Настройка управления доступом на основе ролей (RBAC)

В данном разделе описана настройка доступа к администрированию NGate в веб-интерфейсе на основе различных ролей.

Администрирование в процессе эксплуатации шлюза NGate (не первичной настройки) может осуществляться Администраторами с различными ролями, так называемая политика управления доступом на основе ролей (англ. Role Based Access Control, RBAC). Каждая роль предполагает свои права доступа к строго определённым настройкам.

  1. Для доступа к веб-интерфейсу управления Администраторов с ролями активируйте портал для администраторов с ограниченными правами (admin portal), если портал не был активирован ранее при настройке инфраструктуры PKI внутреннего взаимодействия NGate.
    1. Должны быть выполнены все действия по настройке инфраструктуры PKI внутреннего взаимодействия NGate, включая создание портала суперадминистратора ng-admin (superadmin portal).
      Создание инфраструктуры открытых ключей внутреннего взаимодействия NGate
    2. Подключитесь консольно к СУ NGate.
      Способы подключения к аппаратным платформам NGate
      Разрешение удалённого доступа суперпользователя root по SSH в консоли
    3. Запустите консольную утилиту ng-certcfg.
    4. Перейдите в меню действия с сертификатом Администратора и активируйте портал для Администраторов с ролями. Если используется внешний УЦ Work with external CA > Administrator certificate > Activate admin portal; внутренний сервис СУ: Work with internal MC service > Administrator certificate > Activate admin portal.


    5. Перезапустите сервисы Web и uWSGI для применения новых настроек.


  2. Настройка доступа на основе ролей осуществляется строго пользователем ng-admin (суперадминистратор).
    1. Зайдите в веб-интерфейс Администратора от имени пользователя ng-admin.
      Подключение АРМ Администратора к веб-интерфейсу Системы управления
    2. Добавьте в СУ NGate LDAP-сервер, где уже заранее созданы и настроены группы для будущих Администраторов с ролями: на боковой панели External Services > LDAP Servers
      Привязка LDAP-серверов к конфигурации
  3. Выполните привязку LDAP-сервера к СУ: Dashboard > Management Center Setting > LDAP Server > Assign


  4. Выберите необходимый LDAP-сервер и нажмите Assign.


  5. Загрузите изменения на СУ (не влияет на работу клиентского доступа LDAP): Upload.


  6. Перейдите в меню настройки доступа, где отображаются группы, привязанных к СУ LDAP-серверов.
    В каждом поле настройки доступен фильтр:
    • Group name — имя группы;
    • User membership — выбор группы по наличию пользователя.


  7. Выберите в поле каждой политики управления необходимые группы пользователей, которым будет открыт доступ. Выбранные группы на сером фоне. При необходимости используйте фильтры по имени группы или пользователю в группе.


    Прим.: Доступ может быть только группе пользователей, для задания доступа конкретному пользователю необходимо создать отдельную группу в LDAP-сервере.
    Прим.: Для входа в веб-интерфейс Администратора пользователю нужно состоять хотя бы в одной группе с разрешённой политикой доступа.
    Наименование политики доступа Описание
    External service edit groups

    Группы редактирования внешних служб

    		 Пользователи из этих групп имеют право редактировать внешние службы и наборы заголовков
    Certificate edit groups

    Группы редактирования сертификатов

    		 Пользователи из этих групп имеют право загружать и редактировать сертификаты
    Audit groups

    Группы аудита

    		 Пользователи из этих групп имеют право на просмотр всех настроек, кроме паролей и прочих секретов. Без возможности вносить изменения
    Nodes edit groups

    Группы редактирования узлов

    		 Пользователи из этих групп имеют право редактировать узлы и сетевые настройки кластеров, к которым у них есть доступ
    Configuration edit groups

    Группы редактирования конфигурации

    		 Пользователи из этих групп имеют право редактировать конфигурации кластеров, к которым у них есть доступ
    Configuration publish groups

    Группы публикации конфигураций

    		 Пользователи из этих групп имеют право публиковать конфигурации кластеров, к которым у них есть доступ
    IPsec edit groups

    Группы редактирования IPsec

    		 Пользователи, которым разрешено редактировать общие настройки IPsec, за исключением PSK
    IPsec PSK edit groups

    Группы редактирования PSK IPsec

    		 Пользователи, которым разрешено создавать и удалять PSK IPsec
  8. Сохраните настройки: Save. Или выполните сброс настроек: Revert.
  9. Настройте доступ к кластерам. По умолчанию доступ открыт только для суперадминистратора ng-admin.
    1. Перейдите на страницу списка кластеров и выберите кластер для редактирования настроек: Clusters > Summary > Edit.


    2. В списке групп доступа (Acceess groups) выберите группы, которым будет открыт доступ к изменению настроек кластера. Выбранные группы на сером фоне. При необходимости используйте фильтры по имени группы или пользователю в группе. Сохраните настройки: Save.


  10. После завершения настройки доступа на основе ролей Администраторы с ролями из LDAP могут входить в веб-интерфейс Администратора NGate по 8001 порту и протоколу https.
    Подключение АРМ Администратора к веб-интерфейсу Системы управления


    Прим.: Редактирование и просмотр Администраторам с ролями будут доступны только для разрешённых настроек. При отсутствии доступа к редактированию система выдаст сообщение: Permission denied / Доступ запрещен).