В данном разделе вы можете добавить и настроить локальных пользователей для аутентификации на сетевом оборудовании, а также настроить группы пользователей с определенными правилами.
Страница «Users»
Общие сведения
На странице Users вы можете создать, отредактировать и удалить локальных пользователей для аутентификации на сетевом оборудовании с помощью модуля TACACS+.
Список пользователей
При переходе на страницу Users вы увидите список добавленных локальных пользователей.
.png)
Элементы управления списком локальных пользователей
В верхней части страницы расположены элементы управления списком локальных пользователей:
- +Add: данная кнопка используется для добавления новых локальных пользователей в список;
- Search for: данное поле используется для поиска по списку с помощью различных атрибутов и операторов;
- Actions: данная кнопка используется для применения различных действий к выбранным элементам списка;
- More columns: данная кнопка используется для настройки отображаемых колонок списка.
Выбор элементов списка
Для выбора конкретного элемента списка, кликните по строке с этим элементом. Для того, чтобы выбрать несколько элементов списка, зажмите клавишу Ctrl и кликните по строкам, которые необходимо выбрать.
Предпросмотр конфигурации
Для того, чтобы открыть окно предпросмотра конфигурации пользователя, нажмите на иконку + слева от имени пользователя. После этого откроется текстовый предпросмотр конфигурации элемента.
.png)
Поиск элементов
Для поиска элементов в списке, нажмите на поле поиска и введите ключевое слово. Также, для расширенного поиска вы можете использовать атрибуты и операторы поиска.
.png)
Атрибуты поиска
Для поиска по списку могут быть использованы следующие атрибуты.
| Атрибут |
Тип |
Описание |
| username |
string |
Имя пользователя |
| disabled |
integer |
Поиск по деактивированным пользователям (1 – деактивирован, 0 – активный) |
| group |
integer (group id) |
ID группы, к которой принадлежит пользователь |
| acl |
integer (acl id) |
ACL назначенная пользователю |
| service |
integer (service id) |
Служба назначенная пользователю |
Операторы поиска
Для поиска по списку могут быть использованы следующие операторы.
| Оператор |
Описание |
| = |
Косвенно равно |
| != |
Косвенно не равно |
| == |
Равно |
| !== |
Не равно |
| , |
Булево И |
| =” |
Атрибут равен пустому значению (не все атрибуты могут быть отфильтрованы по этому условию) |
Добавление пользователей
.png)
Для того, чтобы добавить локального пользователя, нажмите +Add в верхнем левом углу списка. После этого откроется окно конфигурации нового пользователя, которое содержит следующие разделы и параметры:
- General: в данной секции вы можете выполнить основные настройки пользователей:
- Username: уникальное имя пользователя;
- Default User Group: каждый пользователь может быть членом предопределенной группы пользователей. Если у пользователя нет некоторых настроек, он попытается взять их из группы;
- Login Password: основной пароль нового пользователя;
- Type: пароль может храниться в виде чистого текста, md5-хэша или в локальной базе данных. В случае использования локальной базы данных вы можете разрешить пользователю самостоятельную смену пароля;
- Enable Password: пароль Enable для данного пользователя;
- Type: пароль Enable может храниться в виде открытого текста, хэша md5 или дублировать пароль для входа;
- Service: выбор службы, назначаемой клиенту;
- Access Control List: выбор ACL, назначаемого клиенту.
- Message: сообщение, которое будет отображено при аутентификации пользователя:
- Access Control: в данной секции вы можете настроить правила доступа:
- Action For The List Below: правила будут применяться только
- Включено: для устройств, указанных в списке;
- Отключено: для устройств, не указанных в списке.
- Device List: укажите список устройств для применения правила;
- Device Group: укажите список групп устройств для применения правила.
- Extra Options: в данной секции вы можете выполнить дополнительные настройки пользователя
- PAP Authentication: некоторые устройства требуют аутентификации PAP, например Nexus, PaloAlto и так далее;
- Type: пароль PAP может храниться в виде открытого текста, хэша md5 или как клон пароля для входа в систему;
- CHAP Authentication: пароль аутентификации CHAP. Может храниться только в виде открытого текста;
- MS-CHAP Authentication: пароль аутентификации MS-CHAP. Может храниться только в виде открытого текста.
- Manual Configuration: в данной секции вы можете сконфигурировать пользователя в ручном режиме;
- Valid From/Until: сроки валидности учетной записи пользователя;
- Disabled: данный параметр позволяет деактивировать/активировать пользователя. Деактивированный пользователь будет сохранен в базе данных, но не появится в основной конфигурации.
После того, как все поля заполнены, нажмите Create, чтобы создать пользователя, или Cancel, чтобы отменить.
Уровень доступа, заданный с помощью сервисов для конкретного пользователя имеет более высокий приоритет, чем уровень доступа, назначенный группе пользователей.
Редактирование пользователей
Для того чтобы внести изменения в конфигурацию пользователя, нажмите на иконку редактирования справа от имени пользователя.
.png)
Чтобы применить изменения, нажмите Save. Чтобы отменить изменения, нажмите Cancel.
Удаление пользователя
Для того, чтобы удалить локального пользователя, нажмите на иконку удаления справа от его имени, после чего подтвердите удаление, нажав OK во всплывающем окне.
.png)
Вы также можете выбрать несколько пользователей с помощью клавиши Ctrl. После этого нажмите Actions и выберите Delete из выпадающего списка.
Импорт/Экспорт пользователей
AxelNAC поддерживает экспорт и импорт пользователей в/из CSV-файл.
Импорт пользователей
Для того, чтобы импортировать список пользователей, нажмите Actions, выберите в выпадающем списке Import и выберите CSV-файл со списком пользователей, после этого нажмите Import. Если вы передумали производить импорт, нажмите Clear.
CSV-файл должен содержать заголовок со списком всех использованных атрибутов. Список атрибутов представлен в таблице ниже. Звездочкой * помечены обязательные атрибуты.
| Атрибут |
Тип |
Описание |
| username* |
string |
Имя пользователя |
| disabled |
integer |
Деактивированный пользователь (1 – деактивирован, 0 – активный) |
| login* |
string |
Ключ TACACS+ |
| login_flag* |
integer |
0 – пароль в виде открытого текста, 1 – пароль в виде хэша md5, 3 – локальная база данных |
| login_encrypt |
integer |
1 – активировать хэширование. Например, еси login=123, login_flag=1 и login_encrypt=1, пароль будет преобразован в строку хэша |
| enable |
string |
пароль Enable |
| enable_flag |
integer |
0 – пароль в виде открытого текста, 1 – пароль в виде хэша md5, 4 – дублировать пароль для входа |
| enable_encrypt |
integer |
1 – активировать хэширование. Например, если enable=123, enable_flag=1 и enable_encrypt=1, пароль Enable будет преобразован в строку хэша |
| pap |
string |
Пароль PAP |
| pap_flag |
integer |
0 – пароль в виде открытого текста, 1 – пароль в виде хэша md5, 4 – дублировать пароль для входа |
| pap_encrypt |
integer |
1 – активировать хэширование. Например, если pap=123, pap_flag=1 и pap_encrypt=1, пароль PAP будет преобразован в строку хэша |
| chap |
string |
Пароль CHAP |
| ms-chap |
string |
Пароль MS-CHAP |
| default_service |
integer |
Атрибут службы по умолчанию (1 – отключено, 0 – включено) |
| group |
integer (group id) |
ID группы, к которой принадлежит пользователь |
| acl |
integer (acl id) |
ACL, назначенная пользователю |
| service |
integer (service id) |
Служба, назначенная пользователю |
| message |
string |
Приветственное сообщение |
| valid_from |
date (YYYY-MM-DD HH:mm) |
Учетная запись будет валидна с даты |
| valid_until |
date (YYYY-MM-DD HH:mm) |
Учетная запись будет валидна до даты |
| client_ip |
ipaddress/prefix |
Быстрый способ ограничить доступ без ACL. Доступ будет разрешен только если пользователь будет находиться в этом IP-адресе или внутри этой сети |
| server_ip |
ipaddress/prefix |
Быстрый способ ограничить доступ без ACL. Доступ будет разрешен только на конкретном устройстве или в конкретной сети |
| manual |
string |
Ручная конфигурация для данного пользователя |
Экспорт пользователей
Для того, чтобы выполнить экспорт пользователей, выберите пользователей, которые вы хотите экспортировать, нажмите Actions, выберите в выпадающем списке Export Selected/All и нажмите Download.
Страница «User Groups»
Общие сведения
На странице User Groups вы можете создать, отредактировать и удалить группы пользователей, для которых будут применяться общие групповые правила.
Список групп пользователей
При переходе на страницу User Groups вы увидите список добавленных групп пользователей.
.png)
Элементы управления списком групп пользователей
В верхней части страницы расположены элементы управления списком групп пользователей:
- +Add: данная кнопка используется для добавления новых групп пользователей в список;
- Search for: данное поле используется для поиска по списку с помощью различных атрибутов и операторов;
- Actions: данная кнопка используется для применения различных действий к выбранным элементам списка;
- More columns: данная кнопка используется для настройки отображаемых колонок списка.
Выбор элементов списка
Для выбора конкретного элемента списка, кликните по строке с этим элементом. Для того, чтобы выбрать несколько элементов списка, зажмите клавишу Ctrl и кликните по строкам, которые необходимо выбрать.
Предпросмотр конфигурации
Для того, чтобы открыть окно предпросмотра конфигурации группы пользователей, нажмите на иконку + слева от имени группы. После этого откроется текстовый предпросмотр конфигурации элемента.
.png)
Поиск элементов
Для поиска элементов в списке, нажмите на поле поиска и введите ключевое слово. Также, для расширенного поиска вы можете использовать атрибуты и операторы поиска.
.png)
Атрибуты поиска
Для поиска по списку могут быть использованы следующие атрибуты.
| Атрибут |
Тип |
Описание |
| name |
string |
Имя группы пользователей |
| acl |
integer (acl id) |
ACL, принадлежащая группе пользователей |
| service |
integer (service id) |
Служба, назначенная группе пользователей |
Операторы поиска
Для поиска по списку могут быть использованы следующие операторы.
| Оператор |
Описание |
| = |
Косвенно равно |
| != |
Косвенно не равно |
| == |
Равно |
| !== |
Не равно |
| , |
Булево И |
| =” |
Атрибут равен пустому значению (не все атрибуты могут быть отфильтрованы по этому условию) |
Добавление группы пользователей
.png)
Для того, чтобы добавить группу пользователей, нажмите +Add в верхнем левом углу списка. После этого откроется окно конфигурации новой группы пользователей, которое содержит следующие разделы и параметры:
- General: в данной секции вы можете выполнить основные настройки групп пользователей:
- Name: уникальное имя группы пользователей;
- LDAP Group: группа может быть ассоциирована с LDAP-группой для авторизации;
- Enable Password: пароль Enable для данной группы пользователей;
- Type: пароль Enable может храниться в виде открытого текста, хэша md5 или дублировать пароль для входа;
- Service: выбор службы, назначаемой группе пользователей;
- Access Control List: выбор ACL, назначаемого группе пользователей;
- ACL Association: выбор, с какими ACL будет ассоциироваться группа пользователей;
- Priority: приоритет группы;
- Default Service Permit: разрешать любой запрос службы от NAS (устройства).
- Message: сообщение, которое будет отображено при аутентификации пользователя из группы:
- Access Control: в данной секции вы можете настроить правила доступа:
- Action For The List Below: правила будут применяться только
- Включено: для устройств, указанных в списке;
- Отключено: для устройств, не указанных в списке.
- Device List: укажите список устройств для применения правила;
- Device Group: укажите список групп устройств для применения правила.
- Manual Configuration: в данной секции вы можете сконфигурировать пользователя в ручном режиме;
- Valid From/Until: сроки валидности учетной записи пользователей группы.
После того, как все поля заполнены, нажмите Create, чтобы создать группу пользователей, или Cancel, чтобы отменить.
Уровень доступа, заданный с помощью сервисов для конкретного пользователя имеет более высокий приоритет, чем уровень доступа, назначенный группе пользователей.
Редактирование группы пользователей
Для того чтобы внести изменения в конфигурацию группы пользователей, нажмите на иконку редактирования справа от имени группы.
.png)
Чтобы применить изменения, нажмите Save. Чтобы отменить изменения, нажмите Cancel.
Удаление группы пользователей
Для того, чтобы удалить группу пользователей, нажмите на иконку удаления справа от имени группы, после чего подтвердите удаление, нажав OK во всплывающем окне.
.png)
Вы также можете выбрать несколько групп с помощью клавиши Ctrl. После этого нажмите Actions и выберите Delete из выпадающего списка.
Импорт/Экспорт группы пользователей
AxelNAC поддерживает экспорт и импорт групп пользователей в/из CSV-файл.
Импорт групп
Для того, чтобы импортировать список групп пользователей, нажмите Actions, выберите в выпадающем списке Import и выберите CSV-файл со списком групп пользователей, после этого нажмите Import. Если вы передумали производить импорт, нажмите Clear.
CSV-файл должен содержать заголовок со списком всех использованных атрибутов. Список атрибутов представлен в таблице ниже. Звездочкой * помечены обязательные атрибуты.
| Атрибут |
Тип |
Описание |
| name* |
string |
Уникальное имя группы |
| enable |
string |
пароль Enable |
| enable_flag |
integer |
0 – пароль в виде открытого текста, 1 – пароль в виде хэша md5, 4 – дублировать пароль для входа |
| enable_encrypt |
integer |
1 – активировать хэширование. Например, если enable=123, enable_flag=1 и enable_encrypt=1, пароль Enable будет преобразован в строку хэша |
| default_service |
integer |
Атрибут службы по умолчанию(1 – отключен, 0 – активирован) |
| acl |
integer (acl id) |
ACL, назначенный группе |
| service |
integer (service id) |
Служба, назначенная группе |
| message |
string |
Приветственное сообщение |
| valid_from |
date (YYYY-MM-DD HH:mm) |
Учетные записи членов группы будут валидны с даты |
| valid_until |
date (YYYY-MM-DD HH:mm) |
Учетные записи членов группы будут валидны до даты |
| client_ip |
ipaddress/prefix |
Быстрый способ ограничить доступ без ACL. Доступ будет разрешен только если пользователь из группы будет находиться в этом IP-адресе или внутри этой сети |
| server_ip |
ipaddress/prefix |
Быстрый способ ограничить доступ без ACL. Доступ будет разрешен только на конкретном устройстве или в конкретной сети |
| manual |
string |
Ручная конфигурация для данной группы |
Экспорт групп
Для того, чтобы выполнить экспорт групп пользователей, выберите группы, которые вы хотите экспортировать, нажмите Actions, выберите в выпадающем списке Export Selected/All и нажмите Download.
