3. Управление пользователями межсетевого экрана

В этой главе показывается, как создавать пользователей для удаленного управления межсетевым экраном Aker.

О пользователях межсетевого экрана

Для удаленного управления межсетевым экраном Aker он должен уметь распознавать пользователей. Подтверждение прав пользователей осуществляется при помощи паролей и для этого каждый администратор должен предварительно зарегистрироваться и получить регистрационное имя и пароль.

Помимо этого, межсетевой экран Aker позволяет иметь много различных администраторов, каждый из которых отвечает за определенную задачу по управлению. Наряду с упрощением управления, это позволяет обеспечить более качественный контроль и более высокий уровень безопасности.

3.1 Использование графического интерфейса

Для доступа к окну управления пользователями через удаленный интерфейс необходимо:
Выбрать опцию Session в главном меню
Выбрать опцию Users Management
! Эта опция становится доступной только тогда, когда пользователь, открывающий сеанс в удаленном интерфейсе, авторизован для управления пользователями. Детально этот вопрос будет рассмотрен в следующем параграфе.

Экран управления пользователями:

Этот экран содержит список всех зарегистрированных пользователей. По каждому пользователю показываются учетное и полное имена. Полное число пользователей приводится в нижней части экрана
Кнопка OK закрывает окно управления пользователями и сохраняет все изменения
Кнопка Apply сохраняет все модификации и оставляет окно открытым.
Кнопка Cancel закрывает окно и отбрасывает все сделанные изменения
Кнопка Help выводит экран помощи по данному разделу.
При выборе пользователя его параметры показываются в соответствующих полях.
Для изменения параметров пользователей выполните следующее:

  1. Выделите пользователя, атрибуты которого вы хотите изменить, нажав  левой клавишей мыши на его имени. Его атрибуты будут показаны в полях после списка пользователей.
  2. Измените параметры и нажмите кнопки Apply или OK
Чтобы включить пользователя в список, сделайте следующее:
  1. Нажмите правой клавишей мыши где-нибудь в зарезервированной области, чтобы показался список, и выберите пункт Add всплывающего меню или нажмите кнопку добавления пользователей в инструментальном меню.
  2. Заполните поля параметров пользователя и нажмите кнопку Apply или OK.
Чтобы удалить пользователя из списка, проделайте следующие действия:
  1. Выделите пользователя, которого хотите удалить, нажав на его имени левой клавишей мыши, затем нажмите на кнопку удаление в инструментальном меню

    2. или
  2. Нажмите на имени пользователя, которого хотите удалить, правой клавишей мыши, затем выделите опцию Remove в всплывающем меню.
Значение атрибутов пользователя
Login

Это регистрационное имя пользователя межсетевого экрана. Это имя должно быть уникальным. Регистрационное имя запрашивается менеджером межсетевого экрана, когда он устанавливает сеанс удаленного управления.

Регистрационное имя должно иметь длину от 1 до 14 символов без различия между заглавными и строчными буквами.

Name

В этом поле описывается полное имя пользователя. Этот параметр чисто информативный и не используется для каких-либо проверок.

Это поле должно быть строкой длиной от 0 до 40 символов.

Password/New Password

Это поле будет называться Password, если у добавляемого пользователя еще нет пароля и New Password, если пароль пользователя уже был определен ранее. При вводе пароля вместо  символов на экране будут отображаться звездочки "*".

Это поле используется совместно с полем регистрационного имени для идентификации пользователя межсетевого экрана Aker.

Пароль должен иметь длину от 6 до 14 символов; заглавные и строчные буквы различаются.
! Исключительно важно, чтобы используемые пароли имели большую длину, близкую насколько возможно к пределу в 14 печатных символов. Кроме того, вы всегда должны использовать в паролях комбинации строчных и заглавных букв, чисел и других специальных печатных символов (специальными печатными символами являются символы, которые находятся на компьютерной клавиатуре и не являются ни числами, ни буквами: "$", "&", "]" и т.д.). Никогда не используйте в качестве паролей слов какого-либо языка или только числа.
Confirmation

Это поле служит для подтверждения введенного в предыдущем поле пароля.

Permissions

Это поле определяет права пользователя на межсетевом экране Aker. Поле состоит из трех опций, которые можно устанавливать независимо.

Наличие таких полномочий позволяет создать децентрализованное управление межсетевым экраном. Например, в компании с большим числом отделений и межсетевых экранов децентрализованное управление позволяет администратору отделения отвечать за конфигурацию межсетевого экрана, а администратор безопасности компании был бы единственной персоной, имеющей право стирать и менять статистику сообщений и событий межсетевых экранов. Таким образом, хотя каждое отделение и имеет свое автономное управление, возможен централизованный контроль за изменениями всех конфигураций, а также временем их проведения.
! Если у пользователя нет никаких полномочий, он сможет только просматривать конфигурацию межсетевого экрана и уплотнять файлы статистики и событий.
Configure the Firewall

При наличии этого права пользователь будет иметь возможность управлять межсетевым экраном; это означает, что он сможет менять конфигурацию объектов, правила фильтрации, трансляцию сетевых адресов, криптографию, настройки proxy и параметры конфигурации, не связанные со статистикой.

Configure the Log

Если установлена эта опция, то пользователь будет иметь возможность менять параметры, связанные со статистикой (например, срок жизни файла статистики), конфигурацию (как сообщения, так и параметры) реакции системы, а также удалять файлы статистики и событий.

Manage Users

Наличие этого права дает доступ к меню управления пользователями, которое позволяет добавлять, редактировать и удалять других пользователей.
! Пользователь, обладающий такими правами, может создавать, редактировать или удалять пользователей только с тем же или более низким набором полномочий (например, если пользователь имеет полномочия по управлению пользователями и конфигурированию статистики, тогда он может создавать пользователей, которые или не будут обладать никакими правами, или обладать правом по настройке статистики, или правами по настройке статистики и управлением пользователями). Он не может создавать, редактировать или удалять пользователей, имеющих право конфигурации межсетевого экрана.

3.2 Использование интерфейса командной строки

Кроме графического интерфейса для управления пользователями может быть использован локальный интерфейс командной строки, обладающий теми же возможностями, что и графический интерфейс. Единственной недоступной функцией является изменение полномочий пользователей. Этот интерфейс, реализованный при помощи команды fwadmin является интерактивным и не получает параметров из командной строки.

Путь к программе: /etc/firewall/fwadmin

При запуске программа выводит на экран: 

----------------------------------------------------------------
		 Aker Firewall version 3.0
	 Remote users administration module
	 Choose one of the following options:
		Add a new user
		Remove an existing user
		Modify an user's password
		List the registered users
		Compact the users file
		Exit fwadmin
-----------------------------------------------------------------
Для выполнения одной из опций, нажмите выделенную жирным букву. Каждая из опций будет показана на экране в деталях:
Add a new user

Эта опция позволяет создать новых пользователей, которые смогут удаленно управлять межсетевым экраном Aker . Когда выделена эта опция, на экране появляется форма для ввода информации о пользователе. После заполнения полей на экране появится запрос для подтверждения создания пользователя. 

----------------------------------------------------------------
		Aker Firewall version 3.0
	Remote users administration module
			User creation
	Enter the login           : Administrator
	Configure Firewall ? (Y/N): Yes
	Configure the log ? (Y/N) : Yes
	Manage Users ? (Y/N)      : No
	Enter the complete name   : Aker Firewall administrator
	Enter the password        : 
	Confirm the password      :
		Create user ? (Y/N)
----------------------------------------------------------------
Важные замечания:
  1.  В полях, где указан выбор (Y/N) вы должны нажать "Y" для утвердительного ответа и "N" - для отрицательного.
  2. Пароль и подтверждение пароля не будут высвечены на экране.
Remove an existing user

Эта опция удаляет пользователя, который зарегистрирован в системе. Для удаления будет запрошено регистрационное имя пользователя. Если пользователь действительно зарегистрирован, будет запрошено подтверждение для продолжении процедуры. 

----------------------------------------------------------------
			Aker Firewall version 3.0
		Remote administration user module
				Users removal
	Enter the login           : Administrator
			Remove user ? (Y/N)
----------------------------------------------------------------
Для продолжения удаления нажмите "Y"

Modify an user's password

Эта опция позволяет изменить пароль уже зарегистрированного пользователя. Будет запрошено регистрационное имя пользователя, и, в случае, если пользователь существует, будет запрошен новый пароль и подтверждение этого нового пароля (как уже упоминалось, пароль и его подтверждение не будут высвечены на экране ). 

----------------------------------------------------------------
			Aker Firewall version 3.0
		Remote users administration module
				User's password changing
	Enter the login           : Administrator
	Enter the new password    :
	Confirm the new password  :
		Password changed successfully - Press Enter
----------------------------------------------------------------
List the registered users

Эта опция показывает список имен и полномочий всех пользователей, которые могут удаленно управлять межсетевым экраном. Ниже приводится пример одного из возможных списков: 

------------------------------------------------------------------
                      Aker Firewall version 3.0     
                 Remote users administration module
                              Users list
Login           Name                                    Permissions 
-------------------------------------------------------------------
Administrator   Aker Firewall Administrator               CF CL MU 
User            Aker Firewall User                        -- -- -- 
Auditor         Aker Firewall Auditor                     -- CL -- 
Manager         Aker Firewall Manager                     -- -- MU 
   CF = Configure Firewall, CL = Configure log, MU = Manage Users
                End of list - Press Enter to continue
------------------------------------------------------------------
Поле полномочий состоит из 3 возможных значений: CF, CL and MU, что соответственно означает право на конфигурирование межсетевого экрана, настройку статистики и управление пользователями. Если данное право у пользователя есть, оно будет показано в виде описанных выше кодов, в противном случае будет указано не его отсутствие.

Compact the users file

Эта опция не представлена в графическом интерфейсе и применяется довольно редко. Она используется для уплотнения файла пользователей путем удаления более не используемых элементов данных. Ее следует применять, только когда большое число пользователей было удалено из системы.

При задании этой опции файл будет уплотнен и, в конце появится сообщение, указывающее, что процедура закончена (уплотнение файла обычно проходит быстро и занимает несколько секунд).

Exit fwadmin

Эта опция завершает программу fwadmin и управление возвращается обратно shell

Назад | Содержание | Вперед