Note
Функционал доступен только для СХД ENGINE AQ 440, ENGINE AQ 450, ENGINE N4, ENGINE N2.
В СХД AERODISK ENGINE реализована ролевая модель управления доступом. Она позволяет группировать набор прав доступа к элементам системы чётко в соответствии с заданным набором правил для групп пользователей и повышает надёжность и эффективность управления системой в целом.
Ролевая модель ENGINE гибкая: супер-администратор системы (admin) сам создаёт группы пользователей и наборы правил для них в соответствии с должностями и функционалом сотрудников.
Работать с функционалом ролевой модели (создавать/редактировать/удалять пользователей и группы) допускается только в штатном режиме работы (при работе двух контроллеров СХД). Если один из контроллеров недоступен, то на втором можно только просмотреть текущих пользователей, группы, права. При этом функционал ограничений на выполнение операций работает для существующих пользователей и групп.
Управление ролевой моделью выполняется на вкладке “Пользователи”, доступной на панели навигации слева.
В таблице “Пользователи” отображается следующая информация по каждому пользователю:
Для создания группы необходимо нажать кнопку “Создать”.
Далее необходимо заполнить поля в модальном окне, выбрать группу из выпадающего списка и нажать “Подтвердить”.
По нажатию правой кнопки мыши на строку пользователя доступны следующие операции:
удалить;
изменить.
Для изменения пользователя нажмите “Изменить”, измените нужные значения полей и подтвердите действие.
Для удаления пользователя нажмите “Удалить” и подтвердите действие.
Для создания и настройки групп пользователей необходимо перейти на вкладку “Группы”.
Note
Только супер администратор СХД (admin) имеет доступ к разделу “Пользователи”, может создавать/изменять/удалять пользователей и группы, видеть список пользователей и групп. Пользователи не должны создавать/изменять/удалять пользователей и группы, видеть список пользователей и групп.
На вкладке “Группы” доступна следующая информация по каждой группе:
id - уникальный идентификационный номер группы;
имя - имя группы;
описание - описание группы.
Для создания группы необходимо нажать кнопку “Создать”.
Далее в появившемся модальном окне нужно задать:
имя группы (обязательно);
описание группы (опционально);
правила доступа для группы.
И нажать “Подтвердить”.
Список правил имеет древовидную структуру разделов: правила сгруппированы по подразделам, подразделы - по разделам. Возле названия раздела в скобках указывается количество выбранных для группы правил.
Реализованы следующие возможности:
выбрать всё дерево целиком и назначить нужные права за одно действие;
раскрыть дерево, выбрать нужный раздел и назначить права не него;
раскрыть раздел, выбрать нужный подраздел и назначить права не него;
гранулярно выбрать нужные права;
выбрать все права.
По нажатию правой кнопки мыши на строку группы доступны следующие операции:
удалить;
изменить.
Для изменения группы нажмите “Изменить” и подтвердите действие.
Для удаления группы нажмите “Удалить” и подтвердите действие.
Системная панель
ёмкость: читать;
данные о СХД (модель, серийный номер, версия ПО): читать;
подсистемы хранения (RDG, DDP): читать;
доступ (iSCSI, FC): читать;
статистика (информация о текущей нагрузке ENGINE-0, ENGINE-1): читать.
Сетевые интерфейсы
Блочный доступ
iSCSI:
таргеты (iSCSI): читать/создать/редактировать/удалить/восстановить таргет/переключить расширение RDMA;
инициаторы (iSCSI): читать;
группы (iSCSI): читать/создать/редактировать/удалить/восстановить;
маппинг (iSCSI): читать/создать/удалить/восстановить.
FC:
Подсистема хранения
диски: читать/показать информацию/включить индикацю/отключить инликацию/очистить заголовки дисков/включить SMART-мониторинг/выключить SMART-мониторинг/тестировать диски/отановить тестирование/сканирование дисков;
RAID Distributed Group:
группы RDG: читать/создать/удалить/сменить владельца группы/включить группу/выключить группу/проверить наличие дисков для автозамены/нормализовать статус;
редактирование группы RDG: читать/редактрировать/добавить диски/ заменить (диск);
политика перестроение (RDG): читать/редактрировать;
логические тома RDG/мгновенные снимки RDG: читать/создать/удалить/создать мгновенный снимок/создать снэпклон/создать связанный клон/изменить размер/изменить псевдоним/изменить QoS, сменить тип на “толстый”/миграция тома;
мгновенные снимки RDG: читать/удалить/восстановить/восстановить в новый объект/создать связанный клон/удалить группу снимков.
группы консистентности связанных клонов (RDG): читать/создать/редактировать/удалить/создать связанные клоны.
Dynamic Disk Pool:
группы DDP: читать/создать/удалить/сменить владельца группы/включить группу/выключить группу/проверить наличие дисков для автозамены/нормализовать статус/добавить тонкое хранилище/расширить тонкое хранилище/удалить тонкое хранилище;
редактирование группы DDP: читать/редактрировать/добавить диски/удалить диск/заменить (диск);
логические тома DDP: читать/создать/удалить/создать мгновенный снимок/изменить размер/создать снэпклон/нормализовать статус/добавить кэш/удалить кэш/вкл.-выкл. дедупликацию/вкл.-выкл. компрессию/изменить псевдоним/изменить QoS/миграция тома;
мгновенные снимки DDP: читать/удалить/восстановить/восстановить в новый объект/удалить группу снимков.
Файловые системы
NFS: читать/создать/редактировать/удалить/создать мгновенный снимок/сменить тип на “толстый”;
SMB:
Репликация
локальная репликация: читать/создать/редактировать/удалить/активировать/деактивировать;
удалённая репликация:
удалённая репликация: читать/создать/удалить/сделать первичным/добавить узел/удалить узел/включить-включить узел/нормализовать статус/подключить к метрокластеру/отключить от метрокластера/активировать узел/деактивировать узел;
метрокластер: читать/сконфигурировать/всё перезапустить/всё остановить/запустить (отдельная связь, служба, состояние)/перезапустить (отдельная связь, служба, состояние)/остановить (отдельная связь, служба, состояние).
Производительность
оперативная статистика: читать/добавить группу графиков/добавить график/сгенерировать графики/удалить группу/Grafana;
архивная статистика: читать/данные (выбрать, диапазон, скачать)/удалить.
Управление
управление контроллерами - системные контроллеры: читать/перезагрузка/выключение/выгрузка конфигурации (ПО)/применение конфигурации (ПО);
управление контроллерами - лицензии: читать/обновить;
системные утилиты:
DNS-серверы: читать/добавить запись/удалить запись;
ping: читать/ping/traceroute;
NTP-серверы: читать/добавить сервер/удалить;
Iperf: читать/вкл. клиент.
сервис:
сервисы ENGINE: читать/запустить/перезапустить/остановить/выгрузить системные логи/выгрузить все логи;
системные сервисы: читать/запустить/перезапустить/остановить/настройка SNMP Trap/настройки SNMP/выгрузить MIB;
мониторинг ошибок: читать/запустить/остановить/установить частоту опроса;
почтовые уведомления: читать/редактировать/добавить рассылку/сохранить/удалить/запустить.
сенсоры: читать;
системный журнал - список системных сообщений: читать/выгрузить все логи/выгрузить логи за период;
обновление системы - установка обновления: читать/установить обновление;
управление модулями: читать/активировать модуль/деактивировать модуль.
Настройки
настройки: читать/изменение настроек.
Устанвить время
установить время: читать/изменение системного времени.
Создание логического тома RDG
чтение дисков;
чтение групп RDG;
чтение логических томов RDG;
создание логических томов RDG.
Создание iSCSI-маппинга для DDP
В случае, когда для совершения какой-то операции у группы, куда относится пользователь, недостаточно прав, высвечивается ошибка “действие запрещено” с указанием минимального перечня прав, необходимого для проведения этой операции.
Примеры:
Для выполнения операции “Сканирование дисков” необходимо перейти в раздел “Подсистема хранения - Диски” и отметить “Сканирование дисков”.
Для создания логического тома RDG “Подсистема хранения - RAID Distributed Group - Группы RDG” и отметить “Читать”.
Для доступа к Системному журналу необходимо перейти во вкладку “Управление - Системный журнал - Список системных сообщений” и отметить “Читать”.
В разделе “Дополнительно” можно настроить параметры безопасности.
Для того, чтобы установить правила надёжности пароля, нужно отметить настраиваемые параметры:
минимальная длина пароля;
максимальная длина пароля;
время жизни токена (минуты);
время жизни сессии (минуты).
При настройке минимальной/максимальной длины пароля и срока его действия нужно внести пороговые значения в соответствующие поля.
Для настройки сессии необходимо выбрать настраиваемые параметры:
максимальное количество попыток входа;
время блокировки пользователя (минуты);
время жизни токена (минуты);
время жизни сессии (минуты).
Для настройки списка разрешённых IP-адресов нужно отметить поле “Белый список IP”, введите IP-адрес и нажмите “Добавить”.
Все события информационной безопасности регистрируются в журнале событий.