База знаний
Войти

Раздел "Ключи доступа"

В разделе "Ключи доступа" отображается информация о добавленных пользователем данных для доступа к машинам. Эти записи можно переиспользовать в нескольких проектах и миграционных заданиях пользователя, если, например, связка "логин-пароль" не меняется от машины к машине (рисунок 31).

Рисунок 31 — Раздел "Ключи доступа"

Таблица с ключами доступа содержит следующие столбцы:

  • переключатель для выбора одного или нескольких ключей;
  • Имя — наименование ключа доступа;
  • ID — уникальный идентификатор ключа доступа;
  • Количество связей — количество машин, использующих данный ключ доступа;
  • Машины — наименование машин, использующих данный ключ доступа;
  • Дата создания — дата создания ключа доступа;
  • Действия — базовые операции с ключами (редактировать, удалить).

Пользователь может создать новый ключ доступа. РОСА Миграция поддерживает два типа ключей: Local и SecMan. Ключи с типом Local — это локально созданные пользователем ключи, которые хранятся непосредственно в базе данных Контроллера. При создании ключей с типом SecMan осуществляется интеграция с внешней системой хранения секретов.

Создание ключа Local

Для создания нового ключа с типом Local необходимо нажать + Создать.

В открывшейся форме создания нового ключа доступа необходимо заполнить следующие поля в зависимости от метода аутентификации на машине (рисунок 32):

Рисунок 32 — Добавление нового ключа доступа

  • Имя ключа — название записи для отображения в интерфейсе Комплекса;
  • Тип — выбор типа ключа: Local;
  • Логин — имя учетной записи на машине (максимальная длина — 30 символов). Если машина в домене, используют формат .<UserName> для локальной записи и <UserName> – для доменной.

Если машина в домене с авторизацией по протоколу Kerberos, используют формат, в котором REALM Kerberos указывается после знака "@", @.

  • Пароль — пароль учетной записи (максимальная длина — 32 символа);
  • Закрытый ключ SSH — private key в формате OpenSSH;
  • Парольная фраза — строка или предложение, которые используются в качестве пароля для защиты доступа к машине.

Создание ключа SecMan

Для создания нового ключа с типом SecMan необходимо нажать + Создать.

В открывшейся форме создания нового ключа доступа необходимо заполнить следующие поля (рисунок 33):

Рисунок 33 — Добавление нового ключа доступа

  • Имя ключа — название записи для отображения в интерфейсе Комплекса;
  • Тип — выбор типа ключа: SecMan;
  • Сервер — название сервера, который указал администратор при настройке интеграции;
  • Тип ОС — Windows или Linux;
  • Параметры подключения — необходимо ввести данные для подключения к серверу в шаблоне, заполнив пропуски в кавычках:
    • Параметры для Linux (когда используется тип потока linux):
      • linCredsPath — путь к репозиторию, который можно получить у администратора SecMan, следует указать в формат "linPath";
      • flowType — по умолчанию "linux".
    • Для использования SecMan через SSH-ключ (только для Linux) добавить:
      • flowType — по умолчанию "signed_key" – это специальный метод взаимодействия с SecMan для осуществления входа по username и ключу;
      • appRolePath — путь к репозиторию, который можно получить у администратора SecMan; следует указывать в формате "path_approle";
      • usr — имя пользователя для входа на ВМ;
      • enginePath — путь до SSH-движка; необходим для подписания ключа;
      • role — роль SSH-движка; создаётся внутри SecMan; через неё происходит подпись публичного ключа и генерация сертификата, с которым выполняется вход на ВМ.
    • Параметры для Windows (когда используется тип потока windows. Метод отличается от типа потока linux тем, что перед получением доступа к KV-движку с логином и паролем необходимо аутентифицироваться по approle):
      • appRolePath — путь к репозиторию, который можно получить у администратора SecMan; следует указывать в формате "path_approle";
      • usr — имя Windows-пользователя для подключения к удаленному серверу;
      • flowType — по умолчанию "windows".

После заполнения полей формы необходимо нажать кнопку Сохранить, и созданный ключ отобразится в разделе "Ключи доступа".

Для дальнейшего взаимодействия с SecMan необходимо пройти аутентификацию на сервере, для чего в контекстном меню выбрать действие "Логин" (рисунок 34).

Рисунок 34 — Выбор действия "Логин"

В результате откроется всплывающее окно авторизации на сервере SecMan в котором нужно ввести логин и пароль подключения к серверу, а также пароль OTP, действительный только для одного сеанса аутентификации (рисунок 35). Все данные необходимо уточнять у вашего администратора системы.

Рисунок 35 — Авторизация на сервере SecMan

После этого ключ будет зашифрован и может быть использован в системе.

Кроме того, создать одну или несколько записей можно посредством загрузки на Контроллер заполненного пользователем файла, шаблон которого можно скачать после нажатия кнопки + Добавить из файла (рисунок 36).

Рисунок 36 — Добавление ключей доступа при помощи xlsx-файла

Шаблон имеет формат xlsx-таблицы для самостоятельного заполнения параметров доступа (рисунок 37).

Рисунок 37 — Шаблон для добавления ключей из файла

В таблице требуется указать необходимую для доступа к машинам информацию и загрузить этот файл на Контроллер.

Следует обратить внимание, что для обеспечения безопасности ключей доступа в РОСА Миграция применяются следующие меры:

  • Данные ключей хранятся в базе данных.
  • Пароли ключей шифруются с использованием алгоритма AES.

При необходимости редактирования ключа доступа в соответствующей сроке нужно нажать на пиктограмму карандаша (Редактировать). Отобразится форма для редактирования, в которой ранее сохраненные логин, пароль, закрытый ключ SSH и парольная фраза не отображаются в целях безопасности. После редактирования необходимо нажать кнопку Сохранить (рисунок 38).

Рисунок 38 — Форма редактирования ключа доступа