Перейти к содержанию

Пользователи

Пользователи - это наименьшая сущность владения объектами. Обычно, закрепление объекта за конкретным пользователем означает персональную его принадлежность, например, ВМ.

Администратор

Пользователи с атрибутом Администратор имеют доступ ко всем объектам системы, но, если ВМ была выдана конкретному пользователю, доступ к ней можно получить только переназначением ее на Администратора.

Добавление пользователя

Примечание

Пользователь может быть создан с помощью синхронизации. Описание находится в разделе синхронизация пользователей.

PAM

При активированной опции PAM_AUTH на ОС Astra Linux пользователи будут также создаваться в системе в соответствии со сценарием, описанным в /usr/sbin/vdi_adduser_bi.sh. Стандартный сценарий добавляет пользователя в группу vdi-web (PAM_USER_GROUP) и задает ему атрибуты --disabled-login, --no-create-home, --shell /sbin/nologin.

Для упрощения синхронизации LDAP команда vdi_adduser_bi.sh содержит флаг --force-badname. Если синхронизация не планируется или система содержит требуемые настройки, то команду следует оптимизировать под нужды пользователя.

Добавление пользователя производится с помощью кнопки Добавить пользователя в разделе Настройки -> Пользователи. В открывшемся окне необходимо заполнить следующие поля:

  • Имя пользователя (обязательное поле, при PAM должно быть уникальным и для локальной ОС);
  • Пароль (обязательное поле, при PAM должно соответствовать правилам пароля в локальной ОС);
  • Почтовый адрес (необязательное поле);
  • Имя (необязательное поле);
  • Фамилия (необязательное поле);
  • Группа (необязательное поле);
  • Администратор.

атрибут Администратор

При включенном PAM_AUTH пользователь будет также включен в группу vdi-web-admin (PAM_SUPERUSER_GROUP). Используйте переключатель с осторожностью. Лучшим выбором будет создать Группу с определенным набором Ролей, чем давать доступ ко всем объектам системы.

Пример формы создания

image

Информация о пользователе

В информации пользователя доступна следующая информация:

  • Дата создания пользователя;
  • Дата изменения атрибутов пользователя;
  • Дата последней успешной авторизации пользователя;
  • Наличие двухфакторной аутентификации;
  • Статус пользователя.

Двухфакторная аутентификация

По умолчанию двухфакторная аутентификация отключена для всех пользователей. Для ее включения необходимо редактировать поле двухфакторной аутентификации: проставить галочку и сгенерировать код, после чего появятся QR код и секретный код (строка из 32 символов) в текстовом формате. Данный QR код необходимо отсканировать с помощью любого стороннего приложения — аутентификатора, поддерживающего функцию генерации одноразовых паролей (OATH TOTP), или ввести в подобном приложении секретный код (строку из 32 символов) вручную.

Внимание

После включения двухфакторной аутентификации вход в среду VeiL Broker будет по локальному паролю и 6-значному одноразовому паролю — обязательно отсканируйте QR код при его генерации, так как просмотр и копирование кода возможны только при его создании.

Статус пользователя

Пользователи в статусе отличном от Активный не имеют возможности входа в систему.

Чтобы закрепить Роль за пользователем, необходимо нажать кнопку Добавить роль в разделе Роли ранее созданного пользователя.

Пример закрепления роли за пользователем

image

Примечание

Пользователь может быть включен в группу в результате синхронизации со службой каталогов. Подробности описаны в в разделе синхронизация пользователей.

Закрепление Роли за Группой производится аналогично в разделе Роли.

Владение объектами

Чтобы закрепить конкретный объект в системе за пользователем, необходимо перейти в информацию об объекте и в разделе Пользователи нажать кнопку Добавить пользователя.

Пример закрепления пула за пользователем

image

Владение ВМ

Т.к. при выдаче свободной ВМ из пула она закрепляется за конкретным пользователем, то ВМ может содержать персональную информацию пользователя. Для предотвращения случайной выдачи единственным способом переназначения ВМ другому пользователю будет назначение через интерфейс администратора ВМ.

PAM

При включении опции PAM_AUTH процесс создания пользователя частично перекладывается на встроенные механизмы ОС. Базовые опции для Astra Linux 1.6 описаны в разделе Настройка PAM инструкции по установке. Детальное описание необходимо изучить в инструкции к используемому дистрибутиву.