Учетные записи
Вкладка «Учетные записи» применяется для хранения логинов авторизации Сканер-ВС на активах исследуемой сети. Эти данные используются Сканер-ВС для выполнения задач «Инвентаризация» и «Аудит».
Для перехода к вкладке «Учетные записи» необходимо нажать на поле «Администрирование» и в открывшемся списке выбрать «Учетные записи» (рисунок 1).
Рисунок 1 - Переход ко вкладке «Учетные записи»
Общее описание
Вкладка «Учетные записи» представляет собой таблицу, содержащую все добавленные в Сканер-ВС учетные записи и предоставляет следующую информацию (рисунок 2):
- Логин – логин, с помощью которого происходит авторизация на активе
- Описание – содержит дополнительную информацию об учетной записи
- Протокол – информация об используемом учетной записью протоколе обмена информацией
- Порт – порт протокола
- Тип – информация о типе учетной записи (локальный или глобальный)
- Статус – информация о статусе учетной записи (активен или заблокирован)
Рисунок 2 - Вкладка «Учетные записи»
Добавление новой учетной записи глобального типа
Для добавления новой учетной записи необходимо нажать на кнопку
Добавить учетную запись + (рисунок 3).
Рисунок 3 - Добавление новой учетной записи
После нажатия на кнопку Добавить учетную запись + откроется окно для ввода
параметров создаваемой учетной записи (рисунок 4).
Рисунок 4 - Окно создания новой учетной записи
�Для создания новой учетной записи необходимо заполнить поля окна «Новая учетная запись» (рисунок 4), а именно:
- Логин – имя создаваемой учетной записи
- Порт – порт для выбранного протокола, проставляется автоматически при выборе протокола установки соединения для создаваемой учетной записи и может быть изменен вручную в случае необходимости
- Протокол – протокол сетевого взаимодействия (SSH или WinRM), выбирается оператором Сканер-ВС из ниспадающего списка, открывающегося при нажатии на данное поле (рисунок 5)
- Описание – краткое описание создаваемой учетной записи для упрощения ее идентификации в условиях большого количества учетных записей, заполняется при необходимости
- Данные привязываемого к учетной записи секрета
После заполнения параметров создаваемой учетной записи кнопка
Сохранить учетную запись станет активной.
В правой части окна создания новой учетной записи реализована функция добавления
секрета (рисунок 4).
Рисунок 5 - Выбор протокола сетевого взаимодействия
Как видно из рисунка 4, при привязке секрета к создаваемой учетной записи Сканер-ВС предоставляет возможность импорта секрета из ранее созданных (в случае их наличия) или создания нового секрета
В Сканер-ВС предусмотрены три метода кодировки ключа:
- Basic – создание секрета для аутентификации базовым методом, с помощью логина и пароля
- SSH KeyPair – создание секрета для аутентификации с помощью сгенерированной пары ключей по протоколу SSH, данный тип ключа в основном используется для подключения к узлам исследуемой сети, на которых установлена ОС AstraLinux
- WinRM KeyPair – создание секрета для аутентификации с помощью сгенерированной пары ключей по протоколу WinRM, данный тип ключа в основном используется для подключения к узлам исследуемой сети, на которых установлена ОС Windows
Для использования подключения к узлу исследуемой сети по протоколу WinRM необходима предварительная настройка этого узла.
Выбор метода кодировки KeyPair (SSH или WinRM) определяется выбором протокола
сетевого взаимодействия в левой части окна создания новой учетной записи
(рисунок 5)
Для создания нового секрета методом «Basic» необходимо заполнить поля «Название секрета» и «Пароль»
данными для авторизации. После чего нажать на кнопку Сохранить учетную запись.
Для создания нового секрета методом «Basic» при использовании протокола WinRM предусмотрены дополнительные опции для подключения к узлам исследуемой сети с использованием доменных учетных записей, а именно:
- Область (realm) – область, обслуживаемая сервисом
- ntlm – протокол сетевой аутентификации
- kerberos – сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними
При выборе протокола сетевого взаимодействия WinRM в левой части окна создания новой учетной записи эти опции становятся доступными.
При привязке секрета к создаваемой учетной записи Сканер-ВС предоставляет возможность импорта секрета из ранее созданных (в случае их наличия) или создания нового секрета.
Привязка существующего секрета
Для привязки к создаваемой учетной записи уже имеющегося секрета необходимо
нажать на кнопку Импортировать. После чего отобразится список ранее созданных
секретов для их привязки к настраиваемой учетной записи
Рисунок 6 - Привязка существующего секрета
Для привязки существующего секрета к новой учетной записи, его необходимо сначала импортировать. Для этого необходимо навести курсор на нужный секрет из списка. При этом отобразится кнопка импорта секрета (рисунок 7).
Рисунок 7 - Импорт секрета
После нажатия на кнопку, изображенную на рисунке 7 кнопка
Сохранить учетную запись станет активной, а вместо кнопки импорта секр�ета
отобразится поле, сигнализирующее об успешном импорте секрета, как показано
на рисунке 8.
Рисунок 8 - Успешный импорт секрета
Создание секрета для метода авторизации «Basic»
Для создания нового секрета методом Basic необходимо заполнить поля
«Название секрета» и «Пароль» данными для авторизации. После чего нажать
на кнопку Сохранить учетную запись.
На рисунке 4 изображено окно с выбранным протоколом сетевого взаимодействия SSH. Для протокола WinRM создание нового секрета для данного метода авторизации происходит аналогично
Создание секрета методом «KeyPair»
Для создания секрета методом генерации пары ключей (KeyPair) необходимо нажать
на кнопку KeyPair в правой части окна добавления новой учетной записи
(рисунок 4). После чего в правой части окна добавления новой учетной записи
отобразится окно генерации пары ключей (рисунок 9).
Рисунок 9 - Генерация пары ключей методом KeyPair
Сканер-ВС предоставляет возможность выбора типа ключа при создании секрета из трех вариантов:
- RSA – генерируемый набор знаков определенной длины
- EC – генерируемая эллиптическая кривая
- OKP – генерируемая эллиптическая кривая, отличие от EC в используемых при генерации кривых
Для типа RSA необходимо указать длину генерируемой последовательности набора
знаков (рисунок 10).
Рисунок 10 - Выбор длины генерируемой пары ключей
Для типа EC необходимо указать тип генерируемой эллиптической кривой (рисунок 11).
Рисунок 11 - Выбор типа эллиптической кривой
Для типа OKP в качестве типа генерируемой эллиптической кривой автоматически
задается ED25519 (рисунок 12).
Рисунок 12 - Автоматическая установка типа кривой ED25519
Для создания пары ключей WinRM KeyPair тип ключа ОКР недоступен
После нажатия на кнопку Сгенерировать ключ в поле «Публичный ключ» появится
сгенерированный ключ, который можно скопировать, нажав на кнопку копирования
в поле сгенерированного ключа (рисунок 13).
Рисунок 13 - Сгенерированный ключ
В Сканер-ВС предусмотрен таймаут на генерацию публичного ключа. Повторная генерация доступна спустя пять минут после первой генерации публичного ключа.
Сгенерированная пара ключей хранится в кэше Сканер-ВС в течении пяти минут или
до того момента, пока оператор не нажмет кнопку Создать. В том случае, если в
течении этого времени процесс создания секрета данным методом не будет завершен,
то сгенерированный ключ автоматически удалится из кэша Сканер-ВС и оператору
необходимо будет генерировать новую пару ключей!
После генерации публичного ключа необходимо нажать на кнопку
Сохранить учетную запись для добавления настроенной учетной записи, которая
станет активной. После нажатия на кнопку Сохранить учетную запись в таблице
учетных записей отобразится добавленная учетная запись.
Описанным выше способом добавляется учетная запись глобального типа. Для добавления учетной записи локального типа необходимо ее создать через соответствующую вкладку карточки актива
Добавление новой учетной записи локального типа
Для добавления учетной записи через карточку актива необходимо перейти в
одноименную вкладку карточки актива и нажать кнопку Добавить учетную запись +,
как показано на рисунке 14.
Рисунок 14 - Добавление учетной записи через актив
Процесс добавления учетной записи локального типа аналогичен добавлению учетной записи глобального типа за исключением возможности проверить подключение к активу с указанными учетными данными непосредственно перед созданием учетной записи.
Создание доменной учетной записи
Для добавления новой доменной учетной записи для протокола WinRM необходимо заполнить поле
«Область (realm)», выбрать сетевой протокол аутентификации, на который настроен домен, после чего заполнить
поля «Название секрета» и «Пароль», и нажать кнопку Сохранить учетную запись.
Рисунок 15 - Опции для подключения с использованием доменных учетных записей
При добавлении новой доменной учетной записи необходимо создать конфигурационный файл krb5.conf, выполнив следующие действия:
-
Перейти в режим рута:
sudo su -
Поместить файл
krb5.confв каталог проекта:cp ./krb5.conf /opt/echelon/scanner/krb/1где 1 - id проекта.
Пример содержимого файла
krb5.conf:[realms]
EHELON.NET = {
kdc = dc2.ehelon.net
kdc = dc1.ehelon.net
admin_server = dc2.ehelon.net
}
[domain_realm]
.ehelon.net = EHELON.NET
ehelon.net = EHELON.NET
Удаление учетных записей
Для удаления учетной(ых) записи(ей) необходимо выбрать учетную(ые) запись(и) для последующего удаления путем нажатия на поле выбора рядом с именем пользователя(ей).
После выбора учетной(ых) записи(ей), которую(ых) необходимо удалить отобразится
кнопка Удалить, являющаяся по умолчанию скрытой (рисунок 16).
Рисунок 16 - Удаление учетных записей
Редактирование учетных записей
Для редактирования учетной записи необходимо нажать в любом месте строки учетной записи, информацию о которой необходимо изменить, в таблице, отображаемой во вкладке «Учетные записи» (рисунок 2). После чего в Сканер-ВС отобразится карточка учетной записи, изображенная на рисунке 17.
Рисунок 17 - Карточка учетной записи глобального типа
В карточке учетной записи приведена вся информация о ней, а именно:
- Логин
- Описание
- Порт
- Протокол
- Публичный ключ
- Активы, к которым привязана данная учетная запись
Сканер-ВС предоставляет возможность редактирования следующей информации об учетной записи:
- Логин учетной записи (на рисунке 17 – «Test»)
- Описание учетной записи (на рисунке 17 – незаполненное поле)
- Статус учетной записи (на рисунке 17 – окно выбора состояния учетной записи рядом с ее названием)
- Добавлять или отвязывать учетную запись от активов (на рисунке 17 – правая часть карточки учетной записи с заголовком «Активы»).
На �рисунке 17 изображена карточка учетной записи, секрет для которой был создан
методом KeyPair. В том случае, если секрет для учетной записи будет создан
методом Basic, строки «Публичный ключ» и, соответственно, кнопки копирования
ключа, в карточке такой учетной записи не будет (рисунок 18)
Привязка учетной записи к активам
Для привязки учетной записи к активу необходимо нажать на кнопку
Добавить актив + (рисунок 18) после чего отобразится окно импорта из активов
(рисунок 19).
Рисунок 18 - Привязка учетной записи к активу
Для привязки учетной записи необходимо выбрать актив(ы) из таблицы на рисунке 19
и нажать на кнопку Добавить, которая станет доступной. В противном случае –
нажать кнопку Отменить.
Рисунок 19 - Окно импорта активов
Первый актив имеет менее яркую окраску в поле выбора, т.к. к этому активу уже привязана данная учетная запись
После внесения любого изменения в карточке учетной записи необходимо нажать на
кнопку Сохранить, которая станет активной. После чего в таблице, отображаемой
во вкладке «Учетные записи» появится новая информация об учетной записи,
которая была отредактирована.
Добавлять к активу(ам) возможно только учетную запись глобального типа. Учетная запись локального типа создается исключительно для одного конкретного актива, через карточку которого она была добавлена в Сканер-ВС. В остальном карточка учетной записи локального типа идентична карточке учетной записи глобального типа
Отключение учетной записи от актива
Для отключения учетной записи от актива необходимо нажать на кнопку раскрытия дополнительного меню в строке соответствующего актива, и в выпадающем списке выбрать опцию «Отвязать актив» (рисунок 20). Так же в Сканер-ВС предусмотрена возможность перехода к карточке «Актива» непосредственно из учетной записи. Для этого необходимо выбрать опцию «Перейти к активу» в том же списке.
Рисунок 20 - Выпадающий список опций актива
При внесении изменений в список активов, к которым привязана учетная запись сохранение таких изменений происходит автоматически.
Отключать от актива(ов) возможно только учетную запись глобального типа. Учетная запись локального типа создается исключительно для одного конкрет�ного актива, через карточку которого она была добавлена в Сканер-ВС. В остальном карточка учетной записи локального типа идентична карточке учетной записи глобального типа
Привязка учетной записи через карточку актива
Наряду с привязкой к активу(ам) учетной записи глобального типа через карточку этой учетной записи в Сканер-ВС предусмотрена функция импорта ранее созданной учетной записи глобального типа непосредственно через карточку актива.
Для привязки глобальной учетной записи через карточку актива необходимо перейти
в одноименную вкладку карточки актива и нажать кнопку
Добавить учетную запись + как показано на рисунке 16. После чего откроется
окно создания учетной записи, изображенное на рисунке 21.
Рисунок 21 - Окно создания учетной записи через актив
Для привязки учетной записи глобального типа к активу необходимо нажать на
кнопку Импортировать, после чего откроется окно импорта ранее созданных
учетных записей, изображенное на рисунке 22.
Рисунок 22 - Импорт учетной записи
Для импорта ранее созданной учетной записи глобального типа необходимо выбрать
учетную запись из доступных и нажать кнопку Добавить, которая станет
доступной. В противном случае – нажать кнопку Отмена.
После нажатия на кнопку Добавить окно импорта учетной записи закроется, а в
таблице учетных записей актива отобразится импортированная учетная запись.
Для отвязки учетных записей через актив необходимо выбрать те учетные записи,
которые необходимо отвязать и нажать кнопку Удалить (рисунок 23).
Рису�нок 23 - Отключение учетных записей актива