Файл: Руководство администратора Доктор Веб.pdf

Руководство администратора
102
Глава 6: Администраторы антивирусной сети
6.1.1. Аутентификация администраторов из БД Сервера
Метод аутентификации с хранением данных об администраторах в БД Сервера используется по умолчанию.
Чтобы открыть раздел управления административными учетными записями
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В управляющем меню выберите раздел Администраторы. Откроется список всех администраторов Сервера.
Подробнее см. п.
Администраторы и административные группы
6.1.2. Аутентификация с использованием LDAP/AD
Чтобы включить аутентификацию через LDAP/AD
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В управляющем меню выберите раздел Аутентификация.
3. В открывшемся окне зайдите в раздел LDAP/AD-аутентификация.
4. Установите флаг Использовать LDAP/AD-аутентификацию.
5. Нажмите кнопку Сохранить.
6. Для принятия изменений перезагрузите Сервер.
Настройка аутентификации с использованием LDAP-протокола возможна на любом
LDAP-сервере. Также с использованием этого механизма можно настроить Сервер под
ОС семейства UNIX для аутентификации в Active Directory на доменном контроллере.
Для удобства пользователя в разделе предоставляется возможность переключения между упрощенным или расширенным вариантами настроек аутентификации через
LDAP/AD.
Настройки LDAP/AD-аутентификации сохраняются в файле конфигурации auth-ldap- rfc4515.conf
Также предоставляются конфигурационные файлы с типовыми настройками: auth- ldap-rfc4515-check-group.conf
, auth-ldap-rfc4515-check-group- novar.conf
, auth-ldap-rfc4515-simple-login.conf.
Описание основных xml-атрибутов аутентификации приведено в документе
Приложения, в
Приложении В3

Руководство администратора
103
Глава 6: Администраторы антивирусной сети
6.1.3. Аутентификация с использованием RADIUS
Чтобы включить аутентификацию через RADIUS
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В управляющем меню выберите раздел Аутентификация.
3. В открывшемся окне зайдите в раздел RADIUS-аутентификация.
4. Установите флаг Использовать RADIUS-аутентификацию.
5. Нажмите кнопку Сохранить.
6. Для принятия изменений перезагрузите Сервер.
Для использования протокола аутентификации RADIUS необходимо развернуть сервер,
реализующий этот протокол, например, freeradius (подробности см. на https://freeradius.org/
).
В Центре управления настраиваются следующие параметры работы с сервером RADIUS:
·
Сервер, Порт, Пароль — параметры подключения к серверу RADIUS: IP-адрес/DNS- имя, номер порта, пароль (секрет) соответственно.
·
Тайм-аут — время ожидания ответа от сервера RADIUS в секундах.
·
Количество повторных попыток — количество повторных попыток соединения с сервером RADIUS.
Также для настройки дополнительных параметров RADIUS могут использоваться:
·
Конфигурационный файл auth-radius.conf, расположенный в каталоге etc
Сервера.
Помимо параметров, настраиваемых через Центр управления, через конфигурационный файл вы можете задать значение идентификатора NAS. Данный идентификатор согласно RFC 2865 может быть использован вместо IP-адреса/DNS- имени в качестве идентификатора клиента при подключении к серверу RADIUS. В
конфигурационном файле хранится в следующем виде:
NAS identifier, optional, default - hostname
-->
<
nas-id
value
="
drwcs
"/>
·
Словарь dictionary.drweb, расположенный в каталоге etc Сервера.
Словарь хранит набор атрибутов RADIUS компании «Доктор Веб» (VSA — Vendor-
Specific Attributes).
6.1.4. Аутентификация с использованием PAM
Чтобы включить аутентификацию через PAM
1. Выберите пункт Администрирование в главном меню Центра управления.

Руководство администратора
104
Глава 6: Администраторы антивирусной сети
2. В управляющем меню выберите раздел Аутентификация.
3. В открывшемся окне зайдите в раздел PAM-аутентификация.
4. Установите флаг Использовать PAM-аутентификацию.
5. Нажмите кнопку Сохранить.
6. Для принятия изменений перезагрузите Сервер.
Аутентификация на основе PAM под ОС семейства UNIX осуществляется посредством подключаемых модулей аутентификации.
Для настройки параметров PAM-аутентификации вы можете использовать следующие способы:
·
Настройки метода аутентификации через Центр управления: в разделе
Администрирование → Аутентификация → PAM-аутентификация.
·
Конфигурационный файл auth-pam.xml, расположенный в каталоге etc Сервера.
Пример конфигурационного файла:
Enable this authorization module
-->
<
enabled
value
="
no
"
/>
This authorization module number in the stack
-->
<
order
value
="
50
"
/>
PAM service name>"
-->
<
service
name
="
drwcs
"
/>
PAM data to be queried: PAM stack must return INT zero/non-zero
-->
<
admin-flag
mandatory
="
no
"
name
="
DrWeb_ESuite_Admin
"
/>
Описание параметров PAM-аутентификации, настраиваемых на стороне Dr.Web
Enterprise Security Suite
Элемент Центра
управления
Элементы файла auth-pam.xml
Описание
Тег
Атрибут
Допустимые
значения
Флаг
Использовать
PAM-
аутентификацию
<
enabled
>
value yes | no
Флаг, определяющий, будет ли использоваться метод PAM- аутентификации.
Используйте
перетаскивание
<
order
>
value целочисленно е значение,
согласованное со значениями других методов
Порядковый номер PAM- аутентификации при использовании нескольких методов аутентификации.
Поле Название
службы
<
service
>
name
-
Имя сервиса, которое будет использовано для создания PAM-

Руководство администратора
105

Руководство администратора
106
Глава 6: Администраторы антивирусной сети
Редактирование свойств администраторов Active Directory осуществляется вручную на сервере Active Directory.
Чтобы отредактировать администраторов Active Directory
Следующие операции необходимо выполнять на ПК, где присутствует оснастка для администрирования Active Directory.
1. Для возможности редактирования параметров администраторов необходимо выполнить следующие операции:
a) Для модификации схемы Active Directory запустите утилиту drweb-
<версия_пакета>-<сборка>-esuite-modify-ad-schema-<версия_ОС>.exe
(входит в дистрибутив Сервера Dr.Web).
Модификация схемы Active Directory может занять некоторое время. В
зависимости от конфигурации вашего домена, для синхронизации и применения модифицированной схемы может потребоваться до 5 минут и более.
Если ранее была произведена модификация схемы Active Directory с использованием данной утилиты от 6 версии Сервера, нет необходимости повторно выполнять модификацию с использованием утилиты от 12.0 версии Сервера.
b) Для регистрации оснастки Active Directory Schema (Схема Active Directory)
выполните с административными полномочиями команду regsvr32
schmmgmt.dll
, после чего запустите mmc и добавьте оснастку Active Directory
Schema.
c) Используя добавленную оснастку Active Directory Schema, добавьте к классу User и
(если необходимо) к классу Group вспомогательный класс DrWebEnterpriseUser и дополнительный атрибут DrWebAdmin.
Если применение модифицированной схемы еще не завершилось, класс
DrWebEnterpriseUser может быть не найден. В таком случае подождите некоторое время и повторите попытку согласно п. с).
d) С административными полномочиями запустите файл drweb-<версия_пакета>-
<сборка>-esuite-aduac-<версия_ОС>.msi (входит в дистрибутив Dr.Web
Enterprise Security Suite 12.0) и дождитесь окончания установки.
2. Графический интерфейс для редактирования атрибутов доступен на панели управления Active Directory Users and Computers → в разделе Users → в окне редактирования свойств выбранного пользователя Administrator Properties → на вкладке Dr.Web Authentication.
3. Для редактирования доступен следующий параметр (значение атрибута может быть
yes, no или not set):
User is administrator — указывает на то, что пользователь — полноправный администратор.

Руководство администратора
107
Глава 6: Администраторы антивирусной сети
Алгоритмы принципа работы и разбора атрибутов при аутентификации приведены в документе Приложения, в
Приложении В1
6.1.6. Аутентификация с использованием LDAP
Данный раздел доступен для настройки через Центр управления только при обновлении Сервера с предыдущей версии. После отключения данного типа аутентификации ее раздел будет исключен из настроек Центра управления.
При первичной установке Сервера данный раздел недоступен.
Чтобы включить аутентификацию через LDAP
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В управляющем меню выберите раздел Аутентификация.
3. В открывшемся окне зайдите в раздел LDAP-аутентификация.
4. Установите флаг Использовать LDAP-аутентификацию.
5. Нажмите кнопку Сохранить.
6. Для принятия изменений перезагрузите Сервер.
Настройка аутентификации с использованием LDAP-протокола возможна на любом
LDAP-сервере. Также с использованием этого механизма можно настроить Сервер под
ОС семейства UNIX для аутентификации в Active Directory на доменном контроллере.
Настройки LDAP-аутентификации сохраняются в файле конфигурации auth- ldap.conf
Описание основных xml-атрибутов аутентификации приведено в документе
Приложения, в
Приложении В2
В отличие от Active Directory, механизм можно настроить на любую схему LDAP. По умолчанию осуществляется попытка использования атрибутов Dr.Web Enterprise Security
Suite, как они определены для Active Directory.
Процесс аутентификации LDAP сводится к следующему:
1. Адрес LDAP-сервера задается через Центр управления или в конфигурационном xml- файле.
2. Для заданного имени пользователя выполняются следующие действия:
·
Осуществляется трансляция имени в DN (Distinguished Name) с использованием
DOS-подобных масок (с использованием символа *), если правила заданы.

Руководство администратора
108
Глава 6: Администраторы антивирусной сети
·
Осуществляется трансляция имени в DN с использованием регулярных выражений,
если правила заданы.
·
Используется пользовательский скрипт трансляции имен в DN, если он задан в настройках.
·
В случае, если не подошло ни одно из правил преобразования, заданное имя используется как есть.
Формат задания имени пользователя никак не определяется и не фиксируется — он может быть таким, как это принято в данной организации, т. е. принудительная модификация схемы LDAP не требуется. Преобразование под данную схему осуществляется с использованием правил трансляции имен в LDAP DN.
3. После трансляции, как и в случае с Active Directory, с помощью полученного DN и введенного пароля осуществляется попытка регистрации данного пользователя на указанном LDAP-сервере.
4. Затем, так же как и в Active Directory, читаются атрибуты LDAP-объекта для полученного DN. Атрибуты и их возможные значения могут быть переопределены в конфигурационном файле.
5. Если остались неопределенные значения атрибутов администратора, то в случае задания наследования (в конфигурационном файле), поиск нужных атрибутов по группам, в которые входит пользователь, ведется также, как в случае с использованием Active Directory.
6.2. Администраторы и административные группы
Чтобы открыть раздел управления административными учетными записями
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В управляющем меню выберите раздел Администраторы. Откроется список всех администраторов Сервера.
Раздел Администраторы доступен всем администраторам Центра управления. Однако полное иерархическое дерево администраторов доступно только администраторам из группы Administrators, для которых разрешено право Просмотр свойств и
конфигурации групп администраторов. Для остальных администраторов в иерархическом дереве будет отображаться только собственная группа и ее подгруппы с входящими в них учетными записями.
На панели инструментов раздела Администраторы доступны следующие опции:
Создать учетную запись
Создать группу
Удалить выбранные объекты
Изменить пароль

Руководство администратора
109
Глава 6: Администраторы антивирусной сети
Распространить права администратора
6.2.1. Иерархия администраторов
Иерархический список администраторов отображает древовидную структуру административных групп и учетных записей администраторов. Узлами данной структуры являются административные группы и входящие в них администраторы. Каждый администратор входит только в одну группу. Уровень вложенности групп не ограничен.
Предустановленные группы
После установки Сервера автоматически создаются две группы:
·
Administrators. Изначально в группу входит только администратор admin с полным набором прав, автоматически создаваемый при установке Сервера (см. ниже).
·
Newbies. Изначально группа пуста. В эту группу автоматически перемещаются администраторы с внешним типом аутентификации через LDAP, Active Directory и
RADIUS.
Администраторам из группы Newbies по умолчанию назначаются права только на чтение.
Предустановленные администраторы
После установки Сервера автоматически создается одна учетная запись администратора:
Параметр
Значение
Регистрационное имя
admin
Пароль
Задается при установке Сервера (
шаг 9 в процедуре установки
).
Права
Полный набор прав.
Редактирование учетной записи
Права администратора нельзя редактировать, самого администратора невозможно удалить.
Отображение иерархических списков
·
В иерархическом списке антивирусной сети: администратор видит только те пользовательские группы, которые разрешены в праве Просмотр свойств групп
станций. Все системные группы также отображаются в дереве антивирусной сети, но в них видны только станции из указанного списка пользовательских групп.
·
В иерархическом списке администраторов: администратор из группы Newbies видит дерево, корнем которого является группа, в которой он находится, т. е. видит

Руководство администратора
110
Глава 6: Администраторы антивирусной сети
администраторов из своей группы и её подгрупп. Администратор из группы
Administrators видит всех администраторов, независимо от их групп.
6.2.2. Права администраторов
Все действия администраторов в Центре управления ограничиваются набором прав,
который может быть определен как для отдельной учетной записи, так и для группы администраторов.
Система административных прав включает следующие возможности управления правами:
·
Назначение прав
Назначение прав осуществляется при создании администратора или административной группы. Права наследуются от родительской группы, в которую администратор или административная группа помещаются при создании. При создании возможность изменения прав не предоставляется.
·
Наследование прав
По умолчанию права администраторов и административных групп наследуются от родительской группы, но наследование может быть отключено.
ъ Если наследование отключено, администратор использует независимый набор персональных прав, который задается непосредственно для его учетной записи.
Права родительской группы при этом не учитываются.
ъ При наследовании прав администратора или группы осуществляется не переназначение правами родительской группы, а перерасчет назначенного права исходя из всех прав родительских групп вверх по иерархическому дереву. Таблица для расчета результирующего права объекта в зависимости от назначенных прав и прав родительской групп приведена в п.
Объединение прав
·
Редактирование прав
При создании администраторов и административных групп возможность редактирования прав не предоставляется. Редактирование прав доступно только для уже созданных объектов и осуществляется в разделе настроек учетной записи или группы. При редактировании собственных настроек допускается только понижение прав. Редактирование прав предустановленного администратора admin и предустановленных групп Administrators и Newbies не предоставляется.
Процедура редактирования прав приведена в разделе
Редактирование прав