Настройки утилиты auth_login выполняются в конфигурационном файле /opt/VPNagent/etc/auth_login.ini, представляющем обычный текстовый файл.
Строки, начинающиеся с восклицательного знака (!), считаются комментариями и игнорируются. Пустые строки игнорируются.
В отличие от предыдущих версий продукта, ручное редактирование данного файла не рекомендуется.
Если редактирование выполнялось, то необходимо пересчитать сумму измененного файла, запустив утилиту integr_mgr calc:
administrator@sterragate] run integr_mgr calc –f /opt/VPNagent/etc/auth_login.ini
В начале файла идут опциональные глобальные настройки:
· Количество неуспешных попыток логина пользователя, по достижении которого включается режим длительного ожидания возможности ввода пароля (подробнее см. "Описание работы утилиты auth_login" и "Ограничение на количество попыток входа в систему"):
! 1-100; default value: 10
login_attempts_count=10
Допустимые значения: от 1 до 100. Значение по умолчанию – 10.
· Количество дней, по истечении которых пользователю, использующему однофакторную аутентификацию, выдается принудительный запрос на смену пароля:
! Days: 1-1000000; default value: 180
passwd_lifetime=180
Допустимые значения: от 1 до 1000000. Значение по умолчанию – 180.
· Продолжительность длительного ожидания возможности ввода пароля при превышении допустимого количества неуспешных попыток логина пользователя:
! Minutes: 1-1440; default value: 60
login_long_wait_timeout=60
Допустимые значения: от 1 до 1440 (1 сутки). Значение по умолчанию – 60 (1 час).
Примечание. Значение login_long_wait_timeout, меньшее, чем значение по умолчанию, а также значения login_attempts_count и passwd_lifetime, больше, чем значения по умолчанию, могут не соответствовать требованиям регулирующих органов. Настоятельно рекомендуется использовать такие значения только для целей отладки и тестирования.
· Включение и отключение строгого режима проверки политики паролей (см. "ограничения на формат пароля пользователя") при создании пользователя с однофакторной аутентификацией и при смене пароля:
password_policy=on
Значение может быть:
· on – строгий режим проверки включен (не допускается задавать новые пароли, не соответствующие политике). Значение по умолчанию.
· off – если новые пароли не соответствуют политике, об этом выдается предупреждение, однако строгого запрета на выставление такого пароля не действует.
Далее идет перечисление секций.
Секции
В каждой секции задаются параметры отдельного пользователя.
[<section_name>]
<param_name>=<param_val>
где
<section_name> имя секции задает имя пользователя,
<param_name> имя параметра,
<param_val> значение параметра.
Возможные параметры:
role={ admin | user }
admin администратор
user пользователь (значение по умолчанию)
container=<container_name>
container_name имя контейнера, к которому производится проверка доступа. Обязательный параметр.
public_key=<public_key_file_path>
public_key_file_path путь к файлу с публичным ключом. Опциональная защита от подмены контейнера: проверка подписи с использованием публичного ключа, сохраненного отдельно от контейнера. При отсутствии параметра – подпись не проверяется.
Экспортировать публичный ключ из контейнера в файл, при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи», можно командой:
/opt/VPNagent/bin/cont_mgr export -cont <container_name> -PIN <container_password> -ext <public_key_file_path>
Для экспорта публичного ключа из контейнера в файл, при использовании СКЗИ «КриптоПро CSP», выполните команду csptest (csptest находится в каталоге /opt/cprocsp/bin/ia32 или /opt/cprocsp/bin/amd64), например:
csptest -keyset -container '<container_name>' -keytype signature -machinekeyset -export <public_key_file_path>
Примечание: если в контейнере присутствует только ключ типа exchange, следует заменить в команде -keytype signatureна -keytype exchange.
config_user=<cs_console_user>
cs_console_user пользователь ОС, от имени которого происходит вход в режим конфигурирования (запуск cisco-like консоли ). Имеет смысл только для администратора. Пользователь <cs_console_user> обязательно должен присутствовать в ОС и иметь cisco-like консоль в качестве Shell. При отсутствии параметра по команде configure вызывается утилита login операционной системы (подробнее смотрите «Команды уровня администратора. Команда configure»). Если <cs_console_user> отсутствует в ОС или его Shell отличен от cisco-like консоли, то выдается сообщение об ошибке:
% Error: configuring is inaccessible for current user. Check the 'config_user' setting
также в syslog выдается сообщение:
% Error: configuring is inaccessible for user <username>
где <username> – имя пользователя консоли разграничения доступа.
blocked=by-admin – признак административной блокировки пользователя. Параметр отсутствует у незаблокированного пользователя.