Консоль разграничения доступа

Для управления шлюзом безопасности реализована ролевая модель доступа.

В консоли разграничения доступа может быть две роли – пользователя и администратора. Учетных записей для каждой роли может быть несколько. Каждой роли соответствует свой набор прав доступа к управлению шлюзом.

Пользователь консоли разграничения доступа имеет право на просмотр версии продукта, аппаратной и программной платформ, текущей конфигурации, состояния соединений, информации о текущем пользователе, настройке терминала.

Администратор консоли разграничения доступа имеет право на запуск и останов сервиса безопасности, запуск процедуры инициализации, создание учетных записей пользователей с однофакторной или двухфакторной аутентификацией для консоли разграничения доступа, работу с файлами, запуск утилит для регистрации лицензии, сертификатов, просмотр любой информации, доступ к ОС. Имеет право перейти в привилегированный режим cisco-like консоли для настройки шлюза.

Разграничение прав доступа пользователей выполняется на этапе аутентификации.

 

Аутентификация может быть однофакторная или двухфакторная. При однофакторной аутентификации у пользователя запрашивается пароль и проверяется доступ по этому паролю к контейнеру с секретным ключом, который размещается на жестком диске.

При двухфакторной аутентификации у пользователя запрашивается пароль и проверяется доступ по этому паролю к контейнеру с секретным ключом, который для безопасности должен размещаться на внешнем носителе, например, USB-токене, а также соответствие секретного ключа и открытого ключа, сохраненного на жестком диске. И в дальнейшем при доступе к консоли разграничения доступа всегда нужен будет предъявлять USB-токен и знать PIN-код пользователя.

 

 

Изначально в конфигурационном файле присутствует пользователь administrator, для которого указан контейнер с секретным ключом (пароль к контейнеру – s-terra).

Таким образом, для входа в консоль разграничения доступа нужно ввести следующие данные:

S-Terra administrative console

login as: administrator (заводская настройка)

administrator’s password: s-terra (заводская настройка)

administrator@sterragate]

 

Рекомендуется сменить пароль администратора к контейнеру с ключевой парой (см. команды «Смена пароля пользователя»).

Примечание. В случае утери пароля единственного администратора консоли разграничения доступа потребуется процедура восстановления ПАК (см. документ – «Инструкция по восстановлению и обновлению ПАК»).

 

Для администратора также можно задать пользователя, от имени которого будет выполняться вход в cisco-like консоль по команде configure, а также  уровень привилегий.

В зависимости от роли каждый пользователь может выполнять свой определенный набор команд (см. «Команды уровня администратора», «Команды уровня пользователя»).

Функционирование консоли разграничения доступа обеспечивает утилита auth_login. Описание работы утилиты auth_login приведено в Приложении.

 

 

Создание пользователей

Команды консоли разграничения доступа

Приложение