Управление пользователями
Пользователями в данном случае являются лица, работающие с системой через СoСon- или web-конфигуратор.
Каждый пользователь имеет следующий набор параметров:
- Имя;
- Пароль;
- Группа(ы) пользователей;
- Роль.
Пользователи и пароли
Имя и пароль требуются для каждого входа в систему (авторизация), группа(ы) пользователей определяет перечень разрешённых действий.
В целях регулирования доступа к управлению системой команды ECSS-10 разделены на следующие группы по признаку зоны ответственности пользователя:
- ECSS-ROOT — группа суперпользователей системы. Содержит полный набор команд по управлению и мониторингу системы ECSS-10.
- ECSS-ADMIN — группа администраторов системы. Содержит команды управления системой ECSS-10.
- ECSS-USER — группа пользователей системы. Содержит команды мониторинга системы ECSS-10.
- ECSS-DOMAIN-ADMIN — группа администраторов виртуальной АТС. Содержит команды управления определенной виртуальной АТС.
- ECSS-DOMAIN-USER — группа пользователей виртуальной АТС. Содержит команды мониторинга определенной виртуальной АТС.
Пользователю назначается группа, команды которой он может исполнять.
Пользователь может входить одновременно в несколько групп.
В системе присутствует специальная учетная запись "ECSS-ROOT", которая имеет самый высокий уровень доступа.
Владелец учетной записи "ECSS-ROOT" имеет право на выполнение всех операций в системе ECSS-10.
Управление пользователями в рамках всей сиcтемы ECSS-10 доступно для пользователей группы "ECSS-ADMIN" и "ECSS-ROOT".
Примечание: Для того чтобы пользователю группы "ECSS-ADMIN" стало доступно управление пользователями в рамках определенной виртуальной АТС ECSS-10, он должен включить себя в группу пользователей и администраторов этой АТС.
Управление пользователями в рамках определенной виртуальной АТС доступно для пользователей групп и "ECSS-DOMAIN-ADMIN" и "ECSS-ROOT".
Роли
Существует еще понятие роль пользователя. Роль пользователя назначается на CoCon пользователя. На уровне роли можно задавать, какими "группами доступа" будет обладать пользователь с данной ролью (не надо явно задавать группы доступа на уровне пользователя). Роль обладает уникальным в рамках системы именем (т.к. одна роль может объединять в себе несколько доменов, т.е. включать в себя группы доступа нескольких доменов). На уровне роли можно указать список доменов администраторы которых могут создавать новых пользователей, задавать им данные роли (При удалении роли у пользователя роль будет удаляться).
Если у пользователя заданы и "группы доступа" и определена роль с указанием "групп доступа", то будет произведено объединение данных групп для пользователя.
Работа CoCon с учетом ролей CoCon пользователей
В начале рассмотрим процесс логина пользователя в систему: пользователь вводит свой логин/пароль. Подсистема CoCon проверяет, есть ли в базе её пользователей пользователь с введенным логином. Если такой есть - система проверяется, совпадает ли введенный пароль с тем, что ввел пользователь. В случае совпадения пароля - пользователь проходит авторизацию, попадает в CoCon. На уровне CoCon-а создается сессия. В сессию сохраняется логин пользователя, вычитывается и сохраняется роль данного пользователя. В случае, если пароль не совпал - процесс авторизации необходимо повторить заново.
После того, как пользователь попал в CoCon, он может начать выполнять команды. При попытке выполнить любую команду (включая expand по командам) подсистема CoCon проделывает следующие шаги: для данного пользователя вычитывается список его групп, для роли данного пользователя (если роль задача) вычитывается список её групп. После чего эти два списка групп объединяются в результирующий список групп данного пользователя. Далее, CoCon смотрит права команды, которыми должен обладать пользователь чтобы её выполнить, и если права есть - позволяет выполнить команду (права команды CoCon-а представляют собой список групп. Если у пользователя в результирующем списке групп есть хотя бы одна из групп данного списка - то у него есть права на выполнение данной команды). Иначе - выдается что недостаточно прав.
Добавление, удаление и настройка параметров пользователей может быть выполнено через CoCoN- или web-конфигуратор.
Описание команд управления параметрами пользователей приведено в разделе Команды управления подсистемой CoCon.
Описание приложения web-конфигуратора для управления пользователями приведено в разделе Управление пользователями (User manager).
В CoCoN-конфигураторе для просмотра принадлежности команд к группе пользователей, а также доступности команд текущему пользователю используется команда ls
, подробное описание приведено в разделе "Глобальные команды".