Общие настройки
Раздел содержит инструкции по настройке системы Termit.
HTTPS
Чтобы изменить адрес брокера, загрузить ключ, сертификат и цепочку сертификатов:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на HTTPS и нажмите
. -
При необходимости измените адрес брокера.
-
Чтобы загрузить сертификат или цепочку сертификатов, нажмите на поле Сертификат.
-
Чтобы загрузить закрытый ключ, нажмите на поле Закрытый ключ.
-
Нажмите Сохранить.
Настройки будут сохранены.
|
Подробнее о генерации самоподписанного сертификата. |
Внешний вид десктоп-клиента
Чтобы список опубликованных приложений и рабочих столов в десктоп-клиенте был разделен, настройте внешний вид в десктоп-клиенте:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Внешний вид десктоп-клиента и нажмите
. -
Активируйте опцию Разделение объектов на приложения и рабочие столы.
-
Нажмите Сохранить.
Приложения и рабочие столы будут разделены по типу в десктоп-клиенте.
Многофакторная аутентификация
Чтобы настроить многофакторную аутентификацию (MFA):
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Многофакторная аутентификация и нажмите
. -
В поле Внутренние пользователи активируйте опции:
-
Многофакторная аутентификация при использовании Kerberos, если для аутентификации внутренних пользователей по Kerberos нужно использовать MFA при запуске десктоп-клиента и портала администрирования.
-
Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внутренних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.
-
-
В поле Внешние пользователи активируйте опцию Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внешних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.
-
Нажмите Сохранить.
Многофакторная аутентификация будет настроена.
Далее настройте RADIUS-сервер.
Пользовательский портал
Можно включить возможность подключения пользователей через браузер без установки десктоп-клиента.
Чтобы включить возможность подключения пользователей через браузер:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Пользовательский портал и нажмите
. -
Активируйте опцию Доступ к пользовательскому порталу.
-
Нажмите Сохранить.
Доступ к пользовательскому порталу через браузер будет включен.
|
Syslog/SIEM
Можно настроить переадресацию журнала в syslog-сервер.
Сведения о каждом событии в Termit отправляются как отдельное syslog-сообщение. Текст syslog-сообщения соответствует информации о событии, отображающейся в веб-интерфейсе системы в разделе Журнал событий.
Чтобы настроить параметры для интеграции Syslog:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Syslog/SIEM и нажмите
. -
Активируйте опцию Использование, чтобы запись событий отправлялась на syslog-сервер.
-
При включенной интеграции в параметрах:
-
Адрес сервера — укажите адрес сервера.
-
Порт — укажите порт. По умолчанию 514 (6514 для TLS).
-
Протокол — выберите UDP или TCP.
-
Формат сообщений — выберите спецификацию RFC3164 или RFC5424.
-
Код подсистемы (facility) — выберите local0-local7.
-
TLS для отправки логов в Syslog — выберите Выключено или Включено. При выборе протокола TLS следует использовать доверенные сертификаты, указанные администратором в соответствующем разделе.
-
-
Нажмите Сохранить.
Параметры для интеграции Syslog будут настроены.
Доверенные сертификаты
Доверенные сертификаты применяются для проверки соединения с LDAP-каталогами по протоколам LDAP StartTLS и LDAP over SSL. Кроме того, доверенные сертификаты необходимы для Syslog, когда он использует TLS для отправки логов.
Чтобы добавить доверенный сертификат:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Доверенные сертификаты и нажмите
. -
Чтобы добавить сертификат, нажмите
и загрузите его. Поддерживаются форматы PKCS#12/PEM/CER/CRT (в кодировке Base-64).Если цепочка доверенных сертификатов представлена в одном файле формата
PEM, её необходимо разбить на отдельные части и загружать каждый сертификат в виде отдельного файла. При загрузке цепочки одним файлом в интерфейсе будет отображаться только подчинённый сертификат. -
При необходимости активируйте опцию Задать пароль и задайте пароль для сертификата.
-
Нажмите Сохранить.
Добавленный сертификат появится в списке.
Чтобы удалить:
-
Наведите курсор на сертификат и нажмите
. -
Нажмите Удалить сертификат.
-
Нажмите Да.
Сертификат будет удален.
Администратор системы
«tadm» — локальная учетная запись, которая предназначена только для настроек брокера. Ее нельзя использовать для входа в десктоп-клиент, запуска приложений и рабочих столов.
«admin» — пароль по умолчанию от локальной учетной записи.
|
Обязательно измените пароль для повышения уровня безопасности системы. |
Изменение параметров администратора системы
Чтобы изменить параметры администратора системы:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите
. -
При необходимости измените имя локального администратора системы.
-
Введите старый пароль и задайте новый.
-
Подтвердите новый пароль.
-
Нажмите Сохранить.
Данные об администраторе системы будут изменены.
Разблокировка учетной записи администратора системы
|
При неудачной авторизации в систему Termit учетная запись блокируется. Подробнее смотрите в разделе Политика блокировки встроенных учетных записей. |
Для разблокировки учетной записи администратора системы на портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите на
. Учетная запись будет разблокирована.
Глубина хранения журналов событий
В системе можно очищать старые записи журнала событий.
Чтобы настроить срок хранения записей:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения журнала событий и нажмите
. -
При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.
Чтобы задать свой срок хранения, отключите эту опцию и выберите значение:
-
Срок хранения событий (дней) — период хранения событий журнала;
-
Время запуска — время запуска очистки журнала событий.
-
-
Нажмите Сохранить.
После очистки в журнале событий появится запись о статусе операции: сколько событий было удалено, дата самой старой и самой новой сессии.
Чтобы настроить ограничение журнала событий по объёму выделенной памяти, выполните настройки через REST API. Подробнее о настройке.
Глубина хранения сессий
В системе можно очищать историю закрытых сессий пользователей.
Чтобы настроить срок хранения:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения сессий и нажмите
. -
При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.
Чтобы задать свой срок хранения, отключите эту опцию и задайте:
-
Срок хранения сессий (дней) — период хранения истории закрытых сессий;
-
Время запуска — время запуска очистки истории закрытых сессий.
-
-
Нажмите Сохранить.
После очистки в журнале событий появится запись о статусе операции: сколько сессий было удалено, дата самой старой и новой сессии.
RADIUS
RADIUS-сервер (Remote Authentication Dial-In User Service) — сервер для централизованной аутентификации, авторизации и учета (AAA) пользователей.
Чтобы настроить RADIUS-сервер для аутентификации:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на RADIUS и нажмите
. -
Чтобы использовать RADIUS-сервер, активируйте опцию Использование.
-
При включенной опции в параметрах задайте:
-
Адрес сервера — IP-адрес RADIUS-сервера.
-
Порт — по умолчанию порт 1812. Вы можете указать другой.
-
Секрет для подключения к RADIUS-серверу — общий пароль между RADIUS-клиентом и RADIUS-сервером.
Проверьте, что все брокеры добавлены в конфигурацию RADIUS-сервера в качестве RADIUS-клиентов.
-
Идентификатор NAS для внутренних пользователей — символы NAS ID для внутренних пользователей.
-
Идентификатор NAS для внешних пользователей — символы NAS ID для внешних пользователей.
При подключении десктоп-клиента RADIUS-сервер использует NAS ID (Network Access Server Identifier) для:
-
классификации запросов, которые поступили от RADIUS-клиентов;
-
применения соответствующих настроек или политик для внутренних и внешних пользователей.
-
-
Таймаут подключения (сек.) — время ожидания отклика от RADIUS-сервера при попытке установить с ним соединение.
-
Количество попыток подключения — количество попыток подключения к RADIUS-серверу.
-
-
Активируйте опцию Использование RADIUS только для проверки второго фактора, если требуется использовать RADIUS-сервер только для проверки второго фактора (например, TOTP). В этом случае проверка первого фактора будет выполняться брокером через LDAP-сервер.
-
В параметре Протокол аутентификации RADIUS выберите протокол PAP, CHAP или MSCHAPv2.
-
Нажмите Сохранить.
RADIUS-сервер будет настроен.
Политика блокировки встроенных учетных записей
Политика блокировки встроенных учетных записей необходима для обеспечения безопасности системы и применяется только для локальной учетной записи «tadm». Учетная запись блокируется, если пользователь совершает несколько неудачных попыток входа в систему Termit. Это помогает предотвратить несанкционированный доступ к данным и ресурсам компании.
По умолчанию политика включена, и после трех неудачных попыток входа в систему учетная запись блокируется на один час.
Чтобы задать собственную политику блокировки встроенных учетных записей:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки, наведите курсор на Политика блокировки встроенных учетных записей и нажмите
. -
Включите опцию Использование, если хотите, чтобы политика блокировки работала. Или вы можете отключить эту опцию, если не хотите применять политику блокировки.
-
При включенной опции в параметрах задайте:
-
Число неудачных попыток входа — число неудачных попыток, после которых учетная запись пользователя будет заблокирована.
-
Срок блокировки учетных записей (мин) — срок блокировки учетных записей.
Во время блокировки учетной записи попытки входа невозможны, что предотвращает подбор пароля методом перебора или с использованием вредоносного ПО. А пользователь, который действительно хочет войти в свой аккаунт, за это время может восстановить доступ, если он забыл пароль или столкнулся с временными техническими проблемами.
-
-
Нажмите Сохранить.
Политика блокировки встроенных учетных записей будет задана.
|
Инструкция по разблокировке учетной записи администратора системы приведена в разделе Разблокировка учетной записи администратора системы. |
Токены
В Termit есть возможность настройки времени жизни токенов.
Чтобы задать значения токенов:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки, наведите курсор на Токены и нажмите
. -
Задайте значения параметров в соответствующих полях:
-
Время жизни access-токена — определяет период, в течение которого токен остаётся действительным после выдачи. По истечении этого срока для продолжения работы потребуется повторная аутентификация. Укажите значение в формате "дд.чч.мм".
-
Время жизни refresh-токена — определяет период, в течение которого refresh-токен может быть использован для получения новой пары токенов (access и refresh) после истечения срока действия access-токена. По окончании этого срока пользователю потребуется выполнить повторную аутентификацию. Укажите значение в формате "дд.чч.мм".
-
Время простоя — определяет максимальный период бездействия пользователя, после которого сессия автоматически завершается. При наличии активности в течение этого времени сессия остаётся активной. Укажите значение в формате "дд.чч.мм".
-
Время жизни после аутентификации — определяет максимальный период существования сессии с момента успешного входа пользователя. По истечении этого времени сессия завершается независимо от наличия активности. Укажите значение в формате "дд.чч.мм".
-
-
Нажмите Сохранить.
Значения времени жизни токенов будут настроены.
Чтобы сбросить все введенные ранее значения - нажмите .