Пользователи

Раздел предназначен для работы со следующими видами пользователей Indeed PAM:

• Пользователи из службы каталога.
  Для таких пользователей в поле Источник указано Каталог.
• Внутренние пользователи.
  Для таких пользователей в поле Источник указано PAM.

По умолчанию отображается 15 пользователей. При превышении этого числа внизу страницы появится переключатель. Для просмотра доступно только 1000 пользователей. Отображаемое по умолчанию количество пользователей на странице можно изменить в конфигурационном файле.

Windows	C:\inetpub\wwwroot\mc\assets\config\config.prod.json
Linux	/etc/indeed/indeed-pam/mc/config.prod.json

Найти пользователя

Введите в поисковую строку имя, фамилию, номер телефона или Email и нажмите .

Нажмите Расширенный поиск, введите один или несколько запросов и нажмите Найти.

Примечание

Поиск по логину не поддерживается.

Чтобы найти удаленных пользователей:

1. Откройте раздел Пользователи и нажмите Расширенный поиск.
2. Выберите значение Удален для параметра Состояние.
3. Нажмите Найти.

Создать внутреннего пользователя

Предупреждение

Не закрывайте окно, пока не передадите пароль пользователю.

Для внутренних пользователей недоступно подключение через RDS.

1. Откройте раздел Пользователи.
2. Нажмите Создать.
3. Заполните поле Логин.
   По логину происходит вход в консоли пользователя и администратора.
4. Выберите одну из опций:
   • Задать пароль вручную — пароль задается в ручном режиме.
   • Сгенерировать — пароль сгенерируется PAM.
5. Скопируйте пароль и передайте его пользователю.
6. Задайте опцию Требовать смену пароля при первом входе.
7. Введите Email пользователя.
8. Нажмите Дополнительно и заполните поля: Имя, Фамилия, Телефон, Описание.
9. Завершите добавление пользователя:
   • Нажмите Создать, чтобы остаться в разделе Пользователи.
   • Нажмите Создать и открыть, чтобы перейти в профиль нового пользователя.

Профиль пользователя

Для каждого пользователя отображаются:

• Разрешения — список выданных разрешений для пользователя на подключение к ресурсу.
• Группы пользователей — список групп, в которых состоит пользователь.
• Сессии — список активных, завершенных и прерванных сессий.
• Аутентификаторы — информация о настроенных аутентификаторах пользователя.
• События — записи об операциях, связанных с пользователем.

Редактировать данные в профиле

1. Откройте профиль пользователя.
2. Нажмите    напротив параметра, чтобы задать или отредактировать его.

Выбрать политику

1. Откройте профиль пользователя.
2. Нажмите    напротив параметра Политика.
3. Выберите политику из списка и нажмите Выбрать.

Настроить аутентификатор

На вкладке Аутентификаторы отображается информация о пароле, втором факторе и SSH-ключах, которые позволяют подключаться к SSH Proxy без пароля.

Для внутреннего пользователя PAM отображаются дата и время последней смены пароля, а также срок действия пароля.

Для всех пользователей отображается состояние аутентификатора. Значение Не обучена указывает на незарегистрированный аутентификатор. При первом входе пользователя в консоль администратора или консоль пользователя откроется страница с инструкцией по регистрации аутентификатора. После регистрации отображается значение Обучена.

Добавить SSH-ключ

SSH-ключи позволяют подключаться к SSH Proxy без пароля. Одному пользователю можно добавить максимум 10 SSH-ключей. Ключи должны быть уникальными в рамках одного пользователя, но могут повторяться у разных пользователей.

Поддерживаемые алгоритмы шифрования ключей:

• rsa-sha2-256
• rsa-sha2-512
• ecdsa-sha2-nistp256
• ecdsa-sha2-nistp384
• ecdsa-sha2-nistp521
• ssh-ed25519

Включить или отключить использование ключей можно в разделе Конфигурация.

Предупреждение

Чтобы добавить ключ пользователю, у администратора должна быть привилегия User.ManageSshAuthorizedKeys.

Чтобы добавить SSH-ключ:

• вставьте скопированную строку, содержащую алгоритм шифрования и ключ;
• прикрепите файл сертификата X.509.

Ключ в текстовом формате

1. Откройте профиль пользователя.
2. Перейдите на вкладку Аутентификаторы.
3. Нажмите Добавить.
4. Вставьте ключ в формате OpenSSH в поле Открытый ключ. Строка с ключом должна содержать алгоритм шифрования и ключ. Опционально строка может содержать комментарий, например имя пользователя и хост.
   Пример: ssh-ed25519 AAAAC3... user@host
5. Заполните поле Описание.
6. Нажмите Добавить.

Сертификат X.509

1. Откройте профиль пользователя.

2. Перейдите на вкладку Аутентификаторы.

3. Нажмите Добавить.

4. Нажмите Загрузить сертификат.

5. Проверьте срок действия сертификата. Для этого запустите одну из команд в зависимости от используемой ОС:

   Команда для Windows

   certutil -verify -urlfetch "Название файла сертификата.crt"
   Команда для Linux

   openssl x509 -in "Название файла сертификата.crt" -text -noout

   Убедитесь, что срок, в который планируется подключение по ключу, входит в промежуток дат между NotBefore и NotAfter.

6. Загрузите файл в поле Сертификат X.509.

   Предупреждение

   Загрузка сертификата, который содержит цепочку сертификатов, не поддерживается.

   Автоматической проверки на срок действия сертификата нет.

7. Отредактируйте поле Описание.

8. Нажмите Добавить.

Предупреждение

Ключ невозможно восстановить после удаления.

Чтобы удалить SSH-ключ:

1. Откройте профиль пользователя.
2. Перейдите на вкладку Аутентификаторы.
3. Выберите один или несколько ключей.
4. Нажмите Удалить.

При удалении SSH-ключа открытая с помощью этого ключа сессия не разрывается.

Примечание

Если один и тот же ключ добавлен нескольким пользователям, то удаление ключа у одного пользователя не приведет к удалению такого же ключа у других пользователей.

Задать аутентификатор

1. Откройте профиль пользователя и перейдите на вкладку Аутентификаторы.
2. Нажмите    напротив параметра Требовать второй фактор и выберите одну из опций:
   • По умолчанию — по умолчанию требуется ввод пользователем второго фактора для аутентификации в системе.
   • Включено — у пользователя запрашивается второй фактор для аутентификации в системе.
   • Отключено — у пользователя не запрашивается второй фактор для аутентификации в системе.
3. Нажмите Изменить.

Чтобы сбросить аутентификатор, нажмите  напротив нужного аутентификатора.

Добавить разрешение

1. Откройте профиль пользователя.
2. Нажмите Добавить разрешение.
3. Выберите параметр разрешения:
   • Ресурсы — разрешение выдается на один или несколько выбранных ресурсов.
   • Группы ресурсов — разрешение выдается на выбранную группу ресурсов.
   • Произвольные подключения — разрешение выдается на любые ресурсы с выбранным типом подключения, в том числе на ресурсы, не зарегистрированные в PAM.
4. Выберите учетную запись:
   • Выбрать УЗ в PAM — учетная запись, от имени которой пользователь откроет сессию на ресурсе.
   • Пользовательская УЗ — в разрешении не будет указана учетная запись, PAM запросит учетные данные перед открытием сессии.
5. Настройте Ограничения времени и нажмите Вперед.
6. Настройте Параметры разрешения и нажмите Вперед.
7. Заполните поле Описание и нажмите Вперед.
8. Убедитесь в правильности данных и нажмите Создать.

Добавить и удалить из группы

Чтобы добавить пользователя в группу:

1. Откройте профиль пользователя и перейдите на вкладку Группы пользователей.
2. Нажмите Добавить группы пользователей.
3. Выберите одну или несколько групп и нажмите ОК.

Чтобы удалить пользователя из группы:

1. Откройте профиль пользователя и перейдите на вкладку Группы пользователей.
2. Выберите одну или несколько групп.
3. Нажмите Удалить.
4. Подтвердите действие нажатием Удалить во всплывающем окне.

Чтобы добавить в группу нескольких пользователей, в разделе Пользователи выберите нужных пользователей и нажмите Добавить в группу. Выберите одну или несколько групп и нажмите ОК.

Задать, сбросить или запросить пароль

Предупреждение

Доступно только для внутренних пользователей Indeed PAM.

1. Откройте профиль внутреннего пользователя.
2. Нажмите Сбросить пароль.
3. Выберите одну из опций:
   • Сгенерировать — пароль создается автоматически.
   • Задать пароль вручную — пароль задается в ручном режиме.
     
   • Запросить смену пароля — пароль запрашивается PAM при входе в систему.
4. Передайте пароль пользователю. После закрытия формы узнать пароль будет невозможно.
5. Задайте опцию Требовать смену пароля при первом входе.
6. Задайте опцию Прервать все активные сессии и выйти из системы.
7. Нажмите Сохранить.

Чтобы сбросить пароль для нескольких пользователей, в разделе Пользователи выберите нужных пользователей и нажмите Запросить смену пароля. Можно прервать все активные сессии выбранных пользователей.

Заблокировать и разблокировать

Заблокируйте пользователя, если нужно ограничить доступ к PAM. При блокировке доступ в систему полностью прекращается: аутентификация в консолях пользователя и администратора недоступна, а все активные сессии завершаются. В любой момент пользователя можно разблокировать.

Чтобы заблокировать пользователя:

1. Зайдите в раздел Пользователи.
2. Откройте профиль пользователя.
3. Нажмите Заблокировать.
4. В окне подтверждения операции нажмите Заблокировать.

Чтобы заблокировать нескольких пользователей, в разделе Пользователи выберите нужных пользователей и нажмите Заблокировать.

Чтобы разблокировать пользователя:

1. Зайдите в раздел Пользователи.
2. Откройте профиль заблокированного пользователя.
3. Нажмите Разблокировать.
4. В окне подтверждения операции нажмите Разблокировать.

Чтобы разблокировать нескольких пользователей, в разделе Пользователи выберите заблокированных пользователей и нажмите Разблокировать.

Удалить пользователя

Предупреждение

Эта операция применима только для внутренних пользователей Indeed PAM.

Удаленного пользователя нельзя восстановить. Невозможно удалить самого себя и первого администратора ролей.

Чтобы удалить пользователя:

1. Откройте профиль внутреннего пользователя.
2. Нажмите Удалить.
3. Прочитайте информацию во всплывающем окне и подтвердите действие нажатием Удалить.

Чтобы удалить нескольких пользователей PAM, в разделе Пользователи выберите нужных пользователей и нажмите Удалить.

После удаления пользователя:

• все активные сессии завершаются;
• выданные разрешения отзываются;
• пользователю недоступен вход в PAM и аутентификация;
• пользователь исключается из всех групп пользователей и области действия политики, в которых он состоит;
• логин удаленного пользователя меняется: к нему добавляется суффикс _deleted и случайно сгенерированная строка.

Удаленные пользователи перестают отображаться в разделе Пользователи, но их можно просмотреть с помощью расширенного поиска.