Разграничение прав доступа пользователей к управлению программным комплексом выполняется на этапе аутентификации.
Аутентификация может быть однофакторная или двухфакторная. При однофакторной аутентификации у пользователя запрашивается пароль и проверяется доступ по этому паролю к контейнеру с секретным ключом, который размещается на жестком диске.
При двухфакторной аутентификации у пользователя запрашивается пароль и проверяется доступ по этому паролю к контейнеру с секретным ключом, который для безопасности должен размещаться на внешнем носителе, например, USB-токене, а также соответствие секретного ключа и открытого ключа, сохраненного на жестком диске. И в дальнейшем при доступе к консоли разграничения доступа всегда нужен будет предъявлять USB-токен и знать PIN-код пользователя.
Имя пользователя связано с именем контейнера и уровнем доступа, и записано в конфигурационный файл /opt/VPNagent/etc/auth_login.ini. Проверка доступа выполняется специальной утилитой auth_login, описанной в Приложении.
Изначально в конфигурационном файле присутствует пользователь administrator, для которого указан контейнер с секретным ключом (пароль к контейнеру – s-terra).
Таким образом, для входа в консоль разграничения доступа (Initial CLI) нужно ввести следующие данные:
S-Terra administrative console
login as: administrator (заводская настройка)
administrator’s password: s-terra (заводская настройка)
administrator@sterragate]
Рекомендуется сменить пароль администратора к контейнеру с ключевой парой (см. команды «Смена пароля пользователя»).
Уровень доступа к управлению Шлюзом задается при создании пользователя, когда указывается его роль – administrator или user, метод аутентификации. Для администратора также можно задать уровень привилегий.
В зависимости от роли каждый пользователь может выполнять свой определенный набор команд (см. «Команды уровня администратора», «Команды уровня пользователя»).