Поддержка

Поддержка приложений для бизнеса

Kaspersky SD-WAN

Управление пользователями и их правами доступа

Kaspersky SD-WAN
Нет результатов
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Управление пользователями и их правами доступа

09 апреля 2024

ID 251430

Скачать PDF

Для разграничения доступа к порталу администратора и порталу самообслуживания, а также к разделам, подразделам и функциям в решении реализована модель управления доступом на основе ролей (англ. Role Based Access Control, RBAC). Учетные записи пользователей могут иметь следующие роли:

  • Администратор – имеет доступ к порталу администратора и порталу самообслуживания.
  • Тенант – имеет доступ только к порталу самообслуживания.

При развертывании решения создается пользователь Administrator с ролью администратор и пользователь User с ролью тенант.

Вы можете создавать локальных и LDAP-пользователей, а также группы LDAP-пользователей. Решение не поддерживает создание групп локальных пользователей. Учетные данные локальных пользователей хранятся в базе данных оркестратора. Учетные данные LDAP-пользователей и групп LDAP-пользователей хранятся на удаленном сервере. Поддерживается удаленный сервер OpenLDAP с Simple-аутентификацией и Simple SSL-аутентификацией, а также Microsoft Active Directory с Kerberos-аутентификацией и Kerberos SSL-аутентификацией.

Вам нужно создать LDAP-подключение, с помощью которого оркестратор подключается к удаленному серверу, после чего создать LDAP-пользователей или группы LDAP-пользователей. Созданные LDAP-пользователи и группы LDAP-пользователей могут входить в веб-интерфейс оркестратора, используя свои учетные данные.

Двухфакторная аутентификация

Для повышения общего уровня безопасности решения можно выполнять двухфакторную аутентификацию (англ. two-factor authentication) пользователей с использованием алгоритма Time-based one-time password (TOTP). Вы можете включить или выключить двухфакторную аутентификацию для всех пользователей. Двухфакторную аутентификацию также можно включить или выключить при создании и изменении отдельных локальных пользователей, LDAP-пользователей и LDAP-групп.

Если двухфакторная аутентификация включена для пользователя, при следующем входе этого пользователя в веб-интерфейс оркестратора генерируется уникальный QR-код. Пользователю нужно отсканировать QR-код с помощью программного или аппаратного аутентификатора, поддерживающего стандарт RFC 6238, например Kaspersky Password Manager, Google Authenticator, Яндекс Ключ и Microsoft Authenticator. Аутентификатор генерирует уникальный код, который пользователь должен ввести, чтобы пройти двухфакторную аутентификацию и войти в веб-интерфейс оркестратора. Если пользователь вводит уникальный код неправильно более пяти раз, этот пользователь блокируется на 30 минут.

После прохождения двухфакторной аутентификации при входе в веб-интерфейс оркестратора пользователю нужно вводить имя пользователя, пароль и уникальный код. При необходимости вы можете повторно выполнить двухфакторную аутентификацию пользователя.

Если время на оркестраторе и аутентификаторе отличается более чем на 30 секунд, возможны сбои при выполнении двухфакторной аутентификации пользователей. Мы рекомендуем синхронизировать время на оркестраторе и аутентификаторе с помощью NTP-сервера.

Права доступа

При необходимости вы можете создавать права доступа, определяющие, какие разделы, подразделы и действия доступны пользователям, и назначать эти права доступа при создании и изменении пользователя или группы LDAP-пользователей. Например, вы можете создать право доступа, запрещающее переходить в раздел Каталог и создавать шаблоны сетевых сервисов. По умолчанию пользователям и группам LDAP-пользователей назначается право доступа Full Access, которое предоставляет полный доступ ко всем функциям решения.

Запросы на подтверждение

При создании пользователя вам нужно указать, требуется ли автоматически создавать запрос на подтверждение, когда этот пользователь выполняет действие. Запросы на подтверждение можно подтвердить, отклонить или удалить. При подтверждении запроса выполняется связанное с ним действие, а отклоненные запросы сохраняются в веб-интерфейсе оркестратора.

Пользовательские сеансы

Для управления пользовательскими сеансами используются следующие функции:

  • Ограничение продолжительности пользовательских сеансов. Если пользователь бездействует в течение 3600 секунд (одного часа) после входа в веб-интерфейс оркестратора, пользовательский сеанс автоматически прекращается. Время бездействия до автоматического выхода можно указать вручную.
  • Завершение пользовательских сеансов. Если несколько сотрудников используют учетные данные одного пользователя для входа в веб-интерфейс оркестратора, любой из них может завершить другие пользовательские сеансы.

В этом разделе справки

Работа с правами доступа

Работа с LDAP-подключениями

Работа с пользователями

Работа с группами LDAP-пользователей

Включение и выключение двухфакторной аутентификации для всех пользователей

Работа с запросами на подтверждение

Ограничение продолжительности пользовательского сеанса

Просмотр и завершение активных пользовательских сеансов

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!