Настройка ролей и полномочий

Общая информация

Интерфейс MULTIDIRECTORY предоставляет возможности для настройки и управления ролями и полномочиями пользователей в системе. Настройка ролей позволяет определить уровень доступа для различных групп пользователей, включая администраторов домена, роли только для чтения и роли Kerberos. Это обеспечивает гибкое управление доступом и упрощает администрирование системы.

MULTIDIRECTORY содержит по умолчанию следующие роли: Domain Admins Role, Read Only Role и Kerberos Role, с указанием даты создания и статуса активности. Такой подход позволяет централизованно управлять полномочиями. Настройка ролей и полномочий облегчает контроль за доступом к ресурсам, обеспечивает соответствие требованиям безопасности и упрощает аудит пользовательских прав в системе.

• Domain Admins Role – имеет права на выполнение всех действий на контролере домена.
• Read Only Role – имеет права исключительно на чтение всего каталога.
• Kerberos Role – имеет права на выполнение всех действий с принципалами в каталоге ou=services

Настройки MULTIDIRECTORY

Для перехода в меню настройки ролей и полномочий, выберите шестерёнку в правом верхнем углу. Выберите пункт «Настройки MULTIDIRECTORY».

Роли и полномочия.

Примечание

Системные роли «Domain Admins Role, Read Only Role, Kerberos Role» создаются автоматически при установке MULTIDIRECTORY и являются неизменяемые.

Обзор роли «Domain Admins Role».

Раздел «Общее»

Название роли – “Domain Admins Role”, при создание новой роли, “название” можно сделать любым.
Дата создания – дата создания роли, автоматически подстраивается при создании роли и является неизменной.
Тип роли:

• “Системная” — автоматически созданная роль системой.
• “Пользовательский” – новая созданная роль пользователем системы.

Раздел «Связанные группы»

В разделе «Связанные группы» системной роли, изначально стоит группа доступа «domain admins».
При создание новой роли, можно добавить, вновь созданную группу доступа из каталога «cn=groups».
Данное правило, будут действовать на те учетные записи, что входят в данную группу.

Пример

Test_group_security

Раздел «Контроль доступа»

В данном разделе настраивается разграничение прав доступа для объектов MULTIDIRECTORY.

Описание полей

1) Объект
Выбранный объект в MULTIDIRECTORY, на который действуют данные правила.

2) Тип
Действие, которое накладывается на правило:

• Разрешающий — разрешает выполнение действий.
• Запрещающий — запрещает выполнение действий.

3) Область действия
Определяет область применения правила:

• Этот объект — правило действует только на конкретный объект.
  Пример: ou=users,dc=md,dc=ru
• Один уровень — правило распространяется на вложенные каталоги (только на первый уровень).
  Пример:
  • ou=test,ou=users,dc=md,dc=ru
  • ou=test2,ou=users,dc=md,dc=ru
    Неверный пример:
  • ou=test3,ou=test,ou=users,dc=md,dc=ru
• Все поддерево — правило распространяется на весь объект и все вложенные уровни.
  Пример:
  • ou=users,dc=md,dc=ru
  • ou=test,ou=users,dc=md,dc=ru
  • ou=test3,ou=test,ou=users,dc=md,dc=ru

4) Разрешения

1. Создание дочернего объекта
   Позволяет добавлять новые записи внутри выбранного объекта каталога
   (например, создавать пользователей, группы, компьютеры).
2. Удаление объекта или атрибута
   Даёт право удалить целиком запись каталога
   (например, пользователя или группу)
   или убрать у неё отдельный атрибут
   (например, телефонный номер, e-mail).
3. Чтение объекта или атрибута
   Позволяет просматривать информацию о записи каталога целиком
   или доступ к отдельным её атрибутам
   (например, только ФИО или только список членов группы).
4. Модификация объекта или атрибута
   Разрешает изменять данные в существующей записи каталога
   или редактировать отдельные атрибуты
   (например, менять пароль пользователя, описание группы или IP-адрес компьютера).