Платформа НЕЙРОСС
Быстрые ссылки
Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user TechWriter

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user TechWriter

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Учётная запись пользователя

Учётная запись пользователя (или пользователь) — это набор данных о пользователе, предназначенный для его идентификации, аутентификации и предоставления доступа к данным и сервисам системы. 

...

Информация

Для настройки учетных записей, ролей и индивидуальных прав предназначено приложение Пользователи, роли и права.

Учетные записи как ресурсы

Непременным условием успешного взаимодействия всех узлов сети НЕЙРОСС является синхронизация узлов по времени и данным. При выполнении этого условия обеспечивается эффективное взаимодействие узлов в домене, обмен событиями и передача команд управления. Учетные записи пользователей являются общим ресурсом и передаются в узлы НЕЙРОСС в процессе синхронизации. Синхронизация пользователей необходима, например, для выполнения команд управления точками доступа, зонами сигнализации и реле, отправляемых оператором центра мониторинга и реагирования из приложения АРМ НЕЙРОСС Центр, либо автоматически посредством задач автоматизации. При этом перечень разрешенных прав на управление ограничивается правами пользователей.

Ранее каждый узел НЕЙРОСС поддерживал единую «облачную» систему авторизации и разграничения прав пользователей в сети НЕЙРОСС. Такие «облачные» учётные записи могли использоваться для администрирования узлов НЕЙРОСС из единого веб-интерфейса. После создания учетной записи на одном узле НЕЙРОСС, она автоматически синхронизировалась на все остальные узлы сети, и могла использоваться для входа в интерфейс любого другого узла.

Изменение политики учетных записей

Общие положения

В целях повышения киберзащищённости решения НЕЙРОСС в новых версиях продуктов изменяется подход к аутентификации пользователей на контроллерах и в серверном программном обеспечении. В том числе:

  1. Аутентификация пользователей в серверном программном обеспечении осуществляется с применением современных стандартизированных протоколов и средств «посерверно», с повышенным уровнем информационной безопасности. Учётная запись, созданная на одном сервере в сети НЕЙРОСС, автоматически не позволяет получить доступ к другому серверу. Для использования учётной записи на втором сервере, администратору второго сервера необходимо явно предоставить доступ для данной учётной записи, выдать специфичные для сервера права и назначить специфичный для данного сервера пароль.
  2. Аутентификация пользователей в интерфейсе контроллеров допускается
    1. На этапе пусконаладки ­— только под одной встроенной учётной записью (root) — для полной настройки устройства.
    2. На этапе эксплуатации — только под временными учётными записями, выдаваемыми центральным серверов — только для сервисного обслуживания.

Данные изменения внедряются в продукты НЕЙРОСС постепенно, итеративно. Версии разных продуктов с данными изменениями выпускаются в разное время. При этом решение НЕЙРОСС обеспечивает максимально возможную, но всё же ограниченную обратную совместимость новых средств и старых, программного обеспечения новых и предыдущих версий для обеспечения их совместной работы, сохранения работоспособности систем при их постепенной модернизации.

В этой связи, в переходный период некоторые привычные функции в предыдущих версиях технических и программных средств могут перестать работать на уровне системы, либо могут быть ограничены. В частности:

  1. Учётные записи, зарегистрированные в системе НЕЙРОСС, при обновлении серверного ПО остаются активны на сервере, но в определенных случаях требуют смены пароля в соответствии с установленной политикой безопасности.
  2. Учётные записи, создаваемые в новых версиях серверного ПО, автоматически не могут быть использованы для доступа в интерфейс других серверов, видеорегистраторов и контроллеров. Для использования данных учётных записей на других серверах необходимо явно регистрировать их на этих серверах, назначая специфичные для сервера пароли и права доступа.
  3. Учётные записи, создаваемые в новых версиях серверного ПО, автоматически распространяются на все узлы НЕЙРОСС, но как «технические» учётные записи, с «техническими» аутентификационными данными — для обеспечения обратной совместимости с предыдущими версиями оборудования. Использование данных учётных для настройки и эксплуатации оборудования не предполагается (под ними не удастся аутентифицироваться в интерфейсе контроллеров). Изменение такого пользователя (например, смена пароля) через интерфейс контроллера может привести к нарушению работы отдельных функций системы.

Во избежание непонимания и проблем при эксплуатации средств НЕЙРОСС в переходный период:

  1. В продуктах НЕЙРОСС добавлены необходимые подсказки, предупреждения и ограничения для информирования пользователей о новых принципах работы решения.
  2. В документации на продукты НЕЙРОСС приведена информация о нововведениях и приведены рекомендации по эксплуатации системы в переходный период.
  3. При наличии в составе систем и нового серверного программного обеспечения, и предыдущих версий контроллеров, рекомендуется эксплуатировать последние в соответствии с новым кибербезопасным подходом:
    1. Использовать только системную учётную запись root для администрирования контроллера, установив для неё сложный пароль.
    2. Не создавать вручную новые учётные записи через интерфейс контроллера. Не модифицировать технические учётные записи, автоматически создаваемые на контроллерах со стороны нового серверного ПО для поддержки обратной совместимости.


«Локальные» и «технические» учетные записи

...

С версии 20.41 Платформы НЕЙРОСС «облачные» учетные записи, общие для всех узлов НЕЙРОСС, заменяются на

...

«локальные» и «технические».

«Локальные» учетные записи используются на узлах серверного типа: видеорегистраторах ДеВизор, серверах-диспетчерах Платформа НЕЙРОСС НЕЙРОСС, — и определяют права доступа ТОЛЬКО к конкретному серверному узлу. Такая учётная запись по-прежнему синхронизируется во все другие серверные узлы, но в этих других узлах имеет статус незарегистрированной. При необходимости авторизации на другом сервером узле

...

под данной учетной записью её требуется вручную зарегистрировать и задать специфичный для данного узла пароль.

...

«Технические» учетные записи

...

рассылаются в контроллеры, терминалы, консоли и другие узлы НЕЙРОСС несерверного типа автоматически после создания «локальной» учетной записи на сервере. «Техническая» учётная запись имеет «технический» скрытый пароль, формируемый сервером, и используется для управления узлами с сервера

...

.

...

Авторизация на таких узлах под

...

учетной записью сервера невозможна

...

, так как доступ к техническому паролю скрыт. В будущих версиях контроллеров и других узлов будет реализован механизм выдачи одноразового пароля для выполнения сервисного обслуживания. На текущий момент вход в веб-интерфейс и настройка контроллеров и других узлов несерверного типа осуществляется СТРОГО под учётной записью root. 

Предупреждение

ОЧЕНЬ ВАЖНО

Каждый узел НЕЙРОСС имеет предустановленную учётную запись root. При первом входе в интерфейс рекомендуется сменить пароль учётной записи root (мастер-пароль, по умолчанию root) на высокозащищённый (? в соответствии с политикой организации). Данная учетная запись должна использоваться для настройки контроллеров, терминалов и консолей НЕЙРОСС, но имеет ограниченные права на серверных узлах. Для полноценной настройки Платформы НЕЙРОСС, /ДеВизор и тестирования работоспособности системы (получение получения событий, смены мониторинга состояний, передачи команд управления) требуется на первом же этапе создать учётную запись с правом общего конфигурирования, выйти из системы, авторизоваться под новой учётной записью и в дальнейшем для настройки системы использовать только еёсозданную «локальную» учётную запись.