Доступ

Пользователи и Группы

REFOS позволяет создавать пользователей, группировать пользователей по группам и гибко настраивать привилегии.

Создание и редактирование Пользователей

Для создания учетной записи достаточно добавить пользователя в разделе Система - Доступ – Пользователи и указать Имя пользователя, Пароль. Все остальные параметры являются дополнительными. По умолчанию пользователю доступны все привилегии.

../../../../_images/one3.png — Параметры учетной записи

Описание параметров учетной записи приведено в таблице.

Описание параметров учетной записи
Параметр	Описание
Отключена	Параметр, который позволяет отключить пользователя без удаления из локальной базы
Имя пользователя	В имени пользователя допускается латиница любого регистра, цифры, подчёркивание и дефис. Длина строки имени пользователя до 32-х символов
Пароль	Минимальный размер пароля 8 символов
Полное имя	Дополнительный параметр для личного использования
E-Mail	Дополнительный параметр для личного использования
Комментарий	Дополнительный параметр для личного использования
Дата окончания срока действия	Параметр, который позволяет задать срок действия учетной записи
Членство в группе	Параметр, который позволяет определить учетную запись в выделенной группе
Действующие привилегии	Параметр, который позволяет задать определенные привилегии учетной записи. Ограничений по количеству привилегий нет
Сертификаты пользователя	Добавление и генерация пользовательского сертификата VPN
Ключи API	Добавление и генерация API-ключа
Авторизованные ключи	Для доступа к консоли через SSH достаточно указать закрытый SSH-ключ

Распределение пользователей по группам

Привилегии возможно назначить не только пользователям, но и группам, поэтому группирование пользователей позволяет упростить распределение привилегий большому количеству пользователей. Редактирование и создание групп производится в разделе Система – Доступ – Группы.

../../../../_images/two4.png — Параметры групп

Описание параметров групп приведено в таблице.

Описание параметров групп
Параметр	Описание
Имя группы	В имени группы допускается латиница любого регистра, цифры, подчёркивание и дефис. Длина строки имени пользователя до 32-х символов
Описание	Дополнительный параметр для личного использования
Членство в группе	Для того, чтобы перенести пользователя в группу, его достаточно выделить и перенести в поле Состоит в группе
Присвоенные привилегии	Параметр, который позволяет задать определенные привилегии группе. Ограничений по количеству привилегий нет

Привилегии

Привилегии позволяют гибко настроить доступ с возможностью просмотра и редактирования к разным разделам системы.

Описание привилегий приведено в таблице.

Описание привилегий
Привилегия	Описание
Все страницы	Доступ и редактирование всех параметров системы
Инструментальная панель	Доступ ко всем параметрам Инструментальной панели
Система - Доступ - Средство проверки	Доступ к параметрам раздела Система - Доступ - Средство проверки
Система - Конфигурация - Резервные копии	Доступ к параметрам раздела Система - Конфигурация - Резервные копии
Система - Конфигурация - История изменений	Доступ и редактирование параметров раздела Система - Конфигурация - История изменений
Питание - Выключение	Доступ к параметрам раздела Питание – Выключение
Межсетевой экран - Файлы журнала - Прямая трансляция	Доступ к параметрам раздела Межсетевой экран - Файлы журнала - Прямая трансляция
Межсетевой экран - Файлы журнала - Обзор	Доступ к параметрам раздела Межсетевой экран - Файлы журнала – Обзор
Система - Настройки - Журналирование	Доступ и редактирование параметров раздела Система - Настройки – Журналирование
Питание - Перезагрузка	Доступ к параметрам раздела Питание – Перезагрузка
Межсетевой экран – Псевдонимы - Редактирование	Доступ и редактирование параметров раздела Межсетевой экран – Псевдонимы
Межсетевой экран – Псевдонимы - Просмотр	Доступ к параметрам раздела Межсетевой экран – Псевдонимы
Межсетевой экран - NAT – BINAT- Просмотр	Доступ к параметрам раздела Межсетевой экран - NAT – BINAT
Межсетевой экран - NAT - BINAT - Редактирование	Доступ и редактирование параметров раздела Межсетевой экран - NAT – BINAT
Межсетевой экран - Настройки - Общие настройки	Доступ и редактирование параметров раздела Межсетевой экран - Настройки - Общие настройки
Межсетевой экран - NAT - DNAT (Prerouting) - Просмотр	Доступ к параметрам раздела Межсетевой экран - NAT - DNAT (Prerouting)
Межсетевой экран - NAT - DNAT (Prerouting) - Редактирование	Доступ и редактирование параметров раздела Межсетевой экран - NAT - DNAT (Prerouting)
Межсетевой экран - Правила фильтрации - Просмотр	Доступ к параметрам раздела Межсетевой экран - Правила фильтрации
Межсетевой экран - Правила фильтрации - Редактирование	Доступ и редактирование параметров раздела Межсетевой экран - Правила фильтрации
Межсетевой экран - Настройки - Расписания - Просмотр	Доступ к параметрам раздела Межсетевой экран - Настройки – Расписания
Межсетевой экран - Настройки - Расписания - Редактирование	Доступ и редактирование параметров раздела Межсетевой экран - Настройки – Расписания
Межсетевой экран - NAT - SNAT - Просмотр	Доступ к параметрам раздела Межсетевой экран - NAT – SNAT
Межсетевой экран - NAT - SNAT - Редактирование	Доступ и редактирование параметров раздела Межсетевой экран - NAT – SNAT
Интерфейсы - Виртуальные IP-адреса - Редактирование	Доступ и редактирование параметров раздела Интерфейсы - Виртуальные IP-адреса
Интерфейсы - Виртуальные IP-адреса - Просмотр	Доступ к параметрам раздела Интерфейсы - Виртуальные IP-адреса
Интерфейсы - Назначения портов	Доступ и редактирование параметров раздела Интерфейсы - Назначения портов
Межсетевой экран - Группы - Просмотр	Доступ к параметрам раздела Межсетевой экран - Группы
Межсетевой экран - Группы - Редактирование	Доступ и редактирование параметров раздела
Службы – Потоковый антивирус - Конфигурация	Доступ и редактирование параметров раздела Службы -Потоковый антивирус – Конфигурация
Службы - Сетевое время - Общие настройки	Доступ и редактирование параметров раздела Службы - Сетевое время - Общие настройки
Службы - Веб-прокси	Доступ и редактирование параметров раздела Службы - Веб-прокси
Интерфейсы - Обзор	Доступ к параметрам раздела Интерфейсы – Обзор
Службы - Сетевое время - Статус	Доступ к параметрам раздела Службы - Сетевое время – Статус
VPN - OpenVPN - Статус соединения	Доступ к параметрам раздела VPN - OpenVPN - Статус соединения
Службы - Сетевое время - Журнал	Доступ к параметрам раздела Службы - Сетевое время – Журнал
VPN - OpenVPN - Журнал	Доступ к параметрам раздела VPN - OpenVPN – Журнал
Система - Настройки - Администрирование	Доступ и редактирование параметров раздела Система - Настройки – Администрирование
Система - Доступ - Серверы	Доступ и редактирование параметров раздела Система - Доступ – Серверы
Система - Доверенные сертификаты - Полномочия	Доступ и редактирование параметров раздела Система - Доверенные сертификаты – Полномочия
Система - Доверенные сертификаты - Сертификаты	Доступ и редактирование параметров раздела Система - Доверенные сертификаты – Сертификаты
Система - Доверенные сертификаты - Отзыв сертификатов	Доступ к параметрам раздела Система - Доверенные сертификаты - Отзыв сертификатов
Система - Программное обеспечение	Доступ к параметрам раздела Система - Программное обеспечение
Система - Шлюзы - Группа - Просмотр	Доступ к параметрам раздела Система - Шлюзы – Группа
Система - Шлюзы - Просмотр	Доступ к параметрам раздела Система – Шлюзы
Система - Шлюзы - Редактирование	Доступ и редактирование параметров раздела Система – Шлюзы
Система - Шлюзы - Группа - Редактирование	Доступ и редактирование параметров раздела Система - Шлюзы – Группа
Система - Настройки - Общие настройки	Доступ и редактирование параметров раздела Система - Настройки - Общие настройки
Система - Доступ - Группы	Доступ и редактирование параметров раздела Система - Доступ – Группы
Система - Доступ - Пользователи	Доступ и редактирование параметров раздела Система - Доступ – Пользователи
Сводка - Пароль	Доступ и редактирование параметров раздела Сводка – Пароль
VPN - OpenVPN - Экспорт настроек клиента	Доступ и редактирование параметров раздела VPN - OpenVPN - Экспорт настроек клиента
VPN - OpenVPN - Серверы/клиенты	Доступ и редактирование параметров раздела VPN - OpenVPN - Серверы/клиенты
Службы – Мониторинг служб	Доступ и редактирование параметров раздела Службы – Мониторинг служб

Серверы аутентификации и авторизации

Аутентификация и авторизация пользователей стандартно производится по логину и паролю, используя локальную базу пользователей или внешние сервисы RADIUS/LDAP.

RADIUS

Добавление сервиса аутентификации и авторизации через внешний RADIUS-сервер происходит в разделе Система – Доступ – Серверы. Для взаимодействия REFOS с внешний RADIUS-сервером достаточно указать IP-адрес RADIUS-сервера и общий секретный ключ, все остальные параметры могут использоваться по умолчанию.

../../../../_images/tri1.png — Конфигурация сервиса аутентификации и авторизации RADIUS

Описание параметров сервиса аутентификации и авторизации RADIUS приведено в таблице.

Описание параметров сервиса аутентификации и авторизации RADIUS
Параметр	Описание
Описательное имя	Уникальное имя сервиса. Допускается латиница любого регистра, цифры, подчёркивание и дефис. Длина строки имени пользователя до 32-х символов
Тип	Тип внешнего сервиса аутентификации и авторизации – RADIUS или LDAP
Имя хоста или IP-адрес	IP-адрес внешнего RADIUS-сервера
Общий секретный ключ	Общий секретный ключ, который должен использоваться и внешним RADIUS-сервером, и REFOS. Первоначально общий секретный ключ конфигурируется на внешнем RADIUS-сервере
Предложенные службы	Выбор службы Аутентификация или Аутентификация и учет
Значение порта аутентификации	Значение порта аутентификации по умолчанию – 1812. Конфигурация порта аутентификации внешнего RADIUS-сервере должна совпадать с данным параметром
Значение порта учета	Значение порта учета по умолчанию – 1812. Конфигурация порта учета внешнего RADIUS-сервере должна совпадать с данным параметром
Тайм-аут аутентификации	Значение определяет ответ в секундах на запрос аутентификации RADIUS-сервера. По умолчанию значение равно 5 секундам.

Пример конфигурации нескольких пользователей с последующим распределением по группам, предоставлением уникальных привилегий, аутентификацией и авторизацией с внешним RADIUS-сервером

В рамках данного теста производится проверка аутентификации и авторизации пользователей, используя локальную базу пользователей и протокол RADIUS. Для проверки будет использоваться две группы пользователей с разными привилегиями, приведенными в таблице.

Группы пользователей с разными привилегиями
Имя пользователя	Имя группы	Привилегии	Метод авторизации
User_1	Testing	Межсетевой экран - NAT - BINAT : Просмотр Межсетевой экран - NAT - BINAT : Редактирование Межсетевой экран - Настройки - Общие настройки Межсетевой экран - NAT - DNAT (Prerouting) : Просмотр Межсетевой экран - NAT - DNAT (Prerouting) : Редактирование Межсетевой экран - Правила фильтрации : Просмотр Межсетевой экран - Правила фильтрации : Редактирование Межсетевой экран - NAT - SNAT : Просмотр Межсетевой экран - NAT - SNAT : Редактирование	Локальная база
User_2	Testing		Локальная база
User_3	Monitoring	Инструментальная панель Инструментальная панель(Только виджеты) Межсетевой экран - Файлы журнала - Прямая трансляция	Локальная база и RADIUS - сервер
User_4	Monitoring		Локальная база и RADIUS - сервер

В группу Testing будут входить два пользователя User_1 и User_2. Которым будут доступны функции фильтрации, трансляции (DNAT, SNAT, BINAT). Данные пользователи могут создавать, редактировать и просматривать правила фильтрации и трансляции. Аутентификация и авторизация будет происходить через локальную базу пользователей в системе.

В группу Monitoring будут входить два пользователя User_3 и User_4. Которым будут доступны функции просмотра состояния системы – Инструментальная панель и Журнал логов. Аутентификация и авторизация будет происходить через локальную базу пользователей в системе, а также система будет отправлять запрос аутентификации на RADIUS-сервер, тем самым проверяя пользователя по базе пользователей RADIUS-сервера.

Схема подключения изображена на рисунке.

../../../../_images/four3.png — Схема подключения

Следуя схеме теста, ПК 1 подключается к REFOS и проходит аутентификацию и авторизацию, используя учетные данные пользователей User_1, User_2, User_3, User_4. Процесс аутентификации использует локальную базу пользователей REFOS, а также дополнительную проверку на RADIUS-сервере для пользователей User_3, User_4. Процесс авторизации использует только локальную базу пользователей REFOS.

В первую очередь, создадим учетные записи User_1, User_2, User_3, User_4 в локальной базе пользователей REFOS.

Вкладка Система - Доступ – Пользователи.

Для создания учетной записи достаточно указать Имя пользователя и Пароль, все остальные параметры являются дополнительными.

../../../../_images/five2.png — Создание учетной записи пользователя User_1

Аналогично созданию учетной записи пользователя User_1 создадим других пользователей: User_2, User_3, User_4.

Создадим две группы Testing и Monitoring. Каждой группе предоставим определенные условиями теста привилегии, а также распределим пользователей.

../../../../_images/six1.png — Создание группы Testing

../../../../_images/seven.png — Создание группы Monitoring

Далее сконфигурируем параметры соединения с RADIUS-сервером. Для этого,, укажем IP-адрес RADIUS-сервера и общий секретный ключ, остальные параметры являются второстепенными и используются по умолчанию.

../../../../_images/eit.png — Параметры соединения с RADIUS-сервером

Для удачной аутентификации пользователей User_3, User_4, данные учетные записи должны быть продублированы на удаленном RADIUS-сервере.

Средством проверки произведем проверку аутентификации пользователя удаленным RADIUS-сервером через вкладку Система - Доступ - Средство проверки.

../../../../_images/nine.png — Удачная проверка аутентификации пользователя User_3

Неудачная проверка аутентификации пользователя показана на рисунке.

../../../../_images/ten.png — Неудачная проверка аутентификации пользователя User_2

Подсказка

Неудачная проверка аутентификации пользователя User_2, т.к. данный пользователь отсутствует в базе пользователей удаленного RADIUS-сервера

Произведем итоговую проверку аутентификации и авторизации пользователей User_1, User_2, User_3, User_4. Результаты итоговой проверки аутентификации и авторизации приведены на рисунках.

../../../../_images/eleven.png — Результат авторизации пользователей User_1 и User_2

Подсказка

В соответствии с предоставленными привилегиями, пользователям доступны только основные функции фильтрации и трансляции

../../../../_images/twelve.png — Результат авторизации пользователей User_3 и User_4

Подсказка

В соответствии с предоставленными привилегиями, пользователям доступны только основные функции просмотра состояния системы и системных сообщений

Настройка резервирования на основе CARP

DHCP