле «Доменное имя»);
 Список DNS серверов. Для добавления списка необходимо нажать на значок
(Добавить). Для удаления списка нажать на значок
(Удалить).
П р и м е ч а н и е – Перед изменением IP-адреса СКДПУ, используемого для связи с
файловым сервером (с удаленным хранилищем), рекомендуется отключить удаленное хранилище и
после изменения адреса включить его повторно (см. раздел 5.2.10.6).
5.2.10.5 Меню «Сервис времени»
Страница «Сервис времени» предназначена для настройки службы времени, это особенно
важно, поскольку:
 Дата и время СКДПУ должны быть синхронизированы с серверами проверки
подлинности Kerberos;
 СКДПУ является эталонной системой времени для данных аудита и управления
периодами времени доступа пользователей.
Для настройки сервиса времени необходимо выбрать пункт «Сервис времени» меню
«Система» (см. рисунок 91).
103
RU.33654484.0004-01 91 01
Рисунок 91 – Управление настройками службы времени (NTP)
На форме управления настройками службы времени доступны для изменения следующие
элементы:
 Выпадающий список часовых поясов («Таймзона»);
 Выпадающий список «Статус» (доступны следующие значения: включено или
выключено);
 Список NTP серверов. Для добавления списка необходимо нажать на значок
(Добавить). Для удаления списка нажать на значок
(Удалить).
5.2.10.6 Меню «Удаленное хранилище»
Страница «Удаленное хранилище» предназначена для переноса видеозаписей сеансов во
внешнюю файловую систему.
Для управления удаленным хранилищем записей сеансов необходимо выбрать пункт
«Удаленное хранилище» меню «Система» (см. рисунок 92).
П р и м е ч а н и е – В случае если в СКДПУ уже были сделаны видеозаписи, при активации
удаленного хранилища они будут скрыты, но после отключения удаленного хранилища они снова
будут отображены.
104
RU.33654484.0004-01 91 01
Рисунок 92 – Управление удаленным хранилищем записей сеансов
В качестве удаленного репозитория поддерживаются файловые системы CIFS и NFS.
Для каждой из вышеперечисленных файловых систем в необходимо указать следующие
данные:
 IP-адрес или FQDN файлового сервера (поле «Дом. Имя или IP сервера»;
 Номер порта удаленной службы (поле «Номер порта»);
 Путь к удаленному каталогу для хранения данных (поле «Путь»).
Для CIFS необходимо также указать следующие данные:
 Имя пользователя для доступа к удаленной службе (поле «Пользователь»);
 Пароль (поле «Пароль»).
Кнопка «Включить» используется для подключения файловой системы.
5.2.10.7 Меню «Интеграция с SIEM»
Для перенаправления журналов Syslog для хранения на другом устройстве необходимо
выбрать пункт «Интеграция с SIEM» меню «Система» (см. рисунок 93).
Страница «Интеграция с SIEM» предназначена для перенаправления журналов Syslog на
другое сетевое устройство.
Журналы отправляются по выбранному IP-адресу (поле «Доменное имя или IP»), порту
(поле «Порт») и протоколу (выпадающий список «Протокол»), сохраненным в локальной файловой
системе.
105
RU.33654484.0004-01 91 01
Для включения/отключения перенаправления журналов Syslog на другое устройство
необходимо выбрать значение включено/выключено из выпадающего списка «Роутинг».
Рисунок 93 – Управление маршрутизацией с помощью протокола Syslog
5.2.10.8 Меню «SNMP»
В состав СКДПУ входит встроенный агент SNMP со следующими свойствами (см.
рисунок 94):
 Поддерживаемая версия протокола: 2c;
 Реализованная база MIB: MIB 2;
 Без механизмов оповещений (о ловушках) или уведомлений;
 Без списка ACL в исходном IP-адресе;
 Доступная команда SNMP: get, getbulk.
Заводская конфигурация имеет следующий вид:
 Имя системы (поле «Название системы»): WAB v2;
 Адрес электронной почты для уведомлений (поле «Контактная информация»):
root@yourdomain;
 Расположение (поле «Расположение»): yourlocation;
 Описание системы (поле «Описание»);
 Статус подключения агента (выпадающий список «Статус»), по умолчанию агент
отключен.
106
RU.33654484.0004-01 91 01
Рисунок 94 – Настройка протокола сетевого управления
П р и м е ч а н и е – Агент SNMP включается только через веб-интерфейс пользователя!
Пример использования агента приведен на рисунок 95.
Рисунок 95 – Пример использования агента SNMP
5.2.10.9 Меню «Почтовый сервер»
Страница «Почтовый сервер» предназначена для настройки или изменения конфигурации
почтового сервера для отправки уведомлений СКДПУ (см. рисунок 96).
107
RU.33654484.0004-01 91 01
Рисунок 96 – Настройка протокола передачи почты
На форме управления настройками сервера для отправки сообщений электронной почты
доступны для изменения следующие элементы:
 Имя сервера (поле «Сервер»);
 Порт сервера (поле «Порт»), порт по умолчанию: 25;
 Имя отправителя (поле «Имя отправителя»);
 Адрес отправителя (поле «Адрес отправителя»);
 Имя пользователя и пароль (поля «Пользователь» и «Пароль» соответственно) – не
обязательны для заполнения;
 Для проверки настроек введите один или несколько адресов назначения в поле ввода
«Адрес получателя для проверки» и нажмите кнопку «Проверка».
Для сохранения настроек почтового сервиса необходимо нажать кнопку «Применить».
5.2.10.10 Меню «Управление сервисами»
Страница «Управление сервисами» предназначена для включения/выключения сервисов
(см. рисунок 97 – ).
108
RU.33654484.0004-01 91 01
Рисунок 97 – Управление сервисами
5.2.10.11 Меню «Резервные копии»
Страница «Резервные копии» предназначена для настройки резервного копирования или
восстановления копии конфигурации СКДПУ (см. рисунок 98).
Каждая резервная копия защищена 16-значным паролем. Перед восстановлением копии
необходимо узнать ее пароль.
Для создания резервной копии необходимо ввести пароль в поле «Ключ» и подтвердить
введенное значение в поле «Подтверждение ключа» и нажать кнопку «Создать».
Для восстановления СКДПУ из резервной копии необходимо ввести пароль в поле «Ключ»,
выбрать файл для выгрузки резервной копии с помощью кнопки «Обзор…» и нажать кнопку
«Восстановить».
109
RU.33654484.0004-01 91 01
Рисунок 98 – Сохранение и восстановление конфигурации СКПДУ
П р и м е ч а н и я:
1.
Функция резервного копирования и восстановления не используется для сохранения
данных аудита.
2.
Все данные, измененные или добавленные после создания резервной копии, будут
потеряны при восстановлении из резервной копии.
Администратор будет автоматически выведен из СКДПУ. Администратор должен
повторно войти в СКДПУ под одной из учетных записей, сохраненных в резервной копии и
отличающейся от тех учетных записей, которые находились в системе до выполнения операции
резервного копирования или восстановления.
5.2.11 Меню «Импорт/Экспорт»
Страница «Импорт/Экспорт» предназначена для загрузки объектов в СКДПУ из файлов в
формате CSV, выгрузки объектов из СКДПУ в файл в формате CSV, а также импорта пользователей
из LDAP(S)/AD.
5.2.11.1 Меню «CSV»
Для импорта/экспорта в формате CSV доступны следующие объекты СКДПУ (см.
рисунок 99):
 Пользователи;
 Группы пользователей;
110
RU.33654484.0004-01 91 01
 Глобальные домены;
 Устройства;
 Приложения;
 Кластеры;
 Аккаунты;
 Группы ресурсов;
 Авторизации;
 Ограничения;
 Профили;
 Периоды времени;
 Внешние средства авторизации (только экспорт);
 Домены LDAP/AD;
 Уведомления.
Рисунок 99 – Настройки импорта/экспорта в формате CSV
В разделе «Настройки импорта/экспорта» выбрать из выпадающих списков «Разделитель
полей» и «Разделитель списка» требуемый для разделения данных символ.
Для импорта объекта необходимо установить флажок напротив названия требуемого
объекта в поле «Type data», в разделе «Импорт» нажать кнопку «Обзор…» и выбрать требуемый
для загрузки файл, затем нажать кнопку «Импорт».
111
RU.33654484.0004-01 91 01
Для экспорта объекта необходимо установить флажок напротив названия требуемого
объекта в поле «Type data», в разделе «Экспорт» с помощью переключателя выбрать тип архива, в
который требуется выгрузить данные, нажать кнопку «Экспорт».
5.2.11.1.1 Импорт пользователей из файла в формате CSV.
Для заполнения базы данных пользователей СКДПУ может быть использован файл в
формате CSV.
П р и м е ч а н и е – файл должен обязательно начинаться со строки, содержащей
следующий тэг #wab31.
Если этот тэг отсутствует, то формат файла должен соответствовать формату СКДПУ
версии 3.0, что обеспечит совместимость с файлами, созданными для ранних версий СКДПУ.
Каждая последующая строка в файле должна содержать следующие атрибуты учетной
записи пользователя (см. таблица 2 –), перечисленные через «;».
Т а б л и ц а 2 – Атрибуты учетной записи пользователя
Наименование атрибута
Тип
Обязательный
атрибут
Допустимые значения
Имя пользователя
Текст
Да
[A - Z], [a - z],[0 - 9], <_>
Имя группы
Текст
Нет
[A - Z], [a - z],[0 - 9], <_>
Отображаемое имя
Текст
Нет
Произвольный текст
IP-адрес для ограничения доступа к
прокси-серверам
IP/FQDN
Нет
[A - Z], [a - z],[0 - 9], <_>
Профиль
Текст
Да
Определенные профили
Процедура проверки подлинности
Текст
Да
Определенные проверки
подлинности
Открытый ключ SSH
Текст
Нет
[A - Z], [a - z],[0 - 9], <_>
Пароль
Текст
Да/Нет
Произвольный текст
Примечания:
1) Пароль требуется указывать в случае, если проверка подлинности определена в качестве локальной
проверки подлинности;
2) В случае, если указанная группа пользователей не существует, то она создается с периодом времени,
заданным по умолчанию со значением «allthetime» («Постоянно»).
Например,
#wab31
martin;linuxadmins;Pierre Martin;;user;local;;jMpdu9/x2z
После импортирования атрибутов учетных записей пользователей из файла, в СКДПУ
отображается сводный отчет, содержащий следующие данные:
 дата и время импорта;
 общее количество прочтенных строк в файле;
 количество строк, соответствующих синтаксису;
112
RU.33654484.0004-01 91 01
 количество пользователей, фактически созданных во внутренней базе данных СКДПУ;
 количество отклоненных строк.
Для каждой отклоненной строки отправляется сообщение об ошибке.
5.2.11.1.2 Импорт устройств и учетных записей из файла в формате CSV
Страница «Импорт/Экспорт» используется для импорта устройств и целевых учетных
записей, сохраненных ранее в виде файла в формате CSV.
Описания устройств и учетных записей должны быть расположены в двух отдельных
файлах; каждая строка, которого имеет конкретный формат. Каждая строка этих файлов является
описанием целевого устройства или целевой учетной записи.
П р и м е ч а н и е – Процесс импорта состоит из двух этапов: сначала импортируются
устройства, а затем — целевые учетные записи (изначально должно существовать устройство,
связанное с каждой учетной записью).
Файл должен начинаться со строки, содержащей тэг #wab31
Если этот тэг отсутствует, то формат файла должен соответствовать формату СКДПУ
версии 3.0, что обеспечит совместимость с файлами, созданными для ранних версий СКДПУ.
Каждая последующая строка в файле должна содержать следующие атрибуты целевого
устройства (см. таблица 3 –).
Т а б л и ц а 3 – Атрибуты целевого устройства
Описание атрибута
Тип
Обязательный
атрибут
Допустимые значения
Наименование устройства
Текст
Да
[A - Z], [a - z],[0 - 9], <_>
Псевдоним устройства
Текст
Нет
[A - Z], [a - z],[0 - 9], <_>
Описание
Текст
Нет
Произвольный текст
IP-адрес целевого устройства
IP/FQDN
Да
[A - Z], [a - z],[0 - 9], <_>
Service/Protocol/Port/Subprotocol
Текст
Да
NAME/PROTOCOL/N*/SUBPROTOCOL*
где NAME - произвольный текст;
PROTOCOL - Имя протокола (см. в
примечании);
N* - необязательный номер порта;
SUB-PROTOCOL* - Необязательное
имя подпротокола (см. в
примечании)
Примечания:
1) PROTOCOL – может иметь одно из следующих значений: SSH, TELNET, RLOGIN, RDP, VNC
2) SUB-PROTOCOL: Для SSH: одно из следующих значений: SSH_SHELL_SESSION,
SSH_REMOTE_COMMAND, SSH_SCP_UP, SSH_SCP_DOWN, SSH_X11_SESSION, SFTP_SESSION. Если
значение SUB-PROTOCOL не указано, добавляются все подпротоколы. Значение для других протоколов
точно совпадает со значением PROTOCOL и может быть пропущено;
Service/Protocol/Port/Sub-Protocol может содержать несколько значений, разделенных пробелом.
Пример:
113
RU.33654484.0004-01 91 01
#wab31
asterix;intranet;"Intranet server";192.168.0.10;ssh_22/ssh/22/ssh_shell_session
obelix;mail1;"Exchange server";192.168.0.11;telnet_23/telnet/23 rdp_1/rdp/3389
Каждая строка в файле должна содержать следующие атрибуты целевой учетной записи
пользователя (см. таблица 4 –).
Т а б л и ц а 4 – Атрибуты целевой учетной записи
Описание атрибута
Тип
Обязательный
атрибут
Допустимые значения
Имя учетной записи
Текст
Да
[A - Z], [a - z],[0 - 9], <_>
Имя группы целевых учетных
записей
Текст
Нет
[A - Z], [a - z],[0 - 9], <_>
Описание
Текст
Нет
Произвольный текст
Пароль
IP/FQDN
Да
[A - Z], [a - z],[0 - 9], <_>
Примечание – создавать целевые учетные записи при отключенной функции «Secondary auto logon» нельзя.
Пример:
#wab31
root@asterix;linux;"Root account";SecurePassword adminlinux@asterix;linux;
"Compte pour la connexion sans droits";plO@56zZ
5.2.11.1.3 Импорт авторизаций из файла в формате CSV
Каждая строка в файле должна содержать атрибуты авторизации (см. таблица 5 –).
Т а б л и ц а 5 – Атрибуты авторизации
Описание атрибута
Тип
Обязательный
атрибут
Допустимые значения
Имя группы пользователей
Текст
Да
[A - Z], [a - z],[0 - 9], <_>
Имя группы целевых устройств
Текст
Да
[A - Z], [a - z],[0 - 9], <_>
Протокол
Текст
Да
SSH SHELL SESSION,
SSH_REMOTE_COMMAND,
SSH_SCP_UP,
SSH SCP DOWN,
SSH X11 SESSION, TELNET,
RLOGIN, RDP, VNC
Пример:
#wab31
group_users1;group_devices1;SSH_SHELL_SESSION
После импорта файла CSV отображается сводный отчет.
5.2.11.2 Меню «Импорт пользователей из каталога LDAP/LDAPS/Active Directory»
Для заполнения внутренней базы данных LDAP СКДПУ могут быть использованы данные,
хранящиеся в удаленном каталоге.
114
RU.33654484.0004-01 91 01
Атрибуты для импорта пользователей из каталога заполняются в разделе «Импортировать
из LDAP или AD» на странице «Импорт/Экспорт» (см. рисунок 100).
Рисунок 100 – Импорт из удаленного каталога
Для каждого каталога должна быть заполнена следующая информация:
 Тип сервера, его адрес и порт подключения (в полях «Тип сервера», «Сервер», «Порт»);
 Расположение учетной записи (в поле «Base DN (dc=…));
 Атрибут подключения, т.е. данные пользователя, которые будут применяться для имени
пользователя СКДПУ (в поле «Атрибут Имя Пользователя»);
 Имя пользователя и пароль, если к каталогу ограничен доступ для чтения (обязательно
для AD) (в полях «Пользователь» и «Пароль»).
П р и м е ч а н и е – Имя пользователя и пароль, использующиеся для входа в систему,
должны иметь права на чтение пути к файлу, где сохранены данные пользователя.
В случае успешного выполнения операции импорта откроется новая страница со списком
пользователей, загруженных из каталога.
После загрузки пользователя из каталога необходимо назначить ему:
 Группу пользователей;
 Процедуру проверки подлинности;
 Профиль пользователя.
П р и м е ч а н и е – Если необходимо, чтобы импортированные пользователи прошли
проверку подлинности для каталога, используемого для импорта, сначала необходимо создать
метод проверки подлинности (см. раздел 5.2.9.2.1).
115
RU.33654484.0004-01 91 01
6 ОСНОВЫ РАБОТЫ
6.1 Использование командной строки для подключения к СКДПУ
Программа SSH, прослушивающая порт 2242, позволяет подключаться к оболочке
администрирования.
Для подключения к оболочке администрирования необходимо авторизоваться под
учетными данными, заданными по умолчанию: имя пользователя «wabadmin» и пароль
«SecureWabAdmin». После первого входа требуется сменить пароли доступа.
Учетная запись «wabadmin» находится в списке «sudoers». Команда sudo-i используется
для доступа к корневому меню с помощью пароля учетной записи «wabadmin».
В корневом меню можно воспользоваться набором сценариев, предназначенных для
управления ежедневной работой СКДПУ.
П р и м е ч а н и е – При первом подключении рекомендуется изменить пароль учетной
записи «wabadmin».
6.2 Экспорт данных аудита
Для экспорта данных аудита с помощью командной строки необходимо воспользоваться
сценарием «WABSessionLogExport» (см. раздел 5.2.3.2):
wab2:~# /opt/wab/bin/WABSessionLogExport -h Usage:
WABSessionLogExport [options]
Options:
-h,
--help
show this help message and exit
-s STARTDATE, --start_date=START_DATE
Should be like this: YYYY-MM-DD
-e END_DATE, --end_date=END_DATE
Should be like this: YYYY-MM-DD
Данная команда предназначена для создания файла в формате ZIP, сохраненного в каталоге
/var/wab/recorded/export_sessions
и
содержащего
следующую
информацию
определенного периода:
 все сеансы SSH и RDP;
 файл CSV с экспортом просмотренных данных из журнала подключений.
для
116
RU.33654484.0004-01 91 01
6.3 Резервное копирование и восстановление из командной строки
Для выполнения операций резервного копирования и восстановления из командной строки
необходимо воспользоваться сценариями «config-backup.py» и «config-restore-.py»
117
RU.33654484.0004-01 91 01
Сценарий «config-backup.py»:
wab2:~# /opt/skdpu/scripts/config-backup.py -h Usage:
config-backup.py [options]
Options:
-h,
--help
show this help message and exit
-d DIRECTORY, --directory=DIRECTORY
Directory where you want to store your backup,
-s,
--sdcard
Set this option to store the Backup in the sdcard.
-a,
--aes
Set this option force use of AES256 instead of Gpg
symmetric cipher.
-b,
--blowfish
Set this option force use of Blowfish instead of
Gpg symmetric cipher.
Сценарий «config-restore-.py»:
wab2:~# /opt/skdpu/scripts/ config-restore.py –h
Usage: config-restore.py [options]
Options:
-h,
--help
show this help message and exit
-f FILENAME, --file=FILENAME
Provide full path of Backup file (.wbk).
-s, --sdcard
Enter in interactive mode to select file on
SDcard.
-a, --aes
Set this option force use of AES256 instead of Gpg
symmetric cipher.
-b, --blowfish
Set this option force use of Blowfish instead of
Gpg symmetric cipher.
Где:
DIRECTORY — это путь к каталогу, в котором будет создан файл резервной копии.
-s используется для создания копии на внешнем диске (sdcard или USB).
-a и -b обычно не используются.
FILENAME — это путь к файлу резервной копии.
-s используется для восстановления с внешнего диска (sdcard или USB).
-a и -b обычно не используются.
118
RU.33654484.0004-01 91 01
6.4 Настройка автоматического резервного копирования
В СКДПУ реализована функция автоматического резервного копирования, настроенная в
задаче «Cron». По умолчанию резервное копирование выполняется ежедневно в 18:50, и файлы
сохраняются в каталоге /var/wab/backups.
Чтобы изменить время и частоту операций резервного копирования в файле
/etc/cron.d/wabcore, нужно изменить строку, запускающую команду «WABExcuteBackup». Поля
являются полями «Crontab», а именно MINUTE, HOUR, DAY_OF_MONTH, MONTH и
DAY_OF_WEEK.
В каждом поле допускается ввести следующие значения:
 MINUTE: 0 – 59;
 HOUR: 0 – 23;
 DAY_OF_MONTH: 1 – 31;
 MONTH: 1 – 12;
 DAY_OF_WEEK: 0 – 7 (0 или 7 для воскресенья).
В каждом поле также можно использовать символ «*», соответствующий всем возможным
значениям. Разрешается использование списков, значения в которых разделяются запятыми, и
интервалов с дефисом. Например: 1, 2, 5 - 9, 12 - 15, 21.
Можно также изменить путь и значение ключа. Для этого нужно изменить файл
/opt/wab/bin/WABEx-cuteBackup и значения «DIR» и «KEY» в начале файла.
6.5 Анализ потоков SSH. Обнаружение шаблонов
При создании и изменении групп можно включить или отключить возможность
обнаружения шаблонов в восходящих потоках SSH (анализируемые данные — это данные,
введенные пользователем).
В список примененных шаблонов входят шаблоны, используемые группой пользователей
и группой целевых учетных записей. Связанное действие имеет наибольшую степень ограничения
(если в одной из групп находится действие «KILL», оно будет выбрано).
Действия следует вводить в виде регулярных выражений, допускается одно исключение на
строку.
Например, чтобы убедиться в том, что файлы не удалены, необходимо ввести следующие
выражения:
unlink\s+.*
rm\s+.*
119
RU.33654484.0004-01 91 01
6.6 Анализ потоков RDP. Обнаружение шаблонов
При создании или изменении групп можно включить или отключить возможность
обнаружения шаблонов для протокола RDP в восходящих потоках (анализируемые данные – это
данные, введенные пользователем) и/или в строках заголовков окон (анализируемые данные – это
данные, которые отображаются на экране).
В список примененных шаблонов входят шаблоны, используемые группой пользователей
и группой целевых учетных записей. Связанное действие имеет наибольшую степень ограничения
(если в одной из групп находится действие «KILL», оно будет выбрано).
Действия следует вводить в виде регулярных выражений, допускается одно исключение на
строку. Кроме того, при анализе шаблонов учитывается регистр.
Например, выражение с префиксом $kbd: будет соответствовать только вводу с
клавиатуры.
Выражение с префиксом $ocr: или без какого-ибо префикса будет соответствовать только
заголовкам активных окон (но не строкам неактивных окон).
Выражение с префиксом $kbd-ocr: или $ocr-kbd: будет соответствовать вводу с
клавиатуры и строкам заголовка активных окон.
Например, чтобы пользователь не мог удалить файлы из командной строки (cmd.exe), в
поле «Правила» необходимо ввести следующие выражения:
$kbd:del\s+.*
$kbd:erase\s+.*
Для того, чтобы не дать пользователю запустить командную строку, необходимо
использовать шаблон:
$ocr:Командная строка
$ocr:.*\\cmd.exe
П р и м е ч а н и е – Если настроен разрыв сессии при появлении в потоке какого-либо
шаблона, пользователи не смогут продолжить работу в сессии, пока окно, указанное в шаблоне, не
будет закрыто, или его заголовок не поменяется. При попытке повторно зайти в сессию
пользователи будут автоматически от нее отключаться.
6.7 Сценарий подключения по протоколу «TELNET»
При создании целевого устройства из командной строки можно определить сценарий
подключения (см. раздел 5.2.5.2.2).
120
RU.33654484.0004-01 91 01
Этот
сценарий
можно
использовать
для
интерпретации
команд,
отправленных
интерактивной оболочкой, и для автоматизации входа.
Сценарий должен быть написан на псевдоязыке, его синтаксис состоит из следующих
компонентов:
 SEND: отправка строки символов;
 EXPECT: ожидание получения строки символов в течение следующих 10 секунд;
 (?i): игнорирование регистра;
 $login: отправка имени пользователя;
 $password: отправка пароля.
Следующий сценарий (протестирован в коммутаторе «3Com Superstack», доступном по
протоколу Telnet):
SEND:\r\n
EXPECT:(?i)login:
SEND:$login\r\n
EXPECT:(?i)Password:
SEND:$password\r\n
интерпретируется следующим образом:
 Первая строка - возврат каретки;
 Вторая строка - ожидание возврата строки «login» («Имя пользователя») (регистр
игнорируется);
 Третья строка - отправка имени пользователя, после чего следует возврат каретки;
 Четвертая строка - ожидание возврата строки «password» («Пароль») (регистр
игнорируется);
 Пятая строка - отправка пароля пользователя, после чего следует возврат каретки.
121
RU.33654484.0004-01 91 01
7 ДЕЙСТВИЯ В НЕШТАТНЫХ СИТУАЦИЯХ
7.1 Восстановление заданной по умолчанию учетной записи «admin»
Для восстановления учетной записи «admin» в корневом меню выполните следующую
команду:
wab2:~# WABRestoreDefaultAdmin
7.2 Возврат устройства в исходное состояние
Для возврата устройства в исходное состояние в корневом меню выполните следующую
команду:
wab2:~# /opt/wab/bin/.tools/WABResetConfig
П р и м е ч а н и е – Данная команда также удаляет все данные аудита (записи сеансов,
журнал подключений и т.д.).
122
RU.33654484.0004-01 91 01
8 РЕКОМЕНДАЦИИ ПО ОСВОЕНИЮ
Для успешного освоения СКДПУ необходимо ознакомиться с документами, приведенными
в разделе 1.3.
123
RU.33654484.0004-01 91 01
ПЕРЕЧЕНЬ ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ
Основное подключение
Подключение, инициированное между пользователем
и СКДПУ
Дополнительное подключение
Подключение, инициированное между СКДПУ и
целевой учетной записью
Локальная проверка подлинности
Проверка подлинности, управляемая СКДПУ
Внешняя проверка подлинности
Проверка подлинности, управляемая каталогом вне
СКДПУ
Домен пользователя
Домен с низким уровнем доверия (открытый доступ в
Интернет и т.д.)
Сценарий подключения
Сценарий автоматического подключения к устройству
без протоколов, поддерживающих автоматическую
отправку учетных данных (SSH, RDP)
124
RU.33654484.0004-01 91 01
ПЕРЕЧЕНЬ РИСУНКОВ
Рисунок 1 – СКПДУ в сетевой инфраструктуре ...................................................................................... 8
Рисунок 2 – Авторизация администратора ............................................................................................. 12
Рисунок 3 – Основные области интерфейса ........................................................................................... 13
Рисунок 4 – Меню «Мои настройки»...................................................................................................... 17
Рисунок 5 – Меню «Сессии» .................................................................................................................... 18
Рисунок 6 – Меню «Пароли» ................................................................................................................... 19
Рисунок 7 – Текущие соединения ........................................................................................................... 20
Рисунок 8 – Завершение подключения по SSH...................................................................................... 21
Рисунок 9 – История соединений ............................................................................................................ 22
Рисунок 10 – Применение фильтра к истории подключений ............................................................... 23
Рисунок 11 – Просмотр сеанса RDP ........................................................................................................ 24
Рисунок 12 – История авторизаций ......................................................................................................... 24
Рисунок 13 – Статистика соединений ..................................................................................................... 26
Рисунок 14 – Пример статистического графика .................................................................................... 27
Рисунок 15 – История разрешений.......................................................................................................... 27
Рисунок 16 – Список учетных записей из пункта «Показать историю по учетной записи» ............. 28
Рисунок 17 – Активность учетной записи .............................................................................................. 29
Рисунок 18 – История учетной записи .................................................................................................... 29
Рисунок 19 – Учетные записи пользователей ........................................................................................ 30
Рисунок 20 – Создание учетной записи пользователя .......................................................................... 32
Рисунок 21 – Просмотр информации о пользователе ........................................................................... 34
Рисунок 22 – Изменить учетную запись пользователя ......................................................................... 35
Рисунок 23 – Управление группами пользователей СКДПУ ............................................................... 36
Рисунок 24 – Добавление группы пользователей .................................................................................. 37
Рисунок 25 – Информация о группе пользователей .............................................................................. 38
Рисунок 26 – Изменить группу пользователей ...................................................................................... 39
Рисунок 27 – Профили пользователей .................................................................................................... 41
Рисунок 28 – Добавление профиля пользователя .................................................................................. 41
Рисунок 29 – Просмотр и редактирование профиля пользователя ...................................................... 43
Рисунок 30 – Просмотр информации по доменам, контролируемым СКДПУ ................................... 44
Рисунок 31 – Создание глобального домена .......................................................................................... 45
Рисунок 32 – Просмотр атрибутов домена ............................................................................................. 46
Рисунок 33 – Редактирование атрибутов домена .................................................................................. 46
125
RU.33654484.0004-01 91 01
Рисунок 34 – Список целевых устройств ............................................................................................... 47
Рисунок 35 – Добавление целевого устройства ..................................................................................... 48
Рисунок 36 – Информация о целевом устройстве ................................................................................. 49
Рисунок 37 – Изменение целевого устройства ....................................................................................... 50
Рисунок 38 – Целевые приложения ......................................................................................................... 51
Рисунок 39 – Добавление приложения ................................................................................................... 52
Рисунок 40 – Список всех целевых учетных записей для устройства ................................................. 53
Рисунок 41 – Создание целевой учетной записи для службы .............................................................. 54
Рисунок 42 – Список объявленных кластеров ....................................................................................... 55
Рисунок 43 – Добавление Кластера ......................................................................................................... 56
Рисунок 44 – Импорт данных о Кластерах из файла ............................................................................. 56
Рисунок 45 – Управление группами ресурсов ....................................................................................... 57
Рисунок 46 – Создание группы ресурсов ............................................................................................... 59
Рисунок 47 – Изменение группы ресурсов ............................................................................................. 60
Рисунок 48 – Политики выборки ............................................................................................................. 61
Рисунок 49 – Создание политики выборки ............................................................................................ 62
Рисунок 50 – Плагины изменения паролей ............................................................................................ 63
Рисунок 51 – Политики замены паролей ................................................................................................ 63
Рисунок 52 – Создание политики управления паролями ...................................................................... 64
Рисунок 53 – Параметры записи сессий ................................................................................................. 66
Рисунок 54 – Параметры соединения ..................................................................................................... 66
Рисунок 55 – Создание политики соединений ....................................................................................... 67
Рисунок 56 – Управление авторизациями .............................................................................................. 68
Рисунок 57 – Добавление авторизации ................................................................................................... 70
Рисунок 58 – Просмотр доступных разрешений.................................................................................... 71
Рисунок 59 – История моих разрешений ................................................................................................ 72
Рисунок 60 – Периоды времени ............................................................................................................... 73
Рисунок 61 – Добавление периода времени ........................................................................................... 74
Рисунок 62 – Настройки внешних средств авторизации....................................................................... 75
Рисунок 63 – Создание внешней авторизации (LDAP) ......................................................................... 76
Рисунок 64 – Проверка подлинности LDAP/AD.................................................................................... 77
Рисунок 65 – Проверка подлинности KERBEROS ................................................................................ 77
Рисунок 66 – Проверка подлинности Radius .......................................................................................... 78
Рисунок 67 – Проверка подлинности TACACS+ ................................................................................... 78
Рисунок 68 – Домены LDAP/AD ............................................................................................................. 79
126
RU.33654484.0004-01 91 01
Рисунок 69 – Добавление домена LDAP/AD.......................................................................................... 80
Рисунок 70 – Управление уведомлениями ............................................................................................. 82
Рисунок 71 – Добавление оповещения ................................................................................................... 83
Рисунок 72 – Управление локальной политикой паролей .................................................................... 84
Рисунок 73 – Настройки языка сообщений ............................................................................................ 86
Рисунок 74 – Настройки СКДПУ ............................................................................................................ 87
Рисунок 75 – Настройки внешнего хранилища...................................................................................... 87
Рисунок 76 – Настройки интерфейса ...................................................................................................... 88
Рисунок 77 – Настройки регистрации событий ..................................................................................... 89
Рисунок 78 – Настройки продукта .......................................................................................................... 89
Рисунок 79 – Настройки RDP .................................................................................................................. 90
Рисунок 80 – Настройки записи сессий RDP ......................................................................................... 91
Рисунок 81 – Настройки SSH................................................................................................................... 92
Рисунок 82 – Системные настройки........................................................................................................ 93
Рисунок 83 – Настройки сервисов ........................................................................................................... 94
Рисунок 84 – Лицензия ............................................................................................................................. 95
Рисунок 85 – Шифрование ....................................................................................................................... 96
Рисунок 86 – Собственный аудит ............................................................................................................ 97
Рисунок 87 – Статус работы СКДПУ ...................................................................................................... 98
Рисунок 88 – Системный журнал ............................................................................................................ 99
Рисунок 89 – Просмотр содержимого файла журнала сообщений .................................................... 100
Рисунок 90 – Параметры сети ................................................................................................................ 101
Рисунок 91 – Управление настройками службы времени (NTP) ....................................................... 103
Рисунок 92 – Управление удаленным хранилищем записей сеансов ................................................ 104
Рисунок 93 – Управление маршрутизацией с помощью протокола Syslog ...................................... 105
Рисунок 94 – Настройка протокола сетевого управления .................................................................. 106
Рисунок 95 – Пример использования агента SNMP ............................................................................ 106
Рисунок 96 – Настройка протокола передачи почты........................................................................... 107
Рисунок 97 – Управление сервисами .................................................................................................... 108
Рисунок 98 – Сохранение и восстановление конфигурации СКПДУ ................................................ 109
Рисунок 99 – Настройки импорта/экспорта в формате CSV .............................................................. 110
Рисунок 100 – Импорт из удаленного каталога ................................................................................... 114
127
RU.33654484.0004-01 91 01
ПЕРЕЧЕНЬ ТАБЛИЦ
Т а б л и ц а 1 – Соответствие требований разделам документа ....................................................... 5
Т а б л и ц а 2 – Атрибуты учетной записи пользователя .............................................................. 111
Т а б л и ц а 3 – Атрибуты целевого устройства ............................................................................. 112
Т а б л и ц а 4 – Атрибуты целевой учетной записи ....................................................................... 113
Т а б л и ц а 5 – Атрибуты авторизации ........................................................................................... 113
128
RU.33654484.0004-01 91 01
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
AD
Active Directory – служба каталогов
ACL
Access Control List (список контроля доступа) – система управления
доступом к ресурсу (устройству, файлу и т.д.)
CSV
Comma-Separated Values - текстовый формат, предназначенный для
представления табличных данных.
HTTP
HyperText
Transfer
Protocol
-
протокол
прикладного
уровня
для
распределенных, совместных, многосредных информационных систем.
HTTPS
HyperText Transfer Protocol Secure - расширение протокола HTTP,
поддерживающее шифрование.
OCR
Optical character recognition - механический или электронный перевод
изображений рукописного, машинописного или печатного текста в
текстовые данные - последовательность кодов, использующихся для
представления символов в компьютере (например, в текстовом редакторе).
RDP
Remote Desktop Protocol - протокол удалённого рабочего стола
SFTP
SSH
File
Transfer
Protocol —
протокол
прикладного
уровня,
предназначенный для копирования и выполнения других операций с
файлами поверх надёжного и безопасного соединения.
SNMP
Simple Network Management Protocol — простой протокол сетевого
управления) —
стандартный
интернет-протокол
для
управления
устройствами в IP-сетях на основе архитектур UDP/TCP.
SOAP
Simple Object Access Protocol - протокол обмена структурированными
сообщениями в распределённой вычислительной среде.
SSH
Сетевой
протокол
прикладного
уровня,
позволяющий
производить
удалённое управление операционной системой и туннелирование TCPсоединений (например, для передачи файлов).
SSO
Single Sign-On - механизм единого входа в систему или в приложение
129
RU.33654484.0004-01 91 01
TELNET
TErminaL NETwork - сетевой протокол для реализации текстового
интерфейса по сети (при помощи транспорта TCP).
VNC
Virtual Network Computing - система удалённого доступа к рабочему столу
компьютера, использующая протокол RFB (англ. Remote FrameBuffer,
удалённый кадровый буфер).
АРМ
Автоматизированное рабочее место
ИС
Информационная система
ИТ
Информационные технологии
ОС
Операционная система
ПО
Программное обеспечение
СКДПУ
Система контроля действий поставщиков ИТ-услуг
130
RU.33654484.0004-01 91 01
ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
Номера листов (страниц)
Всего листов
Входящий №
Изм. изме№ документа сопроводительного Подпись
замененаннулиро- (стр.) в
новых
документе
документа
ненных ных
ванных
Дата
Download