Руководство администратора

Архитектура решения

Аксибейс СитЦентр является многоуровневым приложением, состоящим из следующих компонентов:

  • Сервер СитЦентра - Java приложение и веб-сервер.

  • База данных СитЦентра - встроенная реляционная база данных, созданная в процессе установки.

  • Адаптеры - интеграционные компоненты сервера СитЦентра, взаимодействующие со сторонними инструментами мониторинга.

Сервер СитЦентра: Сервер является многопоточной Java программой, которая передает динамический контент множественным пользователям по сети. Программа реализует основную логику СитЦентра, включая:

  • Аутентификация и авторизация пользователя.

  • Интеграция с инструментами мониторинга с помощью адаптеров.

  • Создание отчетов по расписанию.

  • Создание журналов, носящих специальный характер.

База данных СитЦентра: встроенная реляционная база данных, служащая в качестве постоянной конфигурационной репозитории для сервера СитЦентра. Реализованная в Java, база данных СитЦентра не зависит от платформы, самоконтролируется и создается во время установки приложения.

Адаптер: встроенный компонент сервера СитЦентра, извлекающий конфигурацию ресурсов, топологию, данные в реальном времени и данные из базовых инструментов через SOAP, CSV, JSON, JDBC и другие протоколы с целью вычисления статистики и создания журналов.

Пользователи

Создание и поддержание учетных записей пользователей и групп пользователей в базе данных СитЦентр производится в разделах Пользователи и Группы пользователей. Данные учетные записи и группы могут охватывать любую комбинацию рабочих ролей:

  • Владельцы систем и приложений, обеспечивающих доступность и производительность определенных серверов;

  • Планировщики ресурсов, разрабатывающие специальные и запланированные отчеты, которые используются в контролируемой среде;

  • Опытные пользователи, настраивающие шаблоны, панели, календари и ресурсные свойства;

  • Администраторы, управляющие сервером СитЦентра и его интеграцией с основными инструментами мониторинга.

СитЦентр поддерживает два типа пользовательской аутентификации:

  • Локальная - аутентификация производится сервером СитЦентра, который сравнивает MD5 хэш-код представленного пользователем пароля с хэш-кодом пароля, сохраненного в базе данных СитЦентра.

  • LDAP - аутентификация производится сервером LDAP, сконфигурированным в разделе Админ >> Настройки >> LDAP.

Ключевыми понятиями, реализованными в СитЦентре для целей управления пользователями, являются:

Понятие Определение
Группа пользователей Коллекция учетных записей пользователей.
Ресурс Сервер, агент или группа серверов/агентов. Все активные ресурсы отображаются в вкладке Навигатор в верхнем меню. активные ресурсы
Контроль доступа Список ресурсов, к которым пользователь имеет право доступа. Например:контроль доступа
Привилегия Указывает на способность пользователя просматривать информацию об определенном ресурсе.
Полномочие Полномочия пользователя: полномочия
Роль Предопределенная коллекция привилегий ACL и административных разрешений. По умолчанию доступны следующие роли: роль Админ, которая позволяет пользователю выполнять все административные действия; роль Смотреть все ресурсы, которая позволяет пользователю просматривать все ресурсы. роль

Группы пользователей

Для управления привилегиями ACL и разрешениями нескольких пользователей одновременно Вы можете создать группу пользователей. Пользователь может быть членом одной или нескольких групп.

Права и полномочия пользователя определяются исходя из того, какие права были предоставлены пользователю изначально, а также группой пользователей, к которой он принадлежит.

СитЦентр поддерживает четыре типа группы пользователей:

  • Локальная группа пользователей содержит локальные учетные записи пользователей.

  • LDAP группа пользователей содержит локальные LDAP учетные записи пользователей, если пользователь является членом сопоставленной группы пользователей LDAP.

Добавлять/удалять пользователей возможно только в локальных и ссылочных группах. Членство в группах LDAP синхронизируется с LDAP.

Создание группы пользователей

  1. Войдите в раздел Админ >> Группы Пользователей.

  2. Выберите опцию Добавить группу.

  3. Выберите тип группы: LOCAL или LDAP.

  4. Заполните форму как указано в Таблице 2-2.

  5. Выберите опцию Сохранить.

ldap local

Таблица 2-2: Параметры группы пользователей

Параметр Описание
Тип Тип группы. После создания группы, ее тип не подлежит изменению.
Имя Название группы
Электронная почта Если введен валидный адрес электронной почты, возможно осуществить подписку на рассылку журналов по шаблону.
Комментарий Любой релевантный комментарий о группе
Описание Описание группы
Роль Роль Администратор позволяет всем пользователям группы исполнять определенные административные действия. Роль Смотреть ресурсы позволяет пользователям просматривать всю информацию о ресурсе.
Группа LDAP DN Название группы LDAP

Удаление группы пользователей

  1. Войдите в раздел Админ >> Группы Пользователей.

  2. Выберите нужную группу пользователей нажав на имя группы в таблице.

    удалить группу

  3. Выберите опцию Удалить.

Добавление пользователя в группу

Примечание: Добавлять пользователей возможно только в локальные и ссылочные группы пользователей.

  1. Войдите в раздел Админ >> Группы Пользователей.

  2. Для нужной группы, выберите опцию Изменить.

    добавить пользователей

  3. Выберите имя пользователя справа; придерживая левую кнопку мыши, перенесите пользователя в папку Члены, затем отпустите кнопку.

    добавить пользователей

  4. Выберите опцию Сохранить.

  5. Для возвращения панели Члены и Все пользователи в последнее сохраненное состояние, нажмите «Перезагрузить», прежде чем сохранять изменения.

Удаления пользователя из группы

  1. Войдите в раздел Админ >> Группы Пользователей.

  2. Для нужной группы, выберите опцию Изменить.

  3. Наведите курсор на нужного пользователя и нажмите левую кнопку мыши и выберите опцию Remove.

    удалить пользователей

  4. Выберите опцию Сохранить.

Настройки доступа

  1. Войдите в раздел Админ >> Пользователи.

  2. Нажмите на имя нужного пользователя.

    настройки доступа

  3. Раздел Группы отобразит список всех групп, в которых состоит пользователь.

    настройки доступа

Для верификации эффективности привилегий ACL и полномочий пользователя, можно войти в систему под учетной записью данного пользователя без запрашивания его учетных данных.

Данный метод может быть полезным в следующих случаях:

  • Устранение неполадок, связанных с контролем доступа и полномочиями пользователей.

  • Creating and updating users personal dashboards.

  • Modifying user settings.

Вход под учетной записью любого пользователя

  1. Войдите в раздел Админ >> Пользователи.

  2. Нажмите на иконку нужного пользователя.

  3. Выберите опцию ОК в всплывающем окне.

Изображение 2-1: Impersonation of a user account

вход под учетной записью

вход под учетной записью

Учетные записи пользователей

Для просмотра учетных записей пользователя, войдите в раздел Админ >> Пользователи.

Изображение 2-3: Список учетных записей

список учетных записей

Таблица 2-3: Учетная запись пользователя

Метка Описание
ID Уникальный числовой идентификатор для локальной учетной записи пользователя.
Online Отображает зеленый значок, если пользователь в настоящий момент авторизирован в приложении.
Статус Указывает, заблокирована или разблокирована учетная запись.
Тип Тип аутентификации: LOCAL или LDAP.
Отображает ссылку для доступа к приложению под учетной записью данного пользователя.
Пользователь Имя пользователя.
Полное имя Имя и фамилия.
Электронная почта Электронная почта пользователя
Группы Список идентификаторов групп, к которым принадлежит пользователь.
ACL Ссылка на страницу списка контроля доступа. Отображает звездочку, если роль Смотреть ресурсы назначена непосредственно пользователю, иначе предоставлена ссылка для редактирования ACL. Ссылка редактирования отображается, даже если пользователь является членом группы с ролью Просмотреть все ресурсы.
Полномочия Ссылка на страницу полномочий. Отображает звездочку, если роль Администратор назначена непосредственно пользователю, иначе предоставлена ссылка для редактирования полномочий. Ссылка редактирования отображается, даже если пользователь является членом группы с ролью Администратор.
Аудит Ссылка к журналу аудита пользователя.
Логинов в неделю Число логинов, выполненных пользователем в течение последних семи дней.
Последний логин Дата и время последнего входа в приложение.
Comment Комментарий о данной учетной записи.

Создание/удаление учетных записей

  1. Выберите опцию Создать.

  2. Введите данные пользователя, как указано в таблице 2-4:

    создать пользователя Таблица 2-4. Заполнение полей для создания новой учетной записи

    Метка Описание
    Учетная запись LDAP Если выбрана данная опция, система будет аутентифицировать пользователя с помощью lDAP.
    Пользователь Имя пользователя, используемое при входе в систему.
    Электронная почта Электронная почта пользователя.
    Имя Настоящее имя пользователя.
    Фамилия Фамилия пользователя.
    Комментарий Любой соответствующий комментарий.
    Пароль/Подтверждение пароля Если опция учетной записи LDAP не выбрана, пользователь должен ввести пароль при входе в систему.
    Роль Выберите опцию Администратор для позволения пользователю исполнять любые действия с полномочиями администратора. Выберите опцию Смотреть ресурсы для позволения пользователю просматривать любую информацию, отображающуюся в ресурсе.
    Сбросить пароль Если выбрана данная опция, при следующем входе в систему пользователь будет перенаправлен на страницу для перенастройки пароля.
  3. После успешного заполнения формы, выберите опцию Сохранить.

  • Выберите опцию Удалить для удаления пользователя. Примечание: данное действие удалит все диаграммы на персональных панелях пользователя, а так же любые диаграммы, которые были созданы на управляемых панелях (часть 4.1).

Примечание: база данных СитЦентра хранит MD5 хэш-код пароля пользователя, вместо обычной текстовой версии самого пароля. Данный метод обеспечивает безопасность учетных записей в случае нарушения безопасности.

Предоставление прав контроля доступа пользователям

В крупной рабочей среде часто необходимо предоставлять один и тот же набор прав доступа и разрешений нескольким пользователям. Например, у Вас может быть список серверов, содержащих определенное приложение, и список пользователей, поддерживающих это приложение.

Вместо предоставления прав и полномочий для каждой учетной записи по отдельности, Вы можете:

  • Создать группу пользователей.

  • Добавить нужных Вам пользователей в данную группу.

  • Создать ресурсную группу, содержащую указанные сервера.

  • Добавить данную ресурсную группу к ACL группы.

Данный подход упрощает администрирование пользователей, поскольку Вы можете предоставлять и отзывать привилегии на уровне групп и ресурсных групп. Добавив нового участника в группу пользователей, вы убедитесь, что пользователь автоматически наследует нужные привилегии и полномочия.

Добавляя сервер к ресурсной группе, вы гарантируете, что все пользователи группы имеют доступ к данному серверу.

  1. Создайте группу пользователей.

  2. Добавьте нужных Вам пользователей в данную группу.

  3. Войдите в раздел Админ >> Ресурсные группы.

  4. Создайте ресурсную группу, содержащую указанные сервера.

  5. Войдите в раздел Админ >> Группы пользователей, выберите нужную группу и соответствующую ссылку для настройки ACL.

    настройки контроля доступа

  6. Выберите Ресурсы из списка объектов.

  7. Перетащите ресурсную группу на раздел узел Ресурсные группы на левой панели.

    настройки контроля доступа

  8. Выберите опцию Сохранить.

Примечание: Создание общих учетных записей пользователей в качестве «прокси» для группы пользователей не рекомендуется. В дополнение к созданию потенциальных уязвимостей безопасности, этот подход не позволяет пользователям настраивать параметры интерфейса, панелей и подписок на журналы.

Аккаунт по умолчанию: База данных СитЦентра имеет учетную запись администратора по умолчанию, созданную в процессе установки. Вы можете использовать эту учетную запись для первоначального входа в систему и для создания дополнительных учетных записей пользователей. Рекомендуется изменить пароль администратора по умолчанию, как указано в руководстве по установке.

Сброс настроек пароля администратора

  1. Откройте файл ..\aksibeisserver\config\config.properties.

  2. Добавьте параметр DATABASE.RESET.ADMINISTRATOR=true и сохраните файл.

  3. Перезагрузите сервис СитЦентра.

  4. Удалите DATABASE.RESET.ADMINISTRATOR из файла config.properties file и сохраните файл.

Управление доступом (ACL)

Используйте раздел Управление доступом для предоставления пользователям или группам пользователей доступ к ресурсам или панелям. Чтобы отобразить страницу Управление доступом, войдите в профиль администратора, нажав на кнопку слева от кнопки запуска.

Предоставление прав доступа ресурсу

  1. Выберите ресурс и перетащите его в раздел Ресурсные группы в левой панели.

  2. Отпустите мышь для совершения изменений.

Предоставление прав доступа панели

  1. Выберите панели из дроп-даун списка.

  2. Перетащите его в раздел Ресурсные группы в левой панели.

  3. Выберите опцию Сохранить.

Полномочия

Вы можете предоставить полномочия как для локальных, так и для адаптерных учетных записей. Это позволяет пользователю выполнять определенные административные задачи без роли администратора. Если у пользователя есть хотя бы одно полномочие, его верхнее меню отображает вкладку Админ. Вкладка Админ скрыта, если у пользователя нет полномочий.

permissions

Изменение полномочий

permissions

Разрешения, предоставляемые всем пользователям по умолчанию:

  • Просмотр информации о ресурсах, которые включены в ACL пользователя

  • Просмотр предопределенных журналов о ресурсах, которые включены в ACL пользователя

  • Создание исторических диаграмм ресурсов и в реальном времени, которые включены в ACL пользователя

  • Добавление и удаление диаграмм из их личной панели

  • Подписка на журналы по персональным панелям и по серверу (уведомления приходят на электронную почту)

  • Подписка на журналы

  • Экспорт данных в различных форматах (CSV и PDF) из ресурсов

  • Обмен информацией с HTTP API, которые включены в ACL пользователя.

Аудит

отслеживает следующую активность пользователя в своей базе данных:

  • Вход пользователя в систему

  • Выход пользователя из системы

  • Удаленное выполнение команд

Просмотр журнала аудита пользователя

  1. Войдите в раздел Админ>>Пользователи.

  2. Выберите опцию Открыть в колонке Аудит у нужного пользователя.

    Для просмотра аудита всех пользователей, выберите опцию Журнал аудита внизу таблицы.

    audit log audit log

  3. Для удаления данных аудита выберите опцию Очистить журнал.