Для управления шлюзом безопасности реализована ролевая модель доступа.
В консоли разграничения доступа может быть две роли – пользователя и администратора. Учетных записей для каждой роли может быть несколько. Каждой роли соответствует свой набор прав доступа к управлению шлюзом.
Пользователь консоли разграничения доступа имеет право на просмотр версии продукта, аппаратной и программной платформ, текущей конфигурации, состояния соединений, информации о текущем пользователе, настройке терминала.
Администратор консоли разграничения доступа имеет право на запуск и останов сервиса безопасности, запуск процедуры инициализации, создание учетных записей пользователей с однофакторной или двухфакторной аутентификацией для консоли разграничения доступа, работу с файлами, запуск утилит для регистрации лицензии, сертификатов, просмотр любой информации, доступ к ОС. Имеет право перейти в привилегированный режим cisco-like консоли для настройки шлюза.
Разграничение прав доступа пользователей выполняется на этапе аутентификации.
Аутентификация может быть однофакторная или двухфакторная. При однофакторной аутентификации у пользователя запрашивается пароль и проверяется доступ по этому паролю к контейнеру с секретным ключом, который размещается на жестком диске.
При двухфакторной аутентификации у пользователя запрашивается пароль и проверяется доступ по этому паролю к контейнеру с секретным ключом, который для безопасности должен размещаться на внешнем носителе, например, USB-токене, а также соответствие секретного ключа и открытого ключа, сохраненного на жестком диске. И в дальнейшем при доступе к консоли разграничения доступа всегда нужен будет предъявлять USB-токен и знать PIN-код пользователя.
Изначально в конфигурационном файле присутствует пользователь administrator, для которого указан контейнер с секретным ключом (пароль к контейнеру – s-terra).
Таким образом, для входа в консоль разграничения доступа нужно ввести следующие данные:
S-Terra administrative console
login as: administrator (заводская настройка)
administrator’s password: s-terra (заводская настройка)
administrator@sterragate]
Рекомендуется сменить пароль администратора к контейнеру с ключевой парой (см. команды «Смена пароля пользователя»).
Примечание. В случае утери пароля единственного администратора консоли разграничения доступа потребуется процедура восстановления ПАК (см. документ – «Инструкция по восстановлению и обновлению ПАК»).
Для администратора также можно задать пользователя, от имени которого будет выполняться вход в cisco-like консоль по команде configure, а также уровень привилегий.
В зависимости от роли каждый пользователь может выполнять свой определенный набор команд (см. «Команды уровня администратора», «Команды уровня пользователя»).
Функционирование консоли разграничения доступа обеспечивает утилита auth_login. Описание работы утилиты auth_login приведено в Приложении.