Учётная запись пользователя

Учётная запись пользователя (или пользователь) — это набор данных о пользователе, предназначенный для его идентификации, аутентификации и предоставления доступа к данным и сервисам системы. 

Главными атрибутами учётной записи являются:

АтрибутКомментарий
Имя пользователя (логин)Логин и пароль пользователя указываются при входе в систему. Дополнительно можно указать Фамилию, Имя, Отчество пользователя, тогда в отчётах и разных разделах интерфейса вместо логина будут указываться эти данные.
Пароль пользователя
Роль пользователяРоль определяет права пользователя в системе.

В нативной версии Платформы НЕЙРОСС управление учетными записями обеспечивается программными средствами НЕЙРОСС, данные хранятся непосредственно в базе данных Платформы. Платформа НЕЙРОСС контейнеризированной версии использует программные средства Keycloak (Кейклоак) для управления пользователями и выполнении функций аутентификации и авторизации. При переходе с нативной версии на контеризированную при помощи процедуры миграции производится бесшовный перенос пользователей НЕЙРОСС из базы данных Платформы НЕЙРОСС в Keycloak. Перенос пользователя производится при его первой авторизации в контейнеризированной версии Платформе НЕЙРОСС через процедуру смены пароля. 

В обоих версиях Платформы НЕЙРОСС используется единый пользовательский интерфейс управления пользователями и ролями — приложение Пользователи, роли и права.


Логин

Имя пользователя (логин) может состоять только из строчных латинских букв, цифр и символов «-» (тире), «_» (подчеркивание). В контейнеризированной версии Платформы НЕЙРОСС не допускается использование заглавных символов в логине. При проведении процедуры миграции с нативной версии в контейнеризированную заглавные буквы логина преобразуются в строчные. Требования к логину на разных узлах НЕЙРОСС предъявляются разные, в ближайшее время будет проведена процедура унификации. В таблице ниже приведены рекомендуемые требования.

ПараметрКомментарий
Минимальная длинаРекомендуется использовать не менее пяти символов в длине логина.
Состав логинаЛогин может включать строчные латинских буквы, цифры и символы «-» (тире), «_» (подчеркивание). Не рекомендуется использовать только цифры.


Пароль

Пароль пользователя — это набор букв, цифр и спецсимволов. Требования к паролям на разных узлах НЕЙРОСС предъявляются разные, в ближайшее время будет проведена процедура унификации. В таблице ниже приведены рекомендуемые требования.

ПараметрЗначениеКомментарий
Минимальная длина10Пароль должен содержать не менее десяти символов.
Минимальное количество букв верхнего регистра1Одна и более букв в пароле должны быть в верхнем регистре (заглавные).
Минимальное количество букв нижнего регистра1Одна и более букв в пароле должны быть в нижнем регистре (строчные).
Минимальное количество цифр1Пароль должен содержать минимум одну цифру.
Использование спецсимволов-Требования к спецсимволам не предъявляются. Можно использовать любые символы.


Роль

Для разграничения прав пользователя предназначена роль.

Роль учётной записи пользователя (или роль пользователя) — это набор прав и привилегий, которые определяют набор данных и сервисов системы, доступ к которым требуется предоставить. Права роли определяют доступ к функциям администрирования, служебным и пользовательским приложениям с возможностью тонкой настройки прав на конкретные функции приложений, а также позволяет определить разрешенный набор данных, событий и команд управления. Роли предназначены для тиражирования настроек прав для различных групп пользователей. 


Индивидуальные права

Платформа НЕЙРОСС позволяет задать для определенного пользователя индивидуальные права без необходимости настройки отдельной роли. При этом права роли полностью переопределяются.

Для настройки учетных записей, ролей и индивидуальных прав предназначено приложение Пользователи, роли и права.

Учетные записи как ресурсы

Непременным условием успешного взаимодействия всех узлов сети НЕЙРОСС является синхронизация узлов по времени и данным. При выполнении этого условия обеспечивается эффективное взаимодействие узлов в домене, обмен событиями и передача команд управления. Учетные записи пользователей являются общим ресурсом и передаются в узлы НЕЙРОСС в процессе синхронизации. Синхронизация пользователей необходима, например, для выполнения команд управления точками доступа, зонами сигнализации и реле, отправляемых оператором центра мониторинга и реагирования из приложения АРМ НЕЙРОСС Центр, либо автоматически посредством задач автоматизации. При этом перечень разрешенных прав на управление ограничивается правами пользователей.

Ранее каждый узел НЕЙРОСС поддерживал единую «облачную» систему авторизации и разграничения прав пользователей в сети НЕЙРОСС. Такие «облачные» учётные записи могли использоваться для администрирования узлов НЕЙРОСС из единого веб-интерфейса. После создания учетной записи на одном узле НЕЙРОСС, она автоматически синхронизировалась на все остальные узлы сети, и могла использоваться для входа в интерфейс любого другого узла.

Изменение политики учетных записей

Общие положения

В целях повышения киберзащищённости решения НЕЙРОСС в новых версиях продуктов изменяется подход к аутентификации пользователей на контроллерах и в серверном программном обеспечении. В том числе:

  1. Аутентификация пользователей в серверном программном обеспечении осуществляется с применением современных стандартизированных протоколов и средств «посерверно», с повышенным уровнем информационной безопасности. Учётная запись, созданная на одном сервере в сети НЕЙРОСС, автоматически не позволяет получить доступ к другому серверу. Для использования учётной записи на втором сервере, администратору второго сервера необходимо явно предоставить доступ для данной учётной записи, выдать специфичные для сервера права и назначить специфичный для данного сервера пароль.
  2. Аутентификация пользователей в интерфейсе контроллеров допускается
    1. На этапе пусконаладки ­— только под одной встроенной учётной записью (root) — для полной настройки устройства.
    2. На этапе эксплуатации — только под временными учётными записями, выдаваемыми центральным серверов — только для сервисного обслуживания.

Данные изменения внедряются в продукты НЕЙРОСС постепенно, итеративно. Версии разных продуктов с данными изменениями выпускаются в разное время. При этом решение НЕЙРОСС обеспечивает максимально возможную, но всё же ограниченную обратную совместимость новых средств и старых, программного обеспечения новых и предыдущих версий для обеспечения их совместной работы, сохранения работоспособности систем при их постепенной модернизации.

В этой связи, в переходный период некоторые привычные функции в предыдущих версиях технических и программных средств могут перестать работать на уровне системы, либо могут быть ограничены. В частности:

  1. Учётные записи, зарегистрированные в системе НЕЙРОСС, при обновлении серверного ПО остаются активны на сервере, но в определенных случаях требуют смены пароля в соответствии с установленной политикой безопасности.
  2. Учётные записи, создаваемые в новых версиях серверного ПО, автоматически не могут быть использованы для доступа в интерфейс других серверов, видеорегистраторов и контроллеров. Для использования данных учётных записей на других серверах необходимо явно регистрировать их на этих серверах, назначая специфичные для сервера пароли и права доступа.
  3. Учётные записи, создаваемые в новых версиях серверного ПО, автоматически распространяются на все узлы НЕЙРОСС, но как «технические» учётные записи, с «техническими» аутентификационными данными — для обеспечения обратной совместимости с предыдущими версиями оборудования. Использование данных учётных для настройки и эксплуатации оборудования не предполагается (под ними не удастся аутентифицироваться в интерфейсе контроллеров). Изменение такого пользователя (например, смена пароля) через интерфейс контроллера может привести к нарушению работы отдельных функций системы.

Во избежание непонимания и проблем при эксплуатации средств НЕЙРОСС в переходный период:

  1. В продуктах НЕЙРОСС добавлены необходимые подсказки, предупреждения и ограничения для информирования пользователей о новых принципах работы решения.
  2. В документации на продукты НЕЙРОСС приведена информация о нововведениях и приведены рекомендации по эксплуатации системы в переходный период.
  3. При наличии в составе систем и нового серверного программного обеспечения, и предыдущих версий контроллеров, рекомендуется эксплуатировать последние в соответствии с новым кибербезопасным подходом:
    1. Использовать только системную учётную запись root для администрирования контроллера, установив для неё сложный пароль.
    2. Не создавать вручную новые учётные записи через интерфейс контроллера. Не модифицировать технические учётные записи, автоматически создаваемые на контроллерах со стороны нового серверного ПО для поддержки обратной совместимости.


«Локальные» и «технические» учетные записи

С версии 20.41 Платформы НЕЙРОСС «облачные» учетные записи, общие для всех узлов НЕЙРОСС, заменяются на «локальные» и «технические».

«Локальные» учетные записи используются на узлах серверного типа: видеорегистраторах ДеВизор, серверах-диспетчерах Платформа НЕЙРОСС НЕЙРОСС, — и определяют права доступа ТОЛЬКО к конкретному серверному узлу. Такая учётная запись по-прежнему синхронизируется во все другие серверные узлы, но в этих других узлах имеет статус незарегистрированной. При необходимости авторизации на другом сервером узле под данной учетной записью её требуется вручную зарегистрировать и задать специфичный для данного узла пароль.

«Технические» учетные записи рассылаются в контроллеры, терминалы, консоли и другие узлы НЕЙРОСС несерверного типа автоматически после создания «локальной» учетной записи на сервере. «Техническая» учётная запись имеет «технический» скрытый пароль, формируемый сервером, и используется для управления узлами с сервера. Авторизация на таких узлах под учетной записью сервера невозможна, так как доступ к техническому паролю скрыт. В будущих версиях контроллеров и других узлов будет реализован механизм выдачи одноразового пароля для выполнения сервисного обслуживания. На текущий момент вход в веб-интерфейс и настройка контроллеров и других узлов несерверного типа осуществляется СТРОГО под учётной записью root. 

ОЧЕНЬ ВАЖНО

Каждый узел НЕЙРОСС имеет предустановленную учётную запись root. При первом входе в интерфейс рекомендуется сменить пароль учётной записи root (мастер-пароль, по умолчанию root) на высокозащищённый? в соответствии с политикой организации. Данная учетная запись должна использоваться для настройки контроллеров, терминалов и консолей НЕЙРОСС, но имеет ограниченные права на серверных узлах. Для полноценной настройки Платформы НЕЙРОСС/ДеВизор и тестирования работоспособности системы (получения событий, мониторинга состояний, передачи команд управления) требуется на первом же этапе создать учётную запись с правом общего конфигурирования, выйти из системы, авторизоваться под новой учётной записью и в дальнейшем для настройки использовать только созданную «локальную» учётную запись.