Пользователи

Раздел предназначен для работы со следующими видами пользователей Indeed PAM:

• Пользователи из службы каталога.
  Для таких пользователей в поле Источник указано Каталог.
• Внутренние пользователи.
  Для таких пользователей в поле Источник указано PAM.

По умолчанию отображается 15 пользователей. При превышении этого числа внизу страницы появится переключатель. Для просмотра доступно только 1000 пользователей.

Отображаемое по умолчанию количество пользователей на странице можно изменить в конфигурационном файле.

Windows	C:\inetpub\wwwroot\pam\mc\assets\config\config.prod.json
Linux	/etc/indeed/indeed-pam/mc/config.prod.json

Найти пользователя

Введите в поисковую строку имя, фамилию, номер телефона или Email и нажмите .

Нажмите Расширенный поиск, введите один или несколько запросов и нажмите Найти.

Примечание

Поиска по логину нет.

Чтобы найти удаленных пользователей:

1. Откройте раздел Пользователи и нажмите Расширенный поиск.
2. Выберите значение Удален для параметра Состояние.
3. Нажмите Найти.

Создать внутреннего пользователя

Предупреждение

Не закрывайте окно, пока не передадите пароль пользователю.

Для внутренних пользователей недоступно подключение через RDS.

1. Откройте раздел Пользователи.
2. Нажмите Создать.
3. Задайте Логин.
   По логину происходит вход в консоли пользователя и администратора.
4. Выберите одну из опций:
   • Задать пароль вручную — пароль будет задан в ручном режиме.
   • Сгенерировать — пароль будет сгенерирован PAM.
5. Скопируйте пароль и передайте его пользователю.
6. Задайте опцию Требовать смену пароля при первом входе.
7. Введите Email пользователя.
8. Нажмите Дополнительно и заполните поля: Имя, Фамилия, Телефон, Описание.
9. Завершите добавление пользователя:
   • Нажмите Создать, чтобы остаться в разделе Пользователи.
   • Нажмите Создать и открыть, чтобы перейти в профиль нового пользователя.

Профиль пользователя

Для каждого пользователя отображаются:

• Разрешения — список выданных разрешений для пользователя на подключение к ресурсу.
• Группы пользователей — список групп, в которых состоит пользователь.
• Сессии — список активных, завершенных и прерванных сессий.
• Аутентификаторы — информация о настроенных аутентификаторах пользователя.
• События — записи об операциях, связанных с пользователем.

Редактировать данные в профиле

1. Откройте профиль пользователя.
2. Нажмите    напротив параметра, чтобы задать или отредактировать его.

Выбрать политику

1. Откройте профиль пользователя.
2. Нажмите    напротив параметра Политика.
3. Выберите политику из списка и нажмите Выбрать.

Настроить аутентификатор

На вкладке Аутентификаторы отображается информация о пароле, втором факторе и SSH-ключах, которые позволяют подключаться к SSH Proxy без пароля.

Для внутреннего пользователя PAM отображаются дата и время последней смены пароля, а также срок действия пароля.

Для всех пользователей отображается состояние аутентификатора. Значение Не обучена указывает на незарегистрированный аутентификатор. При первом входе пользователя в консоль администратора или консоль пользователя откроется страница с инструкцией по регистрации аутентификатора. После регистрации отображается значение Обучена.

Добавить SSH-ключ

SSH-ключи позволяют подключаться к SSH Proxy без пароля. Одному пользователю можно добавить максимум 10 SSH-ключей. Ключи должны быть уникальными в рамках одного пользователя, но могут повторяться у разных пользователей.

Поддерживаемые алгоритмы шифрования ключей:

• rsa-sha2-256
• rsa-sha2-512
• ecdsa-sha2-nistp256
• ecdsa-sha2-nistp384
• ecdsa-sha2-nistp521
• ssh-ed25519

Включить или отключить использование ключей:
Конфигурация → Аутентификация пользователей → Аутентификация по SSH-ключам.

Предупреждение

Чтобы добавить ключ пользователю, у администратора должна быть привилегия User.ManageSshAuthorizedKeys.

Добавить SSH-ключ можно:

• вручную, а именно вставить скопированную строку, содержащую алгоритм шифрования и ключ;
• прикрепить файл сертификата X.509.

Ключ в текстовом формате

1. Откройте профиль пользователя.
2. Перейдите на вкладку Аутентификаторы.
3. Нажмите Добавить.
4. Вставьте ключ в формате OpenSSH в поле Открытый ключ. Строка с ключом должна содержать алгоритм шифрования и ключ. Опционально строка может содержать комментарий, например имя пользователя и хост. Пример: ssh-ed25519 AAAAC3... user@host.
5. Заполните поле Описание.
6. Нажмите Добавить.

Сертификат X.509

1. Откройте профиль пользователя.

2. Перейдите на вкладку Аутентификаторы.

3. Нажмите Добавить.

4. Нажмите Загрузить сертификат.

5. Проверьте срок действия сертификата. Для этого запустите одну из команд в зависимости от используемой ОС:

   Команда для Windows

   certutil -verify -urlfetch "Название файла сертификата.crt"
   Команда для Linux

   openssl x509 -in "Название файла сертификата.crt" -text -noout

   Убедитесь, что срок, в который планируется подключение по ключу входит в промежуток дат между NotBefore и NotAfter.

6. Загрузите файл в поле Сертификат X.509.

   Предупреждение

   Загрузка сертификата, который содержит цепочку сертификатов, не поддерживается.

   Автоматической проверки на срок действия сертификата нет. Если срок сертификата истек или еще не начал действовать, ключ загрузится, и сессия с таким ключом откроется.

7. Отредактируйте поле Описание.

8. Нажмите Добавить.

Чтобы удалить SSH-ключ:

Предупреждение

Ключ невозможно восстановить после удаления.

1. Откройте профиль пользователя.
2. Перейдите на вкладку Аутентификаторы.
3. Выберите один или несколько ключей.
4. Нажмите Удалить.

При удалении SSH-ключа открытая с помощью этого ключа сессия не разрывается.

Примечание

Если один и тот же ключ добавлен нескольким пользователям, то учитывайте, что удаление ключа у одного пользователя не приведет к удалению такого же ключа у других пользователей.

Задать аутентификатор

1. Откройте профиль пользователя и перейдите на вкладку Аутентификаторы.
2. Нажмите    напротив параметра Требовать второй фактор и выберите одну из опций.
   • По умолчанию — по умолчанию требуется ввод пользователем второго фактора для аутентификации в системе.
   • Включено — пользователя будет запрашиваться второй фактор для аутентификации в системе.
   • Отключено — у пользователя не будет запрашиваться второй фактор для аутентификации в системе.
3. Нажмите Изменить

Чтобы сбросить аутентификатор, нажмите  справа от нужного аутентификатора.

Добавить разрешение

1. Откройте профиль пользователя.
2. Нажмите Добавить разрешение.
3. Выберите параметр разрешения:
   • Ресурсы — разрешение выдается на один или несколько выбранных ресурсов.
   • Группы ресурсов — разрешение выдается на выбранную группу ресурсов.
   • Произвольные подключения — разрешение выдается на любые ресурсы с выбранным типом подключения, в том числе на ресурсы, незарегистрированные в PAM.
4. Выберите учетную запись:
   • Выбрать УЗ в PAM — учетная запись, от имени которой пользователь будет открывать сессию на ресурсе.
   • Пользовательская УЗ — в разрешении не будет указана учетная запись, PAM запросит учетные данные перед открытием сессии.
5. Настройте Ограничения по времени и нажмите Вперед.
6. Настройте Параметры разрешения и нажмите Вперед.
7. Заполните поле Описание и нажмите Вперед.
8. Убедитесь в правильности данных и нажмите Создать.

Добавить и удалить из группы

Чтобы добавить пользователя в группу:

1. Откройте профиль пользователя и перейдите на вкладку Группы пользователей.
2. Нажмите Добавить группы пользователей.
3. Выберите одну или несколько групп и нажмите ОК.

Чтобы удалить пользователя из группы:

1. Откройте профиль пользователя и перейдите на вкладку Группы пользователей.
2. Выберите одну или несколько групп.
3. Нажмите Удалить.
4. Подтвердите действие нажатием Удалить во всплывающем окне.

Чтобы добавить в группу несколько пользователей PAM, в разделе Пользователи выберите нужных пользователей и нажмите Добавить в группу. Выберите одну или несколько групп и нажмите ОК.

Задать, сбросить или запросить пароль

Предупреждение

Доступно только для внутренних пользователей Indeed PAM.

1. Откройте профиль внутреннего пользователя.
2. Нажмите Сбросить пароль.
3. Выберите одну из опций:
   • Сгенерировать — пароль будет создан автоматически.
   • Задать пароль вручную — пароль будет задан в ручном режиме.
     
   • Запросить смену пароля — пароль будет запрошен PAM при входе в систему.
4. Передайте пароль пользователю. После закрытия формы узнать пароль будет невозможно.
5. Задайте опцию Требовать смену пароля при первом входе.
6. Задайте опцию Прервать все активные сессии и выйти из системы.
7. Нажмите Сохранить.

Чтобы сбросить пароль для нескольких пользователей PAM, в разделе Пользователи выберите нужных пользователей и нажмите Запросить смену пароля. Можно прервать все активные сессии выбранных пользователей.

Заблокировать и разблокировать

Заблокируйте пользователя, если заметили от него подозрительные действия. Это позволит быстро закрыть пользователю доступ к ресурсам и прервать все активные сессии до выяснения обстоятельств. Менять ресурсы и учетные записи не нужно.
В любой момент пользователя можно разблокировать.

Заблокированный пользователь не может:

• открывать сессии;
• просматривать, устанавливать и менять пароль учетной записи;
• получать доступ к аутентификационным данным приложений AAPM.

Чтобы заблокировать пользователя:

1. Зайдите в раздел Пользователи.
2. Откройте профиль пользователя.
3. Нажмите Заблокировать.
4. В окне подтверждения операции нажмите Заблокировать.

Чтобы заблокировать несколько пользователей PAM, в разделе Пользователи выберите нужных пользователей и нажмите Заблокировать.

Предупреждение

Заблокированный пользователь может аутентифицироваться в консолях пользователя и администратора. При увольнении сотрудника удалите его учетную запись из cлужбы каталогов.

Чтобы разблокировать пользователя:

1. Зайдите в раздел Пользователи.
2. Откройте профиль заблокированного пользователя.
3. Нажмите Разблокировать.
4. Подтвердите действие нажатием Разблокировать во всплывающем окне.

Чтобы разблокировать несколько пользователей PAM, в разделе Пользователи выберите заблокированных пользователей и нажмите Разблокировать.

Удалить

Предупреждение

Эта операция применима только для внутренних пользователей Indeed PAM.

Пользователя невозможно восстановить после удаления.

Невозможно удалить самого себя и первого администратора ролей.

Чтобы удалить пользователя:

1. Откройте профиль внутреннего пользователя.
2. Нажмите Удалить.
3. Прочитайте информацию во всплывающем окне и подтвердите действие нажатием Удалить.

Чтобы удалить несколько пользователей PAM, в разделе Пользователи выберите нужных пользователей и нажмите Удалить.

Последствия удаления пользователя:

• Пользователь теряет доступ к PAM и не может аутентифицироваться.
• Все активные сессии завершаются.
• Выданные разрешения отзываются.
• Пользователь исключается из всех групп пользователей, в которых состоит.
• Пользователь исключается из области действия политики, в которой состоит.
• Логин удаленного пользователя меняется: к нему добавляется суффикс _deleted и случайно сгенерированная строка. Это позволяет избежать ошибок при создании новых пользователей, чей логин совпадает с логином ранее удаленного пользователя.

Удаленные пользователи перестают отображаться в разделе Пользователи, но их можно просмотреть с помощью расширенного поиска.