В EDM Issue реализована поддержка пользователей с предоставлением доступа к различным функциям EDM Issue на основе системы разрешений. В EDM Issue представлены следующие виды разрешений:

• license-view — возможность просмотра информации о лицензии EDM, подключенных к EDM Issue клиентских устройствах и их сертификатах;
• license-manage — возможность управления лицензией EDM, подключенными к EDM Issue клиентскими устройствами и их сертификатами;
• ips-view — возможность просмотра информации о поставщиках IDS/IPS-правил и распространяемых в них категориях IDS/IPS-правил;
• ips-manage — возможность управления поставщиками IDS/IPS-правил и распространяемыми в них категориями IDS/IPS-правил;
• users-view — возможность просмотра информации о пользователях EDM Issue;
• users-manage — возможность управления пользователями EDM Issue;
• hosts-view — возможность просмотра информации о компонентах EDM Issue и настроенных IP-правилах;
• hosts-manage — возможность управления IP-правилами;
• settings-view — возможность просмотра текущих настроек EDM Issue;
• settings-manage — возможность управления текущими настройками EDM Issue.

Все разрешения для пользователей EDM Issue для удобства сгруппированы в три роли, которые задаются при создании или изменении пользователя:

1. watcher — наблюдатель, в его права заложен только просмотр общей информации о функционировании EDM Issue без каких-либо прав управления. Поддержанные разрешения:
   
   1. license-view
   2. ips-view
   3. users-view
   4. hosts-view
2. manager — менеджер, его права позволяют осуществлять просмотр и управление всем функционалом EDM Issue за исключением управления другими пользователями и настройками EDM Issue. Поддержанные разрешения:
   
   1. license-view
   2. license-manage
   3. ips-view
   4. ips-manage
   5. users-view
   6. hosts-view
   7. hosts-manage
   8. settings-view
3. admin — администратор, его права позволяют осуществлять просмотр и управление всем функционалом EDM Issue. Поддержанные разрешения:
   1. license-view
   2. license-manage
   3. ips-view
   4. ips-manage
   5. users-view
   6. users-manage
   7. hosts-view
   8. hosts-manage
   9. settings-view
   10. settings-manage

Также у пользователей EDM Issue существует установка и смена статуса пользователя. Поддержанные статусы:

• valid — активный, неограниченный пользователь;
• suspect — активный пользователь, который длительное время не менял пароль, после успешной авторизации ему будет рекомендована смена пароля без принуждения к этому;
• initialize — активный пользователь, который длительное время не менял пароль, после успешной авторизации для него будут доступны не все функции EDM Issue, пока пользователь не сменит пароль;
• blocked — заблокированный пользователь, для которого запрещены авторизация и любое взаимодействие с EDM Issue. В отличие от первых трех статусов данный статус может иметь срок действия, по истечению которого статус пользователя сменится на "valid".

В системе при первом запуске существует предустановленный пользователь admin со следующими характеристиками:

• Логин: admin
• Пароль: password
• Статус: initialize

Администратор EDM Issue со своей стороны может:

• просматривать информацию о пользователях;
• просматривать подробную информацию по конкретному пользователю;
• создавать нового пользователя;
• редактировать существующего пользователя;
• удалять существующего пользователя;
• менять пароль существующего пользователя;
• устанавливать время жизни пользовательской сессии в web-интерфейсе EDM Issue;
• управлять политикой устаревания паролей пользователей;
• управлять политикой блокировки пользователя за превышение количества попыток некорректной авторизации.

Просмотр информации о пользователях

Для просмотра информации о пользователях EDM Issue через CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "users".

3. Ввести команду "show users".

   edmi-users> show users 1. Login: admin Permissions: admin Status: valid 2. Login: blocked_user Name: Blocked Surname: Test Registered: 2022-11-30 17:06:53 Permissions: LV/LM/IV/IM/UV/UM/HV/HM/SV/SM Status: blocked 3. Login: manager Name: Manager Surname: Test Registered: 2022-11-30 17:07:29 Permissions: LV/LM/IV/IM/UV/HV/HM/SV Status: valid 4. Login: watcher Name: Watcher Surname: Test Registered: 2022-11-30 17:07:50 Permissions: LV/IV/HV/UV Status: valid End of list edmi-users>

   
   

Просмотр подробной информации по конкретному пользователю

Для просмотра подробной информации по конкретному пользователю EDM Issue через CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "users".

3. Ввести команду "show user" с указанием имени нужного пользователя.

   edmi-users> show user --login manager Login: manager Name: Manager Surname: Test Registered: 2022-11-30 17:07:29 Permissions: license-view license-manage ips-view ips-manage users-view hosts-view hosts-manage settings-view Password changed: 2022-11-30 17:07:29 Status info: Status: valid Changed: 2022-11-30 17:07:29 Stats: Strikes: 0 edmi-users>

   
   

Создание нового пользователя

Для создания нового пользователя через CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "users".

3. Ввести команду "add" с параметрами нового пользователя.

   edmi-users> add --login manager --name Manager --surname Test --role manager Enter new password (Ctrl+C to cancel): ******** Repeat new password (Ctrl+C to cancel): ******** OK edmi-users>

   

Редактирование существующего пользователя

Для редактирования существующего пользователя через CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "users".

3. Ввести команду "edit" с параметрами, которые требуется изменить для указанного пользователя.

   edmi-users> edit --login manager --status initialize --info "Need to change password" OK edmi-users>

   
   

Удаление существующего пользователя

Для удаления существующего пользователя через CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "users".

3. Ввести команду "delete" с указанием удаляемого пользователя.

   edmi-users> delete --login blocked_user You will delete user 'blocked_user'. Are you sure? (y/N) y OK edmi-users>

   
   

Смена пароля существующего пользователя

Для смены пароля существующего пользователя через CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "users".

3. Ввести команду "set password" с указанием пользователя, чей пароль будет изменен.

   edmi-users> set password --login admin Enter new password (Ctrl+C to cancel): ********* Repeat new password (Ctrl+C to cancel): ********* Password has been successfully changed OK edmi-users>

   
   

Для смены пароля текущего пользователя через web-интерфейс требуется:

1. Авторизоваться в web-интерфейсе EDM Issue.
2. Перейти в раздел меню "Настройки".
3. Перейти в подраздел "Смена пароля".
4. Заполнить форму смены пароля, указав текущий пароль учетной записи и новый пароль с повторным вводом пароля.
5. Нажать кнопку "Сохранить", чтобы изменить пароль учетной записи на новый.

Рисунок 22 – Заполнение формы смены пароля пользователя в web-интерфейсе EDM Issue

Рисунок 23 – Успешная смена пароля пользователя в web-интерфейсе EDM Issue

Установка времени жизни пользовательской сессии в web-интерфейсе EDM Issue

После успешной авторизации в web-интерфейсе EDM Issue пользовательcкая сессия существует некоторое время, а затем закрывается на стороне сервера. После этого пользователь выходит из учетной записи и вынужден произвести повторный вход в web-интерфейс EDM. Существует два настраиваемых таймаута для пользовательских сессий – короткий, работающий в том случае, если пользователь в форме авторизации не устанавливает флаг "Запомнить меня", и длинный – когда флаг "Запомнить меня" устанавливается.

За интервал жизни пользовательской сессии без установленного флага "Запомнить меня" отвечает параметр "webSessionMaxHours" в настройках EDM Issue. Для изменения интервала жизни пользовательской сессии без установленного флага "Запомнить меня" через EDM CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "settings".
3. Установить новое значение параметра "webSessionMaxHours" командой "set".

edmi-settings> show --param webSessionMaxHours
User web session timeout in hours
webSessionMaxHours = 24 [default]

edmi-settings> set --param webSessionMaxHours --value 12
OK
edmi-settings> show --param webSessionMaxHours
User web session timeout in hours
webSessionMaxHours = 12

edmi-settings> 

Для изменения интервала жизни пользовательской сессии без установленного флага "Запомнить меня" через web-интерфейс требуется:

1. Авторизоваться в web-интерфейсе EDM Issue.
2. Перейти в меню в раздел "Настройки".
3. Перейти к категории настроек "Взаимодействие с Web-интерфейсом".
4. Установить новое значение параметра "Период активности сессии авторизованного Web-пользователя".

За интервал жизни пользовательской сессии с установленным флагом "Запомнить меня" отвечает параметр "webSessionRememberedMaxHours" в настройках EDM Issue. Для изменения интервала жизни пользовательской сессии с установленным флагом "Запомнить меня" через EDM CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "settings".
3. Установить новое значение параметра "webSessionRememberedMaxHours" командой "set".

edmi-settings> show --param webSessionRememberedMaxHours
User web session timeout with flag 'remember me' in hours
webSessionRememberedMaxHours = 168 [default]

edmi-settings> set --param webSessionRememberedMaxHours --value 120
OK
edmi-settings> show --param webSessionRememberedMaxHours
User web session timeout with flag 'remember me' in hours
webSessionRememberedMaxHours = 120

edmi-settings> 

Для изменения интервала жизни пользовательской сессии с установленным флагом "Запомнить меня" через web-интерфейс требуется:

1. Авторизоваться в web-интерфейсе EDM Issue.
2. Перейти в меню в раздел "Настройки".
3. Перейти к категории настроек "Взаимодействие с Web-интерфейсом".
4. Установить новое значение параметра "Период активности сессии авторизованного Web-пользователя с флагом 'Запомнить меня'".

Управление политикой устаревания паролей пользователей

Политика устаревания паролей создана с целью контроля за сроками жизни паролей пользователей и организации регулярных обновлений паролей учетных записей пользователей. В случае если эта функция включена, то после прохождения определенного времени с момента последней смены пароля пользователь будет предупрежден об устаревании своего пароля с предложением сменить его. Также при прохождении определенного интервала времени без смены пароля пользователь после авторизации не сможет продолжать работу с EDM Issue без смены пароля учетной записи.

За включение и отключение политики устаревания паролей отвечает параметр "userCheckPassValid" в настройках EDM Issue. Для включения или отключения политики устаревания паролей через EDM CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "settings".

3. Установить новое значение параметра "userCheckPassValid" командой "set".

   edmi-settings> show --param userCheckPassValid Check user passwords validity expiration userCheckPassValid = 1 [default] edmi-settings> set --param userCheckPassValid --value 0 OK edmi-settings> show --param userCheckPassValid Check user passwords validity expiration userCheckPassValid = 0 edmi-settings>

   
   

Для включения или отключения политики устаревания паролей через web-интерфейс требуется:

1.  Авторизоваться в web-интерфейсе EDM Issue.
2.  Перейти в меню в раздел "Настройки".
3. Перейти к категории настроек "Взаимодействие с Web-интерфейсом".
4. Установить новое значение параметра "Проверять устаревшие пароли пользователей".

За интервал времени, по прошествии которого пользователю будет предложено сменить пароль учетной записи, отвечает параметр "userPassValidDays" в настройках EDM Issue. Для изменения интервала времени, по прошествии которого пользователю будет предложено сменить пароль учетной записи, через EDM CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "settings".

3. Установить новое значение параметра "userPassValidDays" командой "set".

   edmi-settings> show --param userPassValidDays User password validity period in days (before suspect status) userPassValidDays = 180 [default] edmi-settings> set --param userPassValidDays --value 30 OK edmi-settings> show --param userPassValidDays User password validity period in days (before suspect status) userPassValidDays = 30 edmi-settings>

   
   

Для включения или отключения политики устаревания паролей через web-интерфейс требуется:

1. Авторизоваться в web-интерфейсе EDM Issue.
2. Перейти в меню в раздел "Настройки".
3. Перейти к категории настроек "Взаимодействие с Web-интерфейсом".
4. Установить новое значение параметра "Период использования пароля пользователя до уведомления о необходимости изменения".

За интервал времени, по прошествии которого пользователь будет обязан сменить пароль учетной записи, отвечает параметр "userAddPassValidDays" в настройках EDM Issue. Для изменения интервала времени, по прошествии которого пользователь будет обязан сменить пароль учетной записи, через EDM CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "settings".

3. Установить новое значение параметра "userAddPassValidDays" командой "set".

   edmi-settings> show --param userAddPassValidDays User password additional validity period in days (before initialize status) userAddPassValidDays = 180 [default] edmi-settings> set --param userAddPassValidDays --value 60 OK edmi-settings> show --param userAddPassValidDays User password additional validity period in days (before initialize status) userAddPassValidDays = 60 edmi-settings>

   
   

Для изменения интервала времени, по прошествии которого пользователь будет обязан сменить пароль учетной записи, через web-интерфейс требуется:

1. Авторизоваться в web-интерфейсе EDM Issue.
2. Перейти в меню в раздел "Настройки".
3. Перейти к категории настроек "Взаимодействие с Web-интерфейсом".
4. Установить новое значение параметра "Дополнительный период использования пароля пользователя до принудительного изменения".

Управление политикой блокировки пользователя за превышение количества попыток некорректной авторизации

В EDM Issue предусмотрена временная блокировка аккаунтов пользователей при превышении количества попыток некорректной авторизации. Количество таких попыток, необходимых для блокировки аккаунта, и срок блокировки могут быть настроены администратором EDM Issue.

За количество попыток некорректной авторизации, при достижении которых пользователь будет заблокирован, отвечает параметр "userBadAuthLimit" в настройках EDM Issue. Для настройки количества попыток некорректной авторизации, при достижении которых пользователь будет заблокирован, через EDM CLI требуется:

1. Запустить EDM CLI.
2. Перейти в раздел "settings".

3. Установить новое значение параметра "userBadAuthLimit" командой "set".

   edmi-settings> show --param userBadAuthLimit Limit on the number of unsuccessful authorization attempts before blocking a user userBadAuthLimit = 6 [default] edmi-settings> set --param userBadAuthLimit --value 10 OK edmi-settings> show --param userBadAuthLimit Limit on the number of unsuccessful authorization attempts before blocking a user userBadAuthLimit = 10 edmi-settings>

   
   

Для настройки количества попыток некорректной авторизации, при достижении которых пользователь будет заблокирован, через web-интерфейс требуется:

1. Авторизоваться в web-интерфейсе EDM Issue.
2. Перейти в меню в раздел "Настройки".
3. Перейти к категории настроек "Взаимодействие с Web-интерфейсом".
4. Установить новое значение параметра "Лимит неуспешных попыток авторизации перед автоматической блокировкой пользователя".

За время блокировки пользователя, для которого был превышен лимит некорректных попыток авторизации, отвечает параметр "userBlockMinutes" в настройках EDM Issue. Для настройки времени блокировки пользователя, для которого был превышен лимит некорректных попыток авторизации, через EDM CLI требуется:

1. Запустить EDM CLI.

2. Перейти в раздел "settings".

3. Установить новое значение параметра "userBlockMinutes" командой "set".

   edmi-settings> show --param userBlockMinutes Duration of one user lock in minutes userBlockMinutes = 5 [default] edmi-settings> set --param userBlockMinutes --value 30 OK edmi-settings> show --param userBlockMinutes Duration of one user lock in minutes userBlockMinutes = 30 edmi-settings>

   
   

Для настройки времени блокировки пользователя, для которого был превышен лимит некорректных попыток авторизации, через web-интерфейс требуется:

1. Авторизоваться в web-интерфейсе EDM Issue.
2. Перейти в меню в раздел "Настройки".
3. Перейти к категории настроек "Взаимодействие с Web-интерфейсом".
4. Установить новое значение параметра "Длительность автоматической блокировки пользователя".