Перейти к содержанию

Первоначальная настройка ECP VeiL

Вход в систему

Для первоначальной настройки ECP VeiL необходимо авторизоваться в Web-интерфейсе управления кластером с пользователем, имеющим права администратора. Данный интерфейс доступен по адресу СУ ECP VeiL.

При открытии интерфейса управления в браузере откроется окно авторизации, в котором необходимо ввести:

  • имя пользователя, по умолчанию - admin;

  • пароль, по умолчанию - veil;

  • выбрать язык интерфейса.

Лицензирование в CLI

Проверка зарегистрированного ключа в CLI выполняется командой: system license

Лицензирование в Web-интерфейсе

После авторизации в Web-интерфейсе при отсутствии ключа или окончании техподдержки автоматически отобразится окно загрузки лицензионного ключа.

Для загрузки другого лицензионного ключа и просмотра действующей лицензии используется раздел Настройки - Лицензирование.

В разделе Настройки - Лицензирование содержится информация по действующему лицензионному ключу ECP VeiL, содержащая:

  • лицензия на ПО;
  • e-mail;
  • компания;
  • количество серверов;
  • дней до окончания лицензии;
  • дней до окончания сервисной поддержки;
  • дата завершения лицензии;
  • дата завершения сервисной поддержки.

Количество физических процессоров на сервере

Количество используемых физических процессоров на сервере программными средствами не ограничено. При этом количество процессоров не может быть менее количества установленных на сервере и более количества сокетов на сервере.

Для установки лицензионного ключа активации необходимо выполнить следующие действия:

  • вставить компакт-диск Ключ активации;
  • нажать на кнопку Выбрать файл лицензии;
  • в стандартном окне загрузки файлов выбрать файл формата key, находящийся на компакт-диске, и нажать Открыть;
  • далее обновить информацию по кнопке image.

Пользователи и роли

Управление параметрами собственной учетной записи производится в разделе Безопасность - Пользователи или справа в окне при нажатии на профиль пользователя.

Если пользователь является администратором безопасности, то ему будет доступно управление учетными записями других пользователей в разделе Безопасность - Пользователи: создание нового и деактивация (прекращение работы) имеющегося пользователя, изменение пароля другого пользователя.

Прекращение работы пользователя в системе осуществляется посредством изменения статуса учетной записи на Неактивный. При этом все действия пользователя, произведенные им ранее и зафиксированные в системных журналах, сохранят связь с этим пользователем.

Удаление пользователя

Пользователь не удаляется при изменении статуса на Неактивный. Это сделано для сохранения истории.

В системе предусмотрен ролевой метод разграничения доступа. Существуют следующие типы пользователей (пользовательские роли):

  • администратор;

  • администратор безопасности;

  • оператор ВМ;

  • только чтение.

Для пользователя со встроенной учётной записью администратора admin применяется роли администратор и администратор безопасности. Для него доступны все настройки кластера.

При применении ролевой модели система управления кластером считает приоритетными запрещающие правила.

Для пользователя с ролью администратор действует разрешение: полный доступ, кроме разрешений администратора безопасности.

Для пользователя с ролью администратор безопасности действуют следующие разрешения:

  • управление службами каталогов;

  • управление SSL-сертификатами;

  • управление пользователями.

Для пользователя с ролью оператора ВМ действуют следующие разрешения:

  • управление ресурсами размещения ВМ;

  • управление пулами данных;

  • управление ВМ, владельцем которых он является.

Для пользователя с ролью только чтение действует ограничение: чтение всех параметров кластера, кроме параметров и информации безопасности.

Подробное описание разграничения доступа ролей пользователей в таблице.

Настройки ролей

Роли пользователей имеют настройки:

  • приоритет (значения от 0 до 32767).

Сумма приоритетов ролей используется для сортировки Соответствий служб каталогов для применения наиболее приоритетных ролей к LDAP учетной записи, которая прошла аутентификацию.

Службы каталогов

В системе реализована поддержка авторизации пользователей из Windows AD и FreeIPA посредством LDAP.

Для регистрации внешних пользователей необходимо в разделе Безопасность - Службы каталогов:

  • добавить подключение к внешнему LDAP-серверу;

  • для каждого LDAP-сервера настроить сопоставление пользователей (групп пользователей) с ролями системы управления кластером.

Если никакого сопоставления групп или пользователей AD не производилось, то все LDAP-пользователи могут зарегистрироваться в системе и иметь роль оператор ВМ.

В отличие от встроенной базы данных пользователей для Windows AD допускается назначать пользователю или группе роль суперпользователя.

В системе реализована поддержка технологии Single Sigh-On (SSO). Для её подключения необходимо:

  • на контроллере Active Directory (AD) создать пользователя с соответствующими правами (администратора домена или разрешить набор прав для проверки пользователей через сетевой протокол безопасной идентификации/аутентификации Kerberos);

  • зарегистрировать в Windows DNS доменное имя для контроллера(ов) ECP VeiL;

  • сформировать на контроллере домена Kerberos (keytabs) файл, по которому контроллер ECP VeiL будет авторизовываться в AD.

Kerberos (кeytabs) файл загружается для целевой службы каталогов на вкладке Keytabs.

В окне, открывающемся по кнопке Конфигурация SSO, вносятся данные, с которым будет проходить авторизация:

  • параметры пользователя AD (имя пользователя и пароль);

  • доменное имя контроллера ECP VeiL (cубдомен).

В данном окне имя пользователя и DNS-имя контроллера ECP VeiL вносится без указания имени домена AD.

Если в качестве основного DNS-сервера для ECP VeiL не установлен DNS Windows AD, то поля admin_server и kdc_urls можно указывать в виде IP-адреса контроллера Windows AD.

Back to top