Введение
В EDM Issue реализована поддержка пользователей с предоставлением доступа к различным функциям EDM Issue на основе системы разрешений. В EDM Issue представлены следующие виды разрешений:
- license-view - возможность просмотра информации о лицензии EDM, подключенных к EDM Issue клиентских устройствах и их сертификатах;
- license-manage - возможность управления лицензией EDM, подключенными к EDM Issue клиентскими устройствами и их сертификатами;
- ips-view - возможность просмотра информации о поставщиках IDS/IPS-правил и распространяемых в них категориях IDS/IPS-правил;
- ips-manage - возможность управления поставщиками IDS/IPS-правил и распространяемыми в них категориями IDS/IPS-правил;
- users-view - возможность просмотра информации о пользователях EDM Issue;
- users-manage - возможность управления пользователями EDM Issue;
- hosts-view - возможность просмотра информации о компонентах EDM Issue и настроенных IP-правилах;
- hosts-manage - возможность управления IP-правилами;
- settings-view - возможность просмотра текущих настроек EDM Issue;
- settings-manage - возможность управления текущими настройками EDM Issue.
Все разрешения для пользователей EDM Issue для удобства сгруппированы в три роли, которые задаются при создании или изменении пользователя:
- watcher - наблюдатель, в его права заложен только просмотр общей информации о функционировании EDM Issue без каких-либо прав управления. Поддержанные разрешения:
- license-view
- ips-view
- users-view
- hosts-view
- manager - менеджер, его права позволяют осуществлять просмотр и управление всем функционалом EDM Issue за исключением управления другими пользователями и настройками EDM Issue. Поддержанные разрешения:
- license-view
- license-manage
- ips-view
- ips-manage
- users-view
- hosts-view
- hosts-manage
- settings-view
- admin - администратор, его права позволяют осуществлять просмотр и управление всем функционалом EDM Issue. Поддержанные разрешения:
- license-view
- license-manage
- ips-view
- ips-manage
- users-view
- users-manage
- hosts-view
- hosts-manage
- settings-view
- settings-manage
Также у пользователей EDM Issue существует установка и смена статуса пользователя. Поддержанные статусы:
- valid - активный, неограниченный пользователь;
- suspect - активный пользователь, который длительное время не менял пароль, после успешной авторизации ему будет рекомендована смена пароля без принуждения к этому;
- initialize - активный пользователь, который длительное время не менял пароль, после успешной авторизации для него будут доступны не все функции EDM Issue, пока пользователь не сменит пароль;
- blocked - заблокированный пользователь, для которого запрещены авторизация и любое взаимодействие с EDM Issue. В отличие от первых трех статусов данный статус может иметь срок действия, по истечению которого статус пользователя сменится на "valid".
В системе при первом запуске существует предустановленный пользователь "admin" со следующими характеристиками:
- Логин: admin
- Пароль: password
- Статус: initialize
Администратор EDM Issue со своей стороны может:
- просматривать информацию о пользователях;
- просматривать подробную информацию по конкретному пользователю;
- создавать нового пользователя;
- редактировать существующего пользователя;
- удалять существующего пользователя;
- менять пароль существующего пользователя;
- устанавливать время жизни пользовательской сессии в web-интерфейсе EDM Issue;
- управлять политикой устаревания паролей пользователей;
- управлять политикой блокировки пользователя за превышение количества попыток некорректной авторизации.
Просмотр информации о пользователях
Для просмотра информации о пользователях EDM Issue через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "users".
Ввести команду "show users".
Пример вывода информации о пользователях EDM Issue в EDM CLIedmi-users> show users 1. Login: admin Permissions: admin Status: initialize 2. Login: blocked-user Name: Blocked Surname: Test Registered: 2021-08-13 04:28:29 Permissions: LV/LM/IV/IM/UV/UM/HV/HM/SV/SM Status: blocked 3. Login: manager Name: Manager Surname: Test Registered: 2021-08-13 04:27:31 Permissions: LV/LM/IV/IM/UV/HV/HM/SV Status: valid 4. Login: watcher Name: Watcher Surname: Test Registered: 2021-08-13 04:27:05 Permissions: LV/IV/HV/UV Status: valid End of list edmi-users>
Просмотр подробной информации по конкретному пользователю
Для просмотра подробной информации по конкретному пользователю EDM Issue через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "users".
Ввести команду "show user" с указанием имени нужного пользователя.
Пример вывода подробной информации по конкретному пользователю EDM Issue в EDM CLIedmi-users> show user --login blocked-user Login: blocked-user Name: Blocked Surname: Test Registered: 2021-08-13 04:28:29 Permissions: license-view license-manage ips-view ips-manage users-view users-manage hosts-view hosts-manage settings-view settings-manage Password changed: 2021-08-13 04:28:29 Status info: Status: blocked Changed: 2021-08-13 04:29:20 Expiry: 2021-08-19 00:00:00 Info: "Blocked for demonstration" Stats: Strikes: 0 edmi-users>
Создание нового пользователя
Для создания нового пользователя через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "users".
Ввести команду "add" с параметрами нового пользователя.
Пример создания нового пользователя в EDM CLIedmi-users> add --login manager --name Manager --surname Test --role manager Enter new password (Ctrl+C to cancel): ******** Repeat new password (Ctrl+C to cancel): ******** OK edmi-users>
Редактирование существующего пользователя
Для редактирования существующего пользователя через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "users".
Ввести команду "edit" с параметрами, которые требуется изменить для указанного пользователя.
Пример редактирования существующего пользователя в EDM CLIedmi-users> edit --login manager --surname Tester --status initialize --info "Status changed" OK edmi-users>
Удаление существующего пользователя
Для удаления существующего пользователя через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "users".
Ввести команду "delete" с указанием удаляемого пользователя.
Пример удаления существующего пользователя в EDM CLIedmi-users> delete --login manager You will delete user 'manager'. Are you sure? (y/N) y OK edmi-users>
Смена пароля существующего пользователя
Для смены пароля существующего пользователя через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "users".
Ввести команду "set password" с указанием пользователя, чей пароль будет изменен.
Пример смены пароля существующего пользователя в EDM CLIedmi-users> set password --login admin Enter new password (Ctrl+C to cancel): ********* Repeat new password (Ctrl+C to cancel): ********* Password has been successfully changed OK edmi-users>
Для смены пароля текущего пользователя через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Настройки".
- Перейти в подраздел "Смена пароля".
- Заполнить форму смены пароля, указав текущий пароль учетной записи и новый пароль с повторным вводом пароля.
- Нажать кнопку "Сохранить", чтобы изменить пароль учетной записи на новый.
Рисунок 19 – Заполнение формы смены пароля пользователя в web-интерфейсе EDM Issue
Рисунок 20 – Успешная смена пароля пользователя в web-интерфейсе EDM Issue
Установка времени жизни пользовательской сессии в web-интерфейсе EDM Issue
После успешной авторизации в web-интерфейсе EDM Issue, пользовательcкая сессия существует некоторое время, после чего закрывается на стороне сервера. После этого пользователь выходит из учетной записи и вынужден произвести повторный вход в web-интерфейс EDM. Существует два настраиваемых таймаута для пользовательских сессий - короткий, работающий в том случае, если пользователь в форме авторизации не устанавливает галочку "Запомнить меня", и длинный – когда галочка "Запомнить меня" устанавливается.
За интервал жизни пользовательской сессии без установленного флага "Запомнить меня" отвечает параметр "webSessionMaxHours" в настройках EDM Issue. Для изменения интервала жизни пользовательской сессии без установленного флага "Запомнить меня" через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "settings".
Установить новое значение параметра "webSessionMaxHours" командой "set".
Пример изменения интервала жизни пользовательской сессии без установленного флага "Запомнить меня" в EDM CLIedmi-settings> show --param webSessionMaxHours User web session timeout in hours webSessionMaxHours = 24 edmi-settings> set --param webSessionMaxHours --value 12 OK edmi-settings> show --param webSessionMaxHours User web session timeout in hours webSessionMaxHours = 12 edmi-settings>
За интервал жизни пользовательской сессии с установленным флагом "Запомнить меня" отвечает параметр "webSessionRememberedMaxHours" в настройках EDM Issue. Для изменения интервала жизни пользовательской сессии с установленным флагом "Запомнить меня" через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "settings".
Установить новое значение параметра "webSessionRememberedMaxHours" командой "set".
Пример изменения интервала жизни пользовательской сессии с установленным флагом "Запомнить меня" в EDM CLIedmi-settings> show --param webSessionRememberedMaxHours User web session timeout with flag 'remember me' in hours webSessionRememberedMaxHours = 168 [default] edmi-settings> set --param webSessionRememberedMaxHours --value 120 OK edmi-settings> show --param webSessionRememberedMaxHours User web session timeout with flag 'remember me' in hours webSessionRememberedMaxHours = 120 edmi-settings>
Управление политикой устаревания паролей пользователей
Политика устаревания паролей создана с целью контроля за сроками жизни паролей пользователей и организации регулярных обновлений паролей учетных записей пользователей. В случае, если эта функция включена, то после прохождения определенного времени с момента последней смены пароля пользователь будет предупрежден об устаревании своего пароля с предложением сменить его. Также при прохождении определенного интервала времени без смены пароля пользователь после авторизации не сможет продолжать работу с EDM Issue без смены пароля учетной записи.
За включение и отключение политики устаревания паролей отвечает параметр "userCheckPassValid" в настройках EDM Issue. Для включения или отключения политики устаревания паролей через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "settings".
Установить новое значение параметра "userCheckPassValid" командой "set".
Пример отключения политики устаревания паролей в EDM CLIedmi-settings> show --param userCheckPassValid Check user passwords validity expiration userCheckPassValid = 1 edmi-settings> set --param userCheckPassValid --value 0 OK edmi-settings> show --param userCheckPassValid Check user passwords validity expiration userCheckPassValid = 0 edmi-settings>
За интервал времени, по прошествии которого пользователю будет предложено сменить пароль учетной записи отвечает параметр "userPassValidDays" в настройках EDM Issue. Для изменения интервала времени, по прошествии которого пользователю будет предложено сменить пароль учетной записи через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "settings".
Установить новое значение параметра "userPassValidDays" командой "set".
Пример изменения интервала времени, по прошествии которого пользователю будет предложено сменить пароль учетной записи в EDM CLIedmi-settings> show --param userPassValidDays User password validity period in days (before suspect status) userPassValidDays = 180 edmi-settings> set --param userPassValidDays --value 30 OK edmi-settings> show --param userPassValidDays User password validity period in days (before suspect status) userPassValidDays = 30 edmi-settings>
За интервал времени, по прошествии которого пользователь будет обязан сменить пароль учетной записи, отвечает параметр "userAddPassValidDays" в настройках EDM Issue. Для изменения интервала времени, по прошествии которого пользователь будет обязан сменить пароль учетной записи, через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "settings".
Установить новое значение параметра "userAddPassValidDays" командой "set".
Пример изменения интервала времени, по прошествии которого пользователь будет обязан сменить пароль учетной записи в EDM CLIedmi-settings> show --param userAddPassValidDays User password additional validity period in days (before initialize status) userAddPassValidDays = 180 edmi-settings> set --param userAddPassValidDays --value 60 OK edmi-settings> show --param userAddPassValidDays User password additional validity period in days (before initialize status) userAddPassValidDays = 60 edmi-settings>
Управление политикой блокировки пользователя за превышение количества попыток некорректной авторизации
В EDM Issue предусмотрена временная блокировка аккаунтов пользователей при превышении количества попыток некорректной авторизации. Количество таких попыток, необходимых для блокировки аккаунта и срок блокировки могут быть настроены администратором EDM issue.
За количество попыток некорректной авторизации, при достижении которых пользователь будет заблокирован, отвечает параметр "userBadAuthLimit" в настройках EDM Issue. Для настройки количества попыток некорректной авторизации, при достижении которых пользователь будет заблокирован через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "settings".
Установить новое значение параметра "userBadAuthLimit" командой "set".
Пример настройки количества попыток некорректной авторизации, при достижении которых пользователь будет заблокирован в EDM CLIedmi-settings> show --param userBadAuthLimit Limit on the number of unsuccessful authorization attempts before blocking a user userBadAuthLimit = 6 edmi-settings> set --param userBadAuthLimit --value 10 OK edmi-settings> show --param userBadAuthLimit Limit on the number of unsuccessful authorization attempts before blocking a user userBadAuthLimit = 10 edmi-settings>
За время блокировки пользователя, для которого был превышен лимит некорректных попыток авторизации, отвечает параметр "userBlockMinutes" в настройках EDM Issue. Для настройки времени блокировки пользователя, для которого был превышен лимит некорректных попыток авторизации, через EDM CLI требуется:
- Запустить EDM CLI.
Перейти в раздел "settings".
Установить новое значение параметра "userBlockMinutes" командой "set".
Пример настройки времени блокировки пользователя, для которого был превышен лимит некорректных попыток авторизации в EDM CLIedmi-settings> show --param userBlockMinutes Duration of one user lock in minutes userBlockMinutes = 5 edmi-settings> set --param userBlockMinutes --value 30 OK edmi-settings> show --param userBlockMinutes Duration of one user lock in minutes userBlockMinutes = 30 edmi-settings>