Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Общие настройки

Раздел содержит инструкции по настройке системы Termit.

HTTPS

Чтобы изменить адрес брокера, загрузить ключ, сертификат и цепочку сертификатов:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на HTTPS и нажмите b  pencil.

  2. При необходимости измените адрес брокера.

  3. Чтобы загрузить сертификат или цепочку сертификатов, нажмите на поле Сертификат.

  4. Чтобы загрузить закрытый ключ, нажмите на поле Закрытый ключ.

  5. Нажмите Сохранить.

Настройки будут сохранены.

Внешний вид десктоп-клиента

Чтобы список опубликованных приложений и рабочих столов в десктоп-клиенте был разделен, настройте внешний вид в десктоп-клиенте:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Внешний вид десктоп-клиента и нажмите b  pencil.

  2. Активируйте опцию Разделение объектов на приложения и рабочие столы.

  3. Нажмите Сохранить.

Приложения и рабочие столы будут разделены по типу в десктоп-клиенте.

Многофакторная аутентификация

Чтобы настроить многофакторную аутентификацию (MFA):

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Многофакторная аутентификация и нажмите b  pencil.

  2. В поле Внутренние пользователи активируйте опции:

    • Многофакторная аутентификация при использовании Kerberos, если для аутентификации внутренних пользователей по Kerberos нужно использовать MFA при запуске десктоп-клиента и портала администрирования.

    • Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внутренних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.

  3. В поле Внешние пользователи активируйте опцию Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внешних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.

  4. Нажмите Сохранить.

Многофакторная аутентификация будет настроена.

Пользовательский портал

Можно включить возможность подключения пользователей через браузер без установки десктоп-клиента.

Чтобы включить возможность подключения пользователей через браузер:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Пользовательский портал и нажмите b  pencil.

  2. Активируйте опцию Доступ к пользовательскому порталу.

  3. Нажмите Сохранить.

Доступ к пользовательскому порталу через браузер будет включен.

  1. При включённом доступе к пользовательскому порталу для открытия административного вида портала необходимо добавить к адресу /admin. Пример: https://broker.example.com/admin.

  2. При подключении к приложениям/рабочим столам через пользовательский портал используется протокол «WebSocket». Некоторые сетевые устройства требуют дополнительной настройки для поддержки этого протокола.

Syslog/SIEM

Можно настроить переадресацию журнала в syslog-сервер.

Сведения о каждом событии в Termit отправляются как отдельное syslog-сообщение. Текст syslog-сообщения соответствует информации о событии, отображающейся в веб-интерфейсе системы в разделе Журнал событий.

Чтобы настроить параметры для интеграции Syslog:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Syslog/SIEM и нажмите b  pencil.

  2. Активируйте опцию Использование, чтобы запись событий отправлялась на syslog-сервер.

  3. При включенной интеграции в параметрах:

    • Адрес сервера — укажите адрес сервера.

    • Порт — укажите порт. По умолчанию 514 (6514 для TLS).

    • Протокол — выберите UDP или TCP.

    • Формат сообщений — выберите спецификацию RFC3164 или RFC5424.

    • Код подсистемы (facility) — выберите local0-local7.

    • TLS для отправки логов в Syslog — выберите Выключено или Включено. При выборе протокола TLS следует использовать доверенные сертификаты, указанные администратором в соответствующем разделе.

  4. Нажмите Сохранить.

Параметры для интеграции Syslog будут настроены.

Доверенные сертификаты

Доверенные сертификаты применяются для проверки соединения с LDAP-каталогами по протоколам LDAP StartTLS и LDAP over SSL. Кроме того, доверенные сертификаты необходимы для Syslog, когда он использует TLS для отправки логов.

Чтобы добавить доверенный сертификат:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Доверенные сертификаты и нажмите b  pencil.

  2. Чтобы добавить сертификат, нажмите b  add и загрузите его. Поддерживаются форматы PKCS#12/PEM/CER/CRT (в кодировке Base-64).

    Если цепочка доверенных сертификатов представлена в одном файле формата PEM, её необходимо разбить на отдельные части и загружать каждый сертификат в виде отдельного файла. При загрузке цепочки одним файлом в интерфейсе будет отображаться только подчинённый сертификат.

  3. При необходимости активируйте опцию Задать пароль и задайте пароль для сертификата.

  4. Нажмите Сохранить.

Добавленный сертификат появится в списке.

Чтобы удалить:

  1. Наведите курсор на сертификат и нажмите b  more vert.

  2. Нажмите Удалить сертификат.

  3. Нажмите Да.

Сертификат будет удален.

Администратор системы

«tadm» — локальная учетная запись, которая предназначена только для настроек брокера. Ее нельзя использовать для входа в десктоп-клиент, запуска приложений и рабочих столов.

«admin» — пароль по умолчанию от локальной учетной записи.

Обязательно измените пароль для повышения уровня безопасности системы.

Изменение параметров администратора системы

Чтобы изменить параметры администратора системы:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите b  pencil.

  2. При необходимости измените имя локального администратора системы.

  3. Введите старый пароль и задайте новый.

  4. Подтвердите новый пароль.

  5. Нажмите Сохранить.

Данные об администраторе системы будут изменены.

Разблокировка учетной записи администратора системы

При неудачной авторизации в систему Termit учетная запись блокируется. Подробнее смотрите в разделе Политика блокировки встроенных учетных записей.

Для разблокировки учетной записи администратора системы на портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите на b  unlock. Учетная запись будет разблокирована.

Глубина хранения журналов событий

В системе можно очищать старые записи журнала событий.

Чтобы настроить срок хранения записей:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения журнала событий и нажмите b  pencil.

  2. При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.

    Чтобы задать свой срок хранения, отключите эту опцию и выберите значение:

    • Срок хранения событий (дней) — период хранения событий журнала;

    • Время запуска — время запуска очистки журнала событий.

  3. Нажмите Сохранить.

После очистки в журнале событий появится запись о статусе операции: сколько событий было удалено, дата самой старой и самой новой сессии.

Чтобы настроить ограничение журнала событий по объёму выделенной памяти, выполните настройки через REST API. Подробнее о настройке.

Глубина хранения сессий

В системе можно очищать историю закрытых сессий пользователей.

Чтобы настроить срок хранения:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения сессий и нажмите b  pencil.

  2. При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.

    Чтобы задать свой срок хранения, отключите эту опцию и задайте:

    • Срок хранения сессий (дней) — период хранения истории закрытых сессий;

    • Время запуска — время запуска очистки истории закрытых сессий.

  3. Нажмите Сохранить.

После очистки в журнале событий появится запись о статусе операции: сколько сессий было удалено, дата самой старой и новой сессии.

RADIUS

RADIUS-сервер (Remote Authentication Dial-In User Service) — сервер для централизованной аутентификации, авторизации и учета (AAA) пользователей.

Чтобы настроить RADIUS-сервер для аутентификации:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на RADIUS и нажмите b  pencil.

  2. Чтобы использовать RADIUS-сервер, активируйте опцию Использование.

  3. При включенной опции в параметрах задайте:

    • Адрес сервера — IP-адрес RADIUS-сервера.

    • Порт — по умолчанию порт 1812. Вы можете указать другой.

    • Секрет для подключения к RADIUS-серверу — общий пароль между RADIUS-клиентом и RADIUS-сервером.

      Проверьте, что все брокеры добавлены в конфигурацию RADIUS-сервера в качестве RADIUS-клиентов.

    • Идентификатор NAS для внутренних пользователей — символы NAS ID для внутренних пользователей.

    • Идентификатор NAS для внешних пользователей — символы NAS ID для внешних пользователей.

      При подключении десктоп-клиента RADIUS-сервер использует NAS ID (Network Access Server Identifier) для:

      • классификации запросов, которые поступили от RADIUS-клиентов;

      • применения соответствующих настроек или политик для внутренних и внешних пользователей.

    • Таймаут подключения (сек.) — время ожидания отклика от RADIUS-сервера при попытке установить с ним соединение.

    • Количество попыток подключения — количество попыток подключения к RADIUS-серверу.

  4. Активируйте опцию Использование RADIUS только для проверки второго фактора, если требуется использовать RADIUS-сервер только для проверки второго фактора (например, TOTP). В этом случае проверка первого фактора будет выполняться брокером через LDAP-сервер.

  5. В параметре Протокол аутентификации RADIUS выберите протокол PAP, CHAP или MSCHAPv2.

  6. Нажмите Сохранить.

RADIUS-сервер будет настроен.

Политика блокировки встроенных учетных записей

Политика блокировки встроенных учетных записей необходима для обеспечения безопасности системы и применяется только для локальной учетной записи «tadm». Учетная запись блокируется, если пользователь совершает несколько неудачных попыток входа в систему Termit. Это помогает предотвратить несанкционированный доступ к данным и ресурсам компании.

По умолчанию политика включена, и после трех неудачных попыток входа в систему учетная запись блокируется на один час.

Чтобы задать собственную политику блокировки встроенных учетных записей:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки, наведите курсор на Политика блокировки встроенных учетных записей и нажмите b  pencil.

  2. Включите опцию Использование, если хотите, чтобы политика блокировки работала. Или вы можете отключить эту опцию, если не хотите применять политику блокировки.

  3. При включенной опции в параметрах задайте:

    • Число неудачных попыток входа — число неудачных попыток, после которых учетная запись пользователя будет заблокирована.

    • Срок блокировки учетных записей (мин) — срок блокировки учетных записей.

      Во время блокировки учетной записи попытки входа невозможны, что предотвращает подбор пароля методом перебора или с использованием вредоносного ПО. А пользователь, который действительно хочет войти в свой аккаунт, за это время может восстановить доступ, если он забыл пароль или столкнулся с временными техническими проблемами.

  4. Нажмите Сохранить.

Политика блокировки встроенных учетных записей будет задана.

Инструкция по разблокировке учетной записи администратора системы приведена в разделе Разблокировка учетной записи администратора системы.

Токены

В Termit есть возможность настройки времени жизни токенов.

Чтобы задать значения токенов:

  1. На портале администрирования в разделе Настройки, на вкладке Общие настройки, наведите курсор на Токены и нажмите b  pencil.

  2. Задайте значения параметров в соответствующих полях:

    • Время жизни access-токена — определяет период, в течение которого токен остаётся действительным после выдачи. По истечении этого срока для продолжения работы потребуется повторная аутентификация. Укажите значение в формате "дд.чч.мм".

    • Время жизни refresh-токена — определяет период, в течение которого refresh-токен может быть использован для получения новой пары токенов (access и refresh) после истечения срока действия access-токена. По окончании этого срока пользователю потребуется выполнить повторную аутентификацию. Укажите значение в формате "дд.чч.мм".

    • Время простоя — определяет максимальный период бездействия пользователя, после которого сессия автоматически завершается. При наличии активности в течение этого времени сессия остаётся активной. Укажите значение в формате "дд.чч.мм".

    • Время жизни после аутентификации — определяет максимальный период существования сессии с момента успешного входа пользователя. По истечении этого времени сессия завершается независимо от наличия активности. Укажите значение в формате "дд.чч.мм".

  3. Нажмите Сохранить.

    Значения времени жизни токенов будут настроены.

    Чтобы сбросить все введенные ранее значения - нажмите Сбросить  Да.