Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Общие настройки

Раздел содержит инструкции по настройке системы Termit.

HTTPS

Чтобы изменить адрес брокера, загрузить ключ, сертификат и цепочку сертификатов:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на HTTPS и нажмите b  pencil.

  2. При необходимости измените адрес брокера.

  3. Чтобы загрузить сертификат или цепочку сертификатов, нажмите на поле Сертификат.

  4. Чтобы загрузить закрытый ключ, нажмите на поле Закрытый ключ.

  5. Нажмите Сохранить.

Настройки сохранены.

Внешний вид десктоп-клиента

Чтобы список опубликованных приложений и рабочих столов в десктоп-клиенте был разделен, настройте внешний вид в десктоп-клиенте:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Внешний вид десктоп-клиента и нажмите b  pencil.

  2. Активируйте опцию Разделение объектов на приложения и рабочие столы.

  3. Нажмите Сохранить.

Приложения и рабочие столы разделены по типу в десктоп-клиенте.

Многофакторная аутентификация

Чтобы настроить многофакторную аутентификацию (MFA):

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Многофакторная аутентификация и нажмите b  pencil.

  2. В поле Внутренние пользователи активируйте опции:

    • Многофакторная аутентификация при использовании Kerberos, если для аутентификации внутренних пользователей по Kerberos нужно использовать MFA при запуске десктоп-клиента и портала администрирования.

    • Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внутренних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.

  3. В поле Внешние пользователи активируйте опцию Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внешних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.

  4. Нажмите Сохранить.

Пользовательский портал

Можно включить возможность подключения пользователей через браузер (веб-клиент) без установки десктоп-клиента.

Чтобы включить возможность подключения пользователей через браузер:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Пользовательский портал и нажмите b  pencil.

  2. В поле Пользовательский портал активируйте опцию Доступ к пользовательскому порталу.

  3. Нажмите Сохранить.

Доступ к пользовательскому порталу через браузер включен.

Syslog/SIEM

Можно настроить переадресацию журнала в syslog-сервер.

Сведения о каждом событии в Termit отправляются как отдельное syslog-сообщение. Текст syslog-сообщения соответствует информации о событии, отображающейся в веб-интерфейсе системы в разделе Журнал событий.

Чтобы настроить параметры для интеграции Syslog:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Syslog/SIEM и нажмите b  pencil.

  2. Активируйте опцию Использование, чтобы запись событий отправлялась на syslog-сервер.

  3. При включенной интеграции в параметрах:

    • Адрес сервера — укажите адрес сервера.

    • Порт — укажите порт. По умолчанию 514 (6514 для TLS).

    • Протокол — выберите UDP или TCP.

    • Формат сообщений — выберите спецификацию RFC3164 или RFC5424.

    • Код подсистемы (facility) — выберите local0-local7.

    • TLS для отправки логов в Syslog — выберите Выключено или Включено. При выборе протокола TLS следует использовать доверенные сертификаты, указанные администратором в соответствующем разделе.

  4. Нажмите Сохранить.

Доверенные сертификаты

Доверенные сертификаты применяются для проверки соединения с LDAP-каталогами по протоколам LDAP StartTLS и LDAP over SSL. Кроме того, доверенные сертификаты необходимы для Syslog, когда он использует TLS для отправки логов.

Чтобы добавить доверенный сертификат:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Доверенные сертификаты и нажмите b  pencil.

  2. Чтобы добавить сертификат, нажмите b  add и загрузите его. Поддерживаются форматы PKCS#12/PEM/CER/CRT (в кодировке Base-64).

    Если цепочка доверенных сертификатов представлена в одном файле формата PEM, её необходимо разбить на отдельные части и загружать каждый сертификат в виде отдельного файла. При загрузке цепочки одним файлом в интерфейсе будет отображаться только подчинённый сертификат.

  3. При необходимости активируйте опцию Задать пароль и задайте пароль для сертификата.

  4. Нажмите Сохранить.

Добавленный сертификат появится в списке.

Чтобы удалить:

  1. Наведите курсор на сертификат и нажмите b  more vert.

  2. Нажмите Удалить сертификат.

  3. Нажмите Да.

Сертификат удален.

Администратор системы

«tadm» — локальная учетная запись, которая предназначена только для настроек брокера. Ее нельзя использовать для входа в десктоп-клиент, запуска приложений и рабочих столов.

«admin» — пароль по умолчанию от локальной учетной записи.

Обязательно измените пароль для повышения уровня безопасности системы.

Изменение параметров администратора системы

Чтобы изменить параметры администратора системы:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите b  pencil.

  2. При необходимости измените имя локального администратора системы.

  3. Введите старый пароль и задайте новый.

  4. Нажмите Сохранить.

Данные об администраторе системы изменены.

Разблокировка учетной записи администратора системы

При неудачной авторизации в систему Termit учетная запись блокируется. Подробнее смотрите в разделе Политика блокировки встроенных учетных записей.

Для разблокировки учетной записи администратора системы на портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите на b  unlock. Учетная запись разблокирована.

Глубина хранения журналов событий

В системе можно очищать старые записи журнала событий.

Чтобы настроить срок хранения записей:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения журнала событий и нажмите b  pencil.

  2. При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.

    s  events

    Чтобы задать свой срок хранения, отключите эту опцию и задайте:

    • Срок хранения событий (дней) — период хранения событий журнала;

    • Время запуска — время запуска очистки журнала событий.

      s  events2
  3. Нажмите Сохранить.

После очистки в журнале событий появится запись о статусе операции: сколько событий было удалено, дата самой старой и новой сессии.

Чтобы настроить ограничение журнала событий по объёму выделенной памяти, выполните настройки через REST API. Подробнее о настройке.

Глубина хранения сессий

В системе можно очищать историю закрытых сессий пользователей.

Чтобы настроить срок хранения:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения сессий и нажмите b  pencil.

  2. При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.

    s  closed session

    Чтобы задать свой срок хранения, отключите эту опцию и задайте:

    • Срок хранения сессий (дней) — период хранения истории закрытых сессий;

    • Время запуска — время запуска очистки истории закрытых сессий.

      s  closed session2
  3. Нажмите Сохранить.

После очистки в журнале событий появится запись о статусе операции: сколько сессий было удалено, дата самой старой и новой сессии.

RADIUS

RADIUS-сервер (Remote Authentication Dial-In User Service) — сервер для централизованной аутентификации, авторизации и учета (AAA) пользователей.

Чтобы настроить RADIUS-сервер для аутентификации:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на RADIUS и нажмите b  pencil.

  2. Чтобы использовать RADIUS-сервер, активируйте опцию Использование.

  3. При включенной опции в параметрах задайте:

    • Адрес сервера — IP-адрес RADIUS-сервера.

    • Порт — по умолчанию порт 1812. Вы можете указать другой.

    • Секрет для подключения к RADIUS-серверу — общий пароль между RADIUS-клиентом и RADIUS-сервером.

      Проверьте, что все брокеры добавлены в конфигурацию RADIUS-сервера в качестве RADIUS-клиентов.

    • Идентификатор NAS для внутренних пользователей — символы NAS ID для внутренних пользователей.

    • Идентификатор NAS для внешних пользователей — символы NAS ID для внешних пользователей.

      При подключении десктоп-клиента RADIUS-сервер использует NAS ID (Network Access Server Identifier) для:

      • классификации запросов, которые поступили от RADIUS-клиентов;

      • применения соответствующих настроек или политик для внутренних и внешних пользователей.

    • Таймаут подключения (сек.) — время ожидания отклика от RADIUS-сервера при попытке установить с ним соединение.

    • Количество попыток подключения — количество попыток подключения к RADIUS-серверу.

  4. Активируйте опцию Использование RADIUS только для проверки второго фактора, если требуется использовать RADIUS-сервер только для проверки второго фактора (например, TOTP). В этом случае проверка первого фактора будет выполняться брокером через LDAP-сервер.

  5. В параметре Протокол аутентификации RADIUS выберите протокол PAP, CHAP или MSCHAPv2.

  6. Нажмите Сохранить.

RADIUS-сервер настроен.

Политика блокировки встроенных учетных записей

Политика блокировки встроенных учетных записей необходима для обеспечения безопасности системы и применяется только для локальной учетной записи «tadm». Учетная запись блокируется, если пользователь совершает несколько неудачных попыток входа в систему Termit. Это помогает предотвратить несанкционированный доступ к данным и ресурсам компании.

По умолчанию политика включена, и после трех неудачных попыток входа в систему учетная запись блокируется на один час.

Чтобы задать собственную политику блокировки встроенных учетных записей:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки, наведите курсор на Политика блокировки встроенных учетных записей и нажмите b  pencil.

  2. Включите опцию Использование, если хотите, чтобы политика блокировки работала. Или вы можете отключить эту опцию, если не хотите применять политику блокировки.

  3. При включенной опции в параметрах задайте:

    • Число неудачных попыток входа — число неудачных попыток, после которых учетная запись пользователя будет заблокирована.

    • Срок блокировки учетных записей (мин) — срок блокировки учетных записей.

      За время блокировки злоумышленник не сможет подобрать пароль методом перебора или с помощью вредоносного ПО. А пользователь, который действительно хочет войти в свой аккаунт, за это время может восстановить доступ, если он забыл пароль или столкнулся с временными техническими проблемами.

      s  policy
  4. Нажмите Сохранить.

Политика блокировки встроенных учетных записей задана.

Инструкция по разблокировке учетной записи администратора системы приведена в разделе Разблокировка учетной записи администратора системы.