Настройки утилиты auth_login выполняются в конфигурационном файле /opt/VPNagent/etc/auth_login.ini, представляющем обычный текстовый файл.
Строки, начинающиеся с восклицательного знака (!), считаются комментариями и игнорируются. Пустые строки игнорируются.
В отличие от предыдущих версий продукта, ручное редактирование данного файла не рекомендуется.
Если редактирование выполнялось, то необходимо пересчитать сумму измененного файла, запустив утилиту integr_mgr calc:
administrator@sterragate] run integr_mgr calc –f /opt/VPNagent/etc/auth_login.ini
В начале файла идут опциональные глобальные настройки:
Количество неуспешных попыток логина пользователя, по достижении которого включается режим длительного ожидания возможности ввода пароля (подробнее см. "Описание работы утилиты auth_login" и "Ограничение на количество попыток входа в систему"):
! 1-100; default value: 10
login_attempts_count=10
Допустимые значения: от 1 до 100. Значение по умолчанию – 10.
Количество дней, по истечении которых пользователю, использующему однофакторную аутентификацию, выдается принудительный запрос на смену пароля:
! Days: 1-1000000; default value: 180
passwd_lifetime=180
Допустимые значения: от 1 до 1000000. Значение по умолчанию – 180.
Продолжительность длительного ожидания возможности ввода пароля при превышении допустимого количества неуспешных попыток логина пользователя:
! Minutes: 1-1440; default value: 60
login_long_wait_timeout=60
Допустимые значения: от 1 до 1440 (1 сутки). Значение по умолчанию – 60 (1 час).
Примечание |
Значение login_long_wait_timeout, меньшее, чем значение по умолчанию, а также значения login_attempts_count и passwd_lifetime, больше, чем значения по умолчанию, могут не соответствовать требованиям регулирующих органов. Настоятельно рекомендуется использовать такие значения только для целей отладки и тестирования.
|
• Включение и отключение строгого режима проверки политики паролей (см. "ограничения на формат пароля пользователя") при создании пользователя с однофакторной аутентификацией и при смене пароля:
password_policy=on
Значение может быть:
on – строгий режим проверки включен (не допускается задавать новые пароли, не соответствующие политике). Значение по умолчанию.
off – если новые пароли не соответствуют политике, об этом выдается предупреждение, однако строгого запрета на выставление такого пароля не действует.
Тип политики паролей:
! gate or ids; default value: gate
password_policy_type=gate
Допустимые значения: gate, ids. Значение по умолчанию – gate. Значение ids используется для продукта С-Терра СОВ.
Далее идет перечисление секций.
Секции:
В каждой секции задаются параметры отдельного пользователя.
[<section_name>]
<param_name>=<param_val>
где
<section_name> - имя секции задает имя пользователя,
<param_name> - имя параметра,
<param_val> - значение параметра.
Возможные параметры:
role={ admin | user }
admin - администратор
user - пользователь (значение по умолчанию)
container=<container_name>
container_name - имя контейнера, к которому производится проверка доступа. Обязательный параметр.
public_key=<public_key_file_path>
public_key_file_path - путь к файлу с публичным ключом. Опциональная защита от подмены контейнера: проверка подписи с использованием публичного ключа, сохраненного отдельно от контейнера. При отсутствии параметра – подпись не проверяется.
Экспортировать публичный ключ из контейнера в файл, при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи», можно командой:
/opt/VPNagent/bin/cont_mgr export -cont <container_name> -PIN <container_password> -ext <public_key_file_path>
Примечание |
Если в контейнере присутствует только ключ типа exchange, следует заменить в команде -keytype signature на -keytype exchange.
|
config_user=<cs_console_user>
cs_console_user - пользователь ОС, от имени которого происходит вход в режим конфигурирования (запуск cisco-like консоли). Имеет смысл только для администратора. Пользователь <cs_console_user> обязательно должен присутствовать в ОС и иметь cisco-like консоль в качестве Shell. Для С-Терра Юнит этот параметр не используется. При отсутствии параметра по команде configure вызывается утилита login операционной системы (подробнее смотрите «Команды уровня администратора. Команда configure»). Если <cs_console_user> отсутствует в ОС или его Shell отличен от cisco-like консоли, то выдается сообщение об ошибке:
% Error: configuring is inaccessible for current user. Check the 'config_user' setting
также в syslog выдается сообщение:
% Error: configuring is inaccessible for user <username>
где
<username> – имя пользователя консоли разграничения доступа.
privilege=<priv_level>
<priv_level> - уровень привилегий администратора: 1 (присутствуют ограничения) или 15 (разрешены все команды). Имеет смысл только для администратора. Значение по умолчанию – 15.
blocked=by-admin
by-admin – признак административной блокировки пользователя. Параметр отсутствует у незаблокированного пользователя.