База знаний
Войти

Управление учетными записями пользователей

Включение и отключение учетной записи пользователя

Принудительное включение или отключения пользователя (пользователь не сможет войти в домен). Также отключение учётной записи может применяться для защиты от взлома пароля чужой учётной записи методом перебора вариантов.

Операции включения и отключения УЗП возможна при наличии у пользователя прав на изменение атрибута nsaccountlock.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

В CLI используются команды вида:

  • для включения учетной записи пользователя:
$ ipa user_enable [имя_пользователя]
  • для отключения учетной записи пользователя:
$ ipa user_disable [имя_пользователя]

Операция отключения учетной записи для пользователя выполняется в главном окне графического интерфейса Dynamic Directory. Для этого необходимо в правой части окна на панели списка выбрать пользователя и из контекстного меню пункт "Отключить учетную запись", при этом иконка пользователя изменит цвет на серый (рисунок 29). В результате пользователь не сможет зарегистрироваться в ОС. Для включения нужно выбрать пользователя и из контекстного меню пункт "Включить учетную запись", при этом цвет пиктограммы пользователя изменится вновь на синий.

Рисунок 29 – Отключение учетной записи

Разблокировка учетной записи пользователя

Разблокировка УЗП возможна при наличии у пользователя прав на изменение атрибутов krbloginfailedcount и krblastadminunlock.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

В CLI для этой операции используется команда вида:

$ ipa user_unlock [имя_пользователя]

В главном окне графического интерфейса Dynamic Directory необходимо в правой части панели списка выбрать пользователя и из контекстного меню пункт "Состояние блокировки". В результате появится окно с информацией о статусе блокировки учетной записи пользователя, как это показано на рисунке 30.

Рисунок 30 – Разблокировка учетной записи

Для разблокировки учетной записи нужно нажать кнопку Да, после чего пользователь будет разблокирован.

Учетная запись может быть заблокирована, если в течение определенного периода времени слишком большое количество раз был введен неверный пароль (соответствующие ограничения регулируются политикой паролей, описанной в разделе Применение политик на АРМ в домене).

Восстановление учетных записей пользователей

Операция восстановления УЗП применяется при необходимости использования ранее удаленной УЗП и возможна при наличии у пользователя прав на эти действия.

Операция доступна через командную строку и графический интерфейс Dynamic Directory.

В CLI для этой операции используется команда вида:

$ ipa user_undel [имя_учетной_записи]

Для восстановления учетной записи пользователя в Системе необходимо в главном окне графического интерфейса Dynamic Directory на панели дерева перейти к секции "Удаленные пользователи" и из контекстного меню пользователя выбрать пункт "Восстановление пользователя" (рисунок 31). Выбранный пользователь появится в правой части окна в своем организационном подразделении, при этом у пользователя будут восстановлены все данные, кроме участия в группах.

Рисунок 31 – Восстановление учетной записи пользователя

Для окончательного удаления учетной записи пользователя в Системе необходимо из контекстного меню удаленного пользователя в правой части окна выбрать пункт "Удалить", при этом Система выдает запрос на подтверждение удаления объекта. После положительного ответа учетная запись пользователя окончательно удаляется из Системы.

Сброс и установка нового пароля пользователя

Для сброса и установки нового пароля пользователя необходимы права на изменение атрибута nsaccountlock.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

В CLI для этой операции используются команды вида:

$ ipa passwd [имя_пользователя] --[параметры] --[общие опции]

В графическом интерфейсе для задания нового пароля необходимо в правой части панели списка перейти к пользователю и из контекстного меню выбрать пункт "Сбросить пароль", в результате чего отобразится окно "Сбросить пароль" в соответствии с рисунком 32.

Рисунок 32 – Сброс пароля пользователя

В появившемся окне необходимо дважды ввести новый пароль в полях "Пароль" и "Подтверждение пароля", нажать кнопку ОК, в результате чего старый пароль будет сброшен и установлен новый.

Двухфакторная аутентификация

Для использования метода двухфакторной аутентификации при работе с Системой необходимо на мобильном устройстве пользователя установить из галереи приложений программу FreeOTP от Red Hat, Inc.

Для переопределения методов аутентификации конкретного пользователя нужно в его контекстном меню выбрать пункт "Свойства", затем перейти на вкладку "Учетная запись".

Затем в секции "Стандартные типы аутентификации пользователей" отметить флажком параметр "Двухфакторная аутентификация (пароль + OTP)" и нажать кнопку ОК (рисунок 33).

Рисунок 33 – Тип аутентификации

Для генерации OTP-токена необходимо создать две групповые политики (п. Создание, изменение и удаление контейнеров политик):

  • для первой политики из контекстного меню выбрать "Изменить параметры", перейти в "Параметры конфигурации компьютера → Система → Служба каталогов → Создать скрипт генерации токена OTP" и установить необходимые значения для формирования токена в соответствии с рисунком ;

Рисунок 34 – Параметры первой политики

  • для второй политики из контекстного меню выбрать "Изменить параметры", перейти в "Параметры конфигурации пользователя → Безопасность → Служба каталогов → Создать ярлык пользователю для генерации токена OTP" и установить переключатель в положение "Включено" как показано на рисунке 35.

Рисунок 35 – Параметры второй политики

При применении групповых политик для пользователя на рабочем столе будет создан ярлык "Генерировать токен OTP".

Пока не сгенерирован токен для пользователя, вход осуществляется по паролю.

После генерации токена вход осуществляется с обязательным вводом токена.

Для генерации токена нужно с помощью ярлыка запустить вышеуказанный скрипт.

После генерации токена будет отображена консоль с QR-кодом (рисунок 36).

Рисунок 36 – Сгенерированный QR-код

Этот QR-код необходимо добавить и отсканировать в мобильном приложении FreeOTP на мобильном устройстве пользователя.

При следующем входе пользователя в Систему необходимо будет пройти двухфакторную аутентификацию:

  1. ввод пароля (рисунок 37);

Рисунок 37 – Ввод пароля

  1. ввод токена (рисунок 38), который можно узнать в мобильном приложении FreeOTP, зайдя в свою учетную запись.

Рисунок 38 – Ввод токена

Регистрация событий при попытке обращения любого пользователя к объекту

Для просмотра событий обращения любого пользователя к объекту администратор Системы должен иметь права на доступ к просмотру файлов в директории /var/log/dirsrv/slapd-имя_домена сервера FreeIPA или в соответствующей директории сервера Rsyslog.

Кроме того, администратор Системы должен быть авторизован на ПК с установленным сервером службы каталогов.

Операция доступна средствами ОС через любую программу для чтения файлов. Необходимо перейти в директорию /var/log/dirsrv/slapd-имя_домена и открыть файл с именем access, для текущей даты – файл с именем access.дата_выполнения_операции. Затем следует провести поиск по файлу для получения необходимой информации.

Удаленное подключение в текущую сессию пользователя

Для удаленного подключения в текущую сессию пользователя нужно через папку "Подразделения" определить компьютер, к которому требуется подключиться, вызвать контекстное меню и в нем выбрать пункт "Удаленное подключение VNC" (рисунок 39).

Рисунок 39 – Удаленное подключение

После этого появится диалоговое окно с информацией о ходе подключения к выбранному компьютеру (рисунок 40).

Рисунок 40 – Подключение к компьютеру

Во время подключения на пользовательском компьютере появится окно с запросом на разрешения подключения (рисунок 41).

Рисунок 41 – Запрос на подключение

Для предоставления разрешения необходимо нажать кнопку Да, после чего администратор Системы сможет подключиться в сессию пользователя.

На компьютере пользователя при этом появится окно с информацией о текущем сеансе подключения. Для завершения сессии подключения нужно нажать кнопку ОК (рисунок 42).

Рисунок 42 – Текущая сессия удаленного подключения

При активном подключении администратор Системы может управлять компьютером пользователя через подключение по VNC.

Логирование удаленного подключения в текущую сессию пользователя производится в домашней директории администратора Системы (или того пользователя, который осуществляет подключение к сессии пользователя) в файл /home/<имя_пользователя>/.ipa/gui.log.

Просмотреть логи можно, например, с помощью менеджера файлов Midnight Commander (mc).