Просмотреть исходный

Учётная запись пользователя

Учётная запись пользователя (или пользователь) — это набор данных о пользователе для его идентификации, аутентификации и предоставления доступа к системе. Атрибуты учетной записи приведены в таблице ниже.

Атрибут	Комментарий
Имя пользователя (логин)	Логин пользователя указываются при входе в систему. Логин пользователя должен быть уникальным. Требования к логину приведены ниже.
Пароль пользователя	Пароль пользователя указывается при входе в систему наравне с логином. Требования к логину приведены ниже.
Роль пользователя	Роль определяет права пользователя в системе. Одна роль может быть задана нескольким пользователям системы.
ФИО пользователя	Дополнительно можно указать Фамилию, Имя, Отчество пользователя, тогда в отчётах и разных разделах интерфейса вместо логина будут указываться эти данные.

Средства управления учётными записями

В нативной версии Платформы НЕЙРОСС управление учетными записями обеспечивается программными средствами НЕЙРОСС, данные хранятся непосредственно в базе данных Платформы. В контейнеризированной версии Платформы НЕЙРОСС для управления пользователями и выполнении функций аутентификации и авторизации используются программные средства Keycloak (Кейклоак). По завершению перехода с нативной версии на контеризированную при помощи процедуры миграции производится бесшовный перенос пользователей НЕЙРОСС из базы данных Платформы НЕЙРОСС в Keycloak. Перенос производится отдельно по каждому пользователю через процедуру смены пароля при первой авторизации в контейнеризированной версии Платформы НЕЙРОСС.

Пользовательский интерфейс

Вне зависимости от технической реализации (в обоих версиях Платформы НЕЙРОСС) для работы с учетными записями предназначен единый пользовательский интерфейс — приложение Пользователи, роли и права.

Логин

Имя пользователя (логин) может состоять только из строчных латинских букв, цифр и символов «-» (тире), «_» (подчеркивание). В контейнеризированной версии Платформы НЕЙРОСС не допускается использование заглавных символов в логине. При проведении процедуры миграции с нативной версии в контейнеризированную заглавные буквы логина преобразуются в строчные. Требования к логину на разных узлах НЕЙРОСС предъявляются разные, в ближайшее время будет проведена процедура унификации. В таблице ниже приведены рекомендуемые требования.

Параметр	Комментарий
Минимальная длина	Рекомендуется использовать не менее пяти символов в длине логина.
Состав логина	Логин может включать строчные латинских буквы, цифры и символы «-» (тире), «_» (подчеркивание). Не рекомендуется использовать только цифры.

Пароль

Пароль пользователя — это набор букв, цифр и спецсимволов. Требования к паролям на разных узлах НЕЙРОСС предъявляются разные, в ближайшее время будет проведена процедура унификации. В таблице ниже приведены рекомендуемые требования.

Параметр	Значение	Комментарий
Минимальная длина	10	Пароль должен содержать не менее десяти символов.
Минимальное количество букв верхнего регистра	1	Одна и более букв в пароле должны быть в верхнем регистре (заглавные).
Минимальное количество букв нижнего регистра	1	Одна и более букв в пароле должны быть в нижнем регистре (строчные).
Минимальное количество цифр	1	Пароль должен содержать минимум одну цифру.
Использование спецсимволов	-	Требования к спецсимволам не предъявляются. Можно использовать любые символы.

Роль

Для разграничения прав пользователя предназначена роль.

Роль учётной записи пользователя (или роль пользователя) — это набор прав и привилегий, которые определяют набор данных и сервисов системы, доступ к которым требуется предоставить. Права роли определяют доступ к функциям администрирования, служебным и пользовательским приложениям с возможностью тонкой настройки прав на конкретные функции приложений, а также позволяет определить разрешенный набор данных, событий и команд управления. Роли предназначены для тиражирования настроек прав для различных групп пользователей.

Индивидуальные права

Платформа НЕЙРОСС позволяет задать для определенного пользователя индивидуальные права без необходимости настройки отдельной роли. При этом права роли полностью переопределяются.

Для настройки учетных записей, ролей и индивидуальных прав предназначено приложение Пользователи, роли и права.

Учетные записи как ресурсы

Непременным условием успешного взаимодействия всех узлов сети НЕЙРОСС является синхронизация узлов по времени и данным. При выполнении этого условия обеспечивается эффективное взаимодействие узлов в домене, обмен событиями и передача команд управления. Учетные записи пользователей являются общим ресурсом и передаются в узлы НЕЙРОСС в процессе синхронизации данных. Синхронизация учетных записей с одного узла НЕЙРОСС на другой, в частности, — с узла Платформа НЕЙРОСС на БОРЕЙ, необходима, например, для выполнения команд управления точками доступа, зонами сигнализации и реле, отправляемых вручную оператором центра мониторинга и реагирования из приложения АРМ НЕЙРОСС Центр, либо автоматически посредством задач автоматизации. При этом перечень разрешений на управление элементами ограничивается правами учетной записи.

Ранее каждый узел НЕЙРОСС поддерживал единую «облачную» систему авторизации и разграничения прав пользователей в сети НЕЙРОСС. Такие «облачные» учётные записи могли использоваться для администрирования узлов НЕЙРОСС из единого веб-интерфейса. После создания учетной записи на одном узле НЕЙРОСС, она автоматически синхронизировалась на все остальные узлы сети, и могла использоваться для входа в интерфейс любого другого узла. Теперь для авторизации в интерфейсе другого узла НЕЙРОСС такую учетную запись требуется предварительно зарегистрировать, выдав новый пароль конкретно под данный узел.

Изменение политики учетных записей

Общие положения

В целях повышения киберзащищённости решения НЕЙРОСС в новых версиях продуктов изменяется подход к аутентификации пользователей на контроллерах и в серверном программном обеспечении. В том числе:

Аутентификация пользователей в серверном программном обеспечении осуществляется с применением современных стандартизированных протоколов и средств «посерверно», с повышенным уровнем информационной безопасности. Учётная запись, созданная на одном сервере в сети НЕЙРОСС, автоматически не позволяет получить доступ к другому серверу. Для использования учётной записи на втором сервере, администратору второго сервера необходимо явно предоставить доступ для данной учётной записи — выдать специфичные для сервера права и назначить специфичный для данного сервера пароль.
Аутентификация пользователей в интерфейсе контроллеров допускается:
1. На этапе пусконаладки — только под одной встроенной учётной записью (root) — для полной настройки устройства.
2. На этапе эксплуатации — только под временными учётными записями, выдаваемыми центральным сервером — только для сервисного обслуживания.

Данные изменения внедряются в продукты НЕЙРОСС постепенно, итеративно. Версии разных продуктов с данными изменениями выпускаются в разное время. При этом решение НЕЙРОСС обеспечивает максимально возможную, но всё же ограниченную обратную совместимость новых средств и старых, программного обеспечения новых и предыдущих версий для обеспечения их совместной работы, сохранения работоспособности систем при их постепенной модернизации.

В переходный период некоторые привычные функции в предыдущих версиях технических и программных средств могут перестать работать на уровне системы, либо могут быть ограничены. В частности:

Учётные записи, зарегистрированные в системе НЕЙРОСС, при обновлении серверного ПО остаются активны на сервере, но в определенных случаях требуют смены пароля в соответствии с установленной политикой безопасности.
Учётные записи, создаваемые в новых версиях серверного ПО, автоматически не могут быть использованы для доступа в интерфейс других серверов, видеорегистраторов и контроллеров. Для использования данных учётных записей на других серверах необходимо явно регистрировать их на этих серверах, назначая специфичные для сервера пароли и права доступа.
Учётные записи, создаваемые в новых версиях серверного ПО, автоматически распространяются на все узлы НЕЙРОСС, но как «технические» учётные записи, с «техническим» паролем. Использование данных учётных записей для настройки и эксплуатации оборудования не предполагается (под ними не удастся аутентифицироваться в интерфейсе контроллеров). Изменение такого пользователя (например, смена пароля) через интерфейс контроллера может привести к нарушению работы отдельных функций системы.

Во избежание непонимания и проблем при эксплуатации средств НЕЙРОСС в переходный период:

В продуктах НЕЙРОСС добавлены необходимые подсказки, предупреждения и ограничения для информирования пользователей о новых принципах работы решения.
В документации на продукты НЕЙРОСС приведена информация о нововведениях и приведены рекомендации по эксплуатации системы в переходный период.
При наличии в составе систем и нового серверного программного обеспечения, и предыдущих версий контроллеров, рекомендуется эксплуатировать последние в соответствии с новым кибербезопасным подходом:
1. Использовать только системную учётную запись root для администрирования контроллера, установив для неё сложный пароль.
2. Не создавать вручную новые учётные записи через интерфейс контроллера. Не модифицировать технические учётные записи, автоматически создаваемые на контроллерах со стороны нового серверного ПО для поддержки обратной совместимости.

«Локальные» и «технические» учетные записи

С версии 20.41 Платформы НЕЙРОСС «облачные» учетные записи, общие для всех узлов НЕЙРОСС, заменяются на «локальные» и «технические».

«Локальные» учетные записи используются на узлах серверного типа: Платформе НЕЙРОСС, видеорегистраторах ДеВизор, и определяют права доступа ТОЛЬКО к конкретному серверному узлу. Такая учётная запись по-прежнему синхронизируется во все другие серверные узлы автоматически в рамках процедуры синхронизации, но в этих других узлах имеет статус незарегистрированной. При необходимости авторизации на другом сервером узле под данной учетной записью её требуется вручную зарегистрировать и задать специфичный для данного узла пароль.

«Технические» учетные записи рассылаются в контроллеры, терминалы, консоли и другие узлы НЕЙРОСС на базе ARM автоматически после создания «локальной» учетной записи на сервере. «Техническая» учётная запись имеет «технический» скрытый пароль, формируемый сервером, и используется для управления узлами с сервера. Авторизация на таких узлах под учетной записью сервера невозможна, так как доступ к техническому паролю скрыт. В будущих версиях контроллеров и других узлов будет реализован механизм выдачи одноразового пароля для выполнения сервисного обслуживания. На текущий момент вход в веб-интерфейс и настройка контроллеров и других узлов на базе ARM осуществляется СТРОГО под учётной записью root.

ОЧЕНЬ ВАЖНО

Каждый узел НЕЙРОСС имеет предустановленную учётную запись root. При первом входе в интерфейс рекомендуется сменить пароль учётной записи root — мастер-пароль (по умолчанию, root) на высокозащищённый в соответствии с политикой организации. Данная учетная запись должна использоваться для настройки контроллеров, терминалов и консолей НЕЙРОСС.

При настройке серверных узлов использование учетной записи root допустимо только на первичном этапе. Для полноценной настройки и тестирования работоспособности системы (получения событий, мониторинга состояний, передачи команд управления) требуется создать локальную учётную запись с правом общего конфигурирования, выйти из системы, авторизоваться под новой учётной записью и в дальнейшем для настройки использовать только эту учётную запись.