Wiki source code of Что такое учетная запись? Политика контроля учетных записей
Last modified by superadmin on 2026/06/15 21:57
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | == {{id name="Чтотакоеучетнаязапись?Политикаконтроляучетныхзаписей-Учётнаязаписьпользователя"/}}Учётная запись пользователя == | ||
| 2 | |||
| 3 | Учётная запись пользователя (или пользователь) — это набор данных о пользователе для его идентификации, аутентификации и предоставления доступа к системе. Атрибуты учетной записи приведены в таблице ниже. | ||
| 4 | |||
| 5 | |=((( | ||
| 6 | Атрибут | ||
| 7 | )))|=((( | ||
| 8 | Комментарий | ||
| 9 | ))) | ||
| 10 | |((( | ||
| 11 | //Имя пользователя (логин)// | ||
| 12 | )))|((( | ||
| 13 | Логин пользователя указываются при входе в систему. Логин пользователя должен быть уникальным. Требования к логину приведены ниже. | ||
| 14 | ))) | ||
| 15 | |((( | ||
| 16 | //Пароль пользователя// | ||
| 17 | )))|((( | ||
| 18 | Пароль пользователя указывается при входе в систему наравне с логином. Требования к логину приведены ниже. | ||
| 19 | ))) | ||
| 20 | |((( | ||
| 21 | //Роль пользователя// | ||
| 22 | )))|((( | ||
| 23 | Роль определяет права пользователя в системе. Одна роль может быть задана нескольким пользователям системы. | ||
| 24 | ))) | ||
| 25 | |((( | ||
| 26 | //ФИО пользователя// | ||
| 27 | )))|((( | ||
| 28 | Дополнительно можно указать Фамилию, Имя, Отчество пользователя, тогда в отчётах и разных разделах интерфейса вместо логина будут указываться эти данные. | ||
| 29 | ))) | ||
| 30 | |||
| 31 | \\ | ||
| 32 | |||
| 33 | **Средства управления учётными записями** | ||
| 34 | |||
| 35 | В нативной версии Платформы НЕЙРОСС управление учетными записями обеспечивается программными средствами НЕЙРОСС, данные хранятся непосредственно в базе данных Платформы. В контейнеризированной версии Платформы НЕЙРОСС для управления пользователями и выполнении функций аутентификации и авторизации используются программные средства Keycloak (Кейклоак). По завершению перехода с нативной версии на контеризированную при помощи процедуры миграции производится бесшовный перенос пользователей НЕЙРОСС из базы данных Платформы НЕЙРОСС в Keycloak. Перенос производится отдельно по каждому пользователю через процедуру смены пароля при первой авторизации в контейнеризированной версии Платформы НЕЙРОСС. | ||
| 36 | |||
| 37 | \\ | ||
| 38 | |||
| 39 | **Пользовательский интерфейс** | ||
| 40 | |||
| 41 | Вне зависимости от технической реализации (в обоих версиях Платформы НЕЙРОСС) для работы с учетными записями предназначен единый пользовательский интерфейс — приложение [[doc:ui.Пользователи, роли и права.WebHome]]. | ||
| 42 | |||
| 43 | \\ | ||
| 44 | |||
| 45 | **Логин** | ||
| 46 | |||
| 47 | //Имя пользователя (логин)// может состоять только из строчных латинских букв, цифр и символов «-» (тире), «_» (подчеркивание). В контейнеризированной версии Платформы НЕЙРОСС не допускается использование заглавных символов в логине. При проведении процедуры миграции с нативной версии в контейнеризированную заглавные буквы логина преобразуются в строчные. Требования к логину на разных узлах НЕЙРОСС предъявляются разные, в ближайшее время будет проведена процедура унификации. В таблице ниже приведены рекомендуемые требования. | ||
| 48 | |||
| 49 | |=((( | ||
| 50 | Параметр | ||
| 51 | )))|=((( | ||
| 52 | Комментарий | ||
| 53 | ))) | ||
| 54 | |((( | ||
| 55 | Минимальная длина | ||
| 56 | )))|((( | ||
| 57 | Рекомендуется использовать не менее пяти символов в длине логина. | ||
| 58 | ))) | ||
| 59 | |((( | ||
| 60 | Состав логина | ||
| 61 | )))|((( | ||
| 62 | Логин может включать строчные латинских буквы, цифры и символы «-» (тире), «_» (подчеркивание). Не рекомендуется использовать только цифры. | ||
| 63 | ))) | ||
| 64 | |||
| 65 | \\ | ||
| 66 | |||
| 67 | **Пароль** | ||
| 68 | |||
| 69 | //Пароль пользователя //— это набор букв, цифр и спецсимволов. Требования к паролям на разных узлах НЕЙРОСС предъявляются разные, в ближайшее время будет проведена процедура унификации. В таблице ниже приведены рекомендуемые требования. | ||
| 70 | |||
| 71 | |=((( | ||
| 72 | Параметр | ||
| 73 | )))|=((( | ||
| 74 | Значение | ||
| 75 | )))|=((( | ||
| 76 | Комментарий | ||
| 77 | ))) | ||
| 78 | |((( | ||
| 79 | Минимальная длина | ||
| 80 | )))|((( | ||
| 81 | 10 | ||
| 82 | )))|((( | ||
| 83 | Пароль должен содержать не менее десяти символов. | ||
| 84 | ))) | ||
| 85 | |((( | ||
| 86 | Минимальное количество букв верхнего регистра | ||
| 87 | )))|((( | ||
| 88 | 1 | ||
| 89 | )))|((( | ||
| 90 | Одна и более букв в пароле должны быть в верхнем регистре (заглавные). | ||
| 91 | ))) | ||
| 92 | |((( | ||
| 93 | Минимальное количество букв нижнего регистра | ||
| 94 | )))|((( | ||
| 95 | 1 | ||
| 96 | )))|((( | ||
| 97 | Одна и более букв в пароле должны быть в нижнем регистре (строчные). | ||
| 98 | ))) | ||
| 99 | |((( | ||
| 100 | Минимальное количество цифр | ||
| 101 | )))|((( | ||
| 102 | 1 | ||
| 103 | )))|((( | ||
| 104 | Пароль должен содержать минимум одну цифру. | ||
| 105 | ))) | ||
| 106 | |((( | ||
| 107 | Использование спецсимволов | ||
| 108 | )))|((( | ||
| 109 | - | ||
| 110 | )))|((( | ||
| 111 | Требования к спецсимволам не предъявляются. Можно использовать любые символы. | ||
| 112 | ))) | ||
| 113 | |||
| 114 | \\ | ||
| 115 | |||
| 116 | **Роль** | ||
| 117 | |||
| 118 | Для разграничения прав пользователя предназначена //роль//. | ||
| 119 | |||
| 120 | //Роль учётной записи пользователя// (или// роль пользователя//) — это набор прав и привилегий, которые определяют набор данных и сервисов системы, доступ к которым требуется предоставить. Права роли определяют доступ к функциям администрирования, служебным и пользовательским приложениям с возможностью тонкой настройки прав на конкретные функции приложений, а также позволяет определить разрешенный набор данных, событий и команд управления. Роли предназначены для тиражирования настроек прав для различных групп пользователей. | ||
| 121 | |||
| 122 | \\ | ||
| 123 | |||
| 124 | **Индивидуальные права** | ||
| 125 | |||
| 126 | Платформа НЕЙРОСС позволяет задать для определенного пользователя индивидуальные права без необходимости настройки отдельной роли. При этом права роли полностью переопределяются. | ||
| 127 | |||
| 128 | {{info}} | ||
| 129 | Для настройки учетных записей, ролей и индивидуальных прав предназначено приложение [[doc:ui.Пользователи, роли и права.WebHome]]. | ||
| 130 | {{/info}} | ||
| 131 | |||
| 132 | == {{id name="Чтотакоеучетнаязапись?Политикаконтроляучетныхзаписей-Учетныезаписикакресурсы"/}}Учетные записи как ресурсы == | ||
| 133 | |||
| 134 | Непременным условием успешного взаимодействия всех узлов сети НЕЙРОСС является синхронизация узлов по времени и данным. При выполнении этого условия обеспечивается эффективное взаимодействие узлов в домене, обмен событиями и передача команд управления. Учетные записи пользователей являются общим ресурсом и передаются в узлы НЕЙРОСС в процессе синхронизации данных. Синхронизация учетных записей с одного узла НЕЙРОСС на другой, в частности, — с узла Платформа НЕЙРОСС на БОРЕЙ, необходима, например, для выполнения команд управления точками доступа, зонами сигнализации и реле, отправляемых вручную оператором центра мониторинга и реагирования из приложения АРМ НЕЙРОСС Центр, либо автоматически посредством задач автоматизации. При этом перечень разрешений на управление элементами ограничивается правами учетной записи. | ||
| 135 | |||
| 136 | Ранее каждый узел НЕЙРОСС поддерживал единую «облачную» систему авторизации и разграничения прав пользователей в сети НЕЙРОСС. Такие «облачные» учётные записи могли использоваться для администрирования узлов НЕЙРОСС из единого веб-интерфейса. После создания учетной записи на одном узле НЕЙРОСС, она автоматически синхронизировалась на все остальные узлы сети, и могла использоваться для входа в интерфейс любого другого узла. Теперь для авторизации в интерфейсе другого узла НЕЙРОСС такую учетную запись требуется предварительно зарегистрировать, выдав новый пароль конкретно под данный узел. | ||
| 137 | |||
| 138 | == {{id name="Чтотакоеучетнаязапись?Политикаконтроляучетныхзаписей-Изменениеполитикиучетныхзаписей"/}}Изменение политики учетных записей == | ||
| 139 | |||
| 140 | === {{id name="Чтотакоеучетнаязапись?Политикаконтроляучетныхзаписей-Общиеположения"/}}Общие положения === | ||
| 141 | |||
| 142 | В целях повышения киберзащищённости решения НЕЙРОСС в новых версиях продуктов изменяется подход к аутентификации пользователей на контроллерах и в серверном программном обеспечении. В том числе: | ||
| 143 | |||
| 144 | (% class="wiki-list0" style="margin-left: 0.0px;" %) | ||
| 145 | 1. Аутентификация пользователей в серверном программном обеспечении осуществляется с применением современных стандартизированных протоколов и средств «посерверно», с повышенным уровнем информационной безопасности. Учётная запись, созданная на одном сервере в сети НЕЙРОСС, автоматически не позволяет получить доступ к другому серверу. Для использования учётной записи на втором сервере, администратору второго сервера необходимо явно предоставить доступ для данной учётной записи — выдать специфичные для сервера права и назначить специфичный для данного сервера пароль. | ||
| 146 | 1. Аутентификация пользователей в интерфейсе контроллеров допускается: | ||
| 147 | (% class="wiki-list0" style="margin-left: 0.0px;" %) | ||
| 148 | 11. На этапе пусконаладки — только под одной встроенной учётной записью (root) — для полной настройки устройства. | ||
| 149 | 11. На этапе эксплуатации — только под временными учётными записями, выдаваемыми центральным сервером — только для сервисного обслуживания. | ||
| 150 | |||
| 151 | Данные изменения внедряются в продукты НЕЙРОСС постепенно, итеративно. Версии разных продуктов с данными изменениями выпускаются в разное время. При этом решение НЕЙРОСС обеспечивает максимально возможную, но всё же ограниченную обратную совместимость новых средств и старых, программного обеспечения новых и предыдущих версий для обеспечения их совместной работы, сохранения работоспособности систем при их постепенной модернизации. | ||
| 152 | |||
| 153 | В переходный период некоторые привычные функции в предыдущих версиях технических и программных средств могут перестать работать на уровне системы, либо могут быть ограничены. В частности: | ||
| 154 | |||
| 155 | (% class="wiki-list0" style="margin-left: 0.0px;" %) | ||
| 156 | 1. Учётные записи, зарегистрированные в системе НЕЙРОСС, при обновлении серверного ПО остаются активны на сервере, но в определенных случаях требуют смены пароля в соответствии с установленной политикой безопасности. | ||
| 157 | 1. Учётные записи, создаваемые в новых версиях серверного ПО, автоматически не могут быть использованы для доступа в интерфейс других серверов, видеорегистраторов и контроллеров. Для использования данных учётных записей на других серверах необходимо явно регистрировать их на этих серверах, назначая специфичные для сервера пароли и права доступа. | ||
| 158 | 1. Учётные записи, создаваемые в новых версиях серверного ПО, автоматически распространяются на все узлы НЕЙРОСС, но как «технические» учётные записи, с «техническим» паролем. Использование данных учётных записей для настройки и эксплуатации оборудования не предполагается (под ними не удастся аутентифицироваться в интерфейсе контроллеров). Изменение такого пользователя (например, смена пароля) через интерфейс контроллера может привести к нарушению работы отдельных функций системы. | ||
| 159 | |||
| 160 | Во избежание непонимания и проблем при эксплуатации средств НЕЙРОСС в переходный период: | ||
| 161 | |||
| 162 | (% class="wiki-list0" style="margin-left: 0.0px;" %) | ||
| 163 | 1. В продуктах НЕЙРОСС добавлены необходимые подсказки, предупреждения и ограничения для информирования пользователей о новых принципах работы решения. | ||
| 164 | 1. В документации на продукты НЕЙРОСС приведена информация о нововведениях и приведены рекомендации по эксплуатации системы в переходный период. | ||
| 165 | 1. При наличии в составе систем и нового серверного программного обеспечения, и предыдущих версий контроллеров, рекомендуется эксплуатировать последние в соответствии с новым кибербезопасным подходом: | ||
| 166 | (% class="wiki-list0" style="margin-left: 0.0px;" %) | ||
| 167 | 11. Использовать только системную учётную запись root для администрирования контроллера, установив для неё сложный пароль. | ||
| 168 | 11. Не создавать вручную новые учётные записи через интерфейс контроллера. Не модифицировать технические учётные записи, автоматически создаваемые на контроллерах со стороны нового серверного ПО для поддержки обратной совместимости. | ||
| 169 | |||
| 170 | \\ | ||
| 171 | |||
| 172 | === {{id name="Чтотакоеучетнаязапись?Политикаконтроляучетныхзаписей-«Локальные»и«технические»учетныезаписи"/}}«Локальные» и «технические» учетные записи === | ||
| 173 | |||
| 174 | С версии 20.41 Платформы НЕЙРОСС «//облачные//» учетные записи, общие для всех узлов НЕЙРОСС, заменяются на «//локальные//» и «//технические//». | ||
| 175 | |||
| 176 | «//Локальные//» учетные записи используются на узлах серверного типа: Платформе НЕЙРОСС, видеорегистраторах ДеВизор, и определяют права доступа **ТОЛЬКО** к конкретному серверному узлу. Такая учётная запись по-прежнему синхронизируется во все другие серверные узлы автоматически в рамках процедуры синхронизации, но в этих других узлах имеет статус незарегистрированной. При необходимости авторизации на другом сервером узле под данной учетной записью её требуется вручную [[зарегистрировать >>doc:ui.Пользователи, роли и права.Управление учётными записями с Платформы НЕЙРОСС.Регистрация учётной записи.WebHome]]и задать специфичный для данного узла пароль. | ||
| 177 | |||
| 178 | «//Технические//» учетные записи рассылаются в контроллеры, терминалы, консоли и другие узлы НЕЙРОСС на базе ARM автоматически после создания «локальной» учетной записи на сервере. «Техническая» учётная запись имеет «технический» скрытый пароль, формируемый сервером, и используется для управления узлами с сервера. Авторизация на таких узлах под учетной записью сервера невозможна, так как доступ к техническому паролю скрыт. В будущих версиях контроллеров и других узлов будет реализован механизм выдачи одноразового пароля для выполнения сервисного обслуживания. На текущий момент вход в веб-интерфейс и настройка контроллеров и других узлов на базе ARM осуществляется **СТРОГО** под учётной записью **root**. | ||
| 179 | |||
| 180 | {{error}} | ||
| 181 | **ОЧЕНЬ ВАЖНО** | ||
| 182 | |||
| 183 | Каждый узел НЕЙРОСС имеет предустановленную учётную запись root. При первом входе в интерфейс рекомендуется сменить пароль учётной записи root — мастер-пароль (по умолчанию, root) на высокозащищённый в соответствии с политикой организации. Данная учетная запись должна использоваться для настройки контроллеров, терминалов и консолей НЕЙРОСС. | ||
| 184 | |||
| 185 | При настройке серверных узлов использование учетной записи root допустимо только на первичном этапе. Для полноценной настройки и тестирования работоспособности системы (получения событий, мониторинга состояний, передачи команд управления) требуется создать локальную учётную запись с правом общего конфигурирования, выйти из системы, авторизоваться под новой учётной записью и в дальнейшем для настройки использовать только эту учётную запись. | ||
| 186 | {{/error}} |