|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (15)
просмотр истории страницы*Администратор* -- пользователь, имеющий право управлять Ideco ACP через Ideco ACP Manager. |
*Администратор* -- пользователь, имеющий право управлять Carbon Billing через Carbon Manager. |
Всегда есть пользователь *Главный администратор*. Главный администратор имеет полные права, может создавать других администраторов для отдельных групп (Администраторов групп). *Главный администратор* может быть только один и не может быть удален. По умолчанию, логин -- *Administrator*, пароль -- *servicemode*. |
h2. Расположение администраторов в дереве пользователей В системе Carbon Billing заложен принцип, что администратор может управлять всеми пользователями и подгруппами группы, в которой находится сам. При этом он одновременно как пользователь является и пользователем этой же группы. Т.е. на его трафик считается на эту группу и на него действуют ограничения этой группы. Такой принцип размещения администраторов является удобным, понятным и удовлетворяет большинству реальных ситуаций. В редких случаях, как правило, в крупных предприятиях и, как правило, для корневых администраторов, может потребоваться другие схемы размещения администраторов: 1. Необходимо, чтобы администратор как пользователь находился в какой-то конкретной группе пользователей своего отдела. И при этом мог управлять, например, всеми пользователями или всей вышележащей группой. Такую ситуацию можно решить так: Для таких администраторов создать два логина: * Один, как для пользователя в той группе где он должен находиться как пользователь. Под этим логином он будет устанавливать VPN-соединение и работать в Интернет. * И второй как для администратора, в корне той группы, которой он должен управлять. Установить для него ограничение доступа. Т.е. с этим логином он не сможет выходить в Интернет, и будет использовать его только для работы с БД. Для удобства работы, у первого логина установить один из административных признаков. Т.к. для работы с Carbon Manager нужно обязательно установить соединение под пользователем являющимся администратором. Тогда для установки VPN-соединения он будет использовать первый логин, а для подключения к БД второй. 2. Администратор должен управлять группами пользователей находящихся в разных местах дерева. Для этого: * Как и в предыдущем случае, создать по отдельному логину в каждой группе пользователей с ограничением доступа, или * Что более удобно, поместить такие группы в одну группу верхнего уровня. h2. Создание администраторов и их права |
Администратор может управлять только пользователями группы, в которой находится сам, а также всеми подгруппами этой группы, может создавать других администраторов в пределах своей группы. Это распространяется на все элементы интерфейса ACP Carbon Manager. В дереве пользователей, в мониторе и в аудите событий отображаются только "свои" пользователи. |
Различают администраторов *технических* и *финансовых*, управляющих соответственно техническими или финансовыми параметрами пользователей в пределах своей группы. Один администратор одновременно может являться техническим и финансовым. Такая структура позволяет сделать управление системой гибкой и в тоже время удобной: передавать управление нижележащим группам, делить администраторов на технических и финансовых. Особенно это относится к крупным предприятиям, в небольших предприятиях обычно достаточно одного администратора. |
... |
2. Установите у этого пользователя признаки: |
!image068.png! *Администратор технический* - |
|
!image068.png! *Администратор финансовый* |
Этот администратор управляет всеми техническими полями. Права на изменение полей пользователя во вкладке "Информация": \- Абонент \- Логин \- Пароль \- mac \- switch IP \- switch Vlan \- switch port \- opt 82 \- Пул \- IP \- NAS \- isNAT \- тип авторизации \- HOST IP |
|
!image068.png! *Администратор карт оплаты* |
Права на изменение флагов: \- Отключить и запретить вход \- включить почту \- переадресовать почту \- разрешить переподключение \- разрешить VPN из Интернет \- порог предупреждения |
|
!image068.png! *Администратор только для чтения* |
Также есть права на создание пользователей, изменение всех реквизитов пользователя и просмотр разделов "Монитор", "Тарифы", "Аудит". |
|
!image068.png! *Администратор абонентов, все поля* |
|
!image068.png! *Администратор главный, все права* |
!image068.png! *Администратор финансовый* - Этот тип администраторов, у которых есть права для внесения оплаты. Доступны все финансовые операции, аудит, просмотр тарифных планов и монитор. Возможно исправление следующих полей: \- Номер договора \- Порог предупреждения \- Порог отключения \- абон. плата (переопределение) \- Формирование акта, период \- Формирование акта, дата \- подключение доп. услуг Также доступны все функции на вкладке Операции. !image068.png! *Администратор карт оплаты* - Данный тип администраторов может только создавать серии карт оплаты. Для этого необходимо выбрать в пункте меню Вид \-> Карты оплаты. !image068.png! *Администратор только для чтения* - Данному администратору доступны для просмотра все пункты только для чтения, без изменений. !image068.png! *Администратор абонентов, все поля* - На вкладке "Информация" может изменять все параметры абонентов. !image068.png! *Администратор главный, все права* - Имеет те же права, что и главный администратор, но его можно назначить в определенной группе. |
*Замечания:* 1. Некоторыми параметрами системы может управлять только *Главный администратор*: |
... |
*Комментарий* -- пояснение что было изменено/создано. *Хозяин* -- пользователь, который произвел действие. |
h2. Удаленное подключение Свойство пользователя *Разрешить VPN из Интернет* означает возможность пользователя подключиться к внешнему адресу Carbon Billing, например из дома или командировки. По умолчанию все пользователи подключаются ко внутреннему адресу. Возможность пользователя подключиться к внешнему адресу позволяет подключаться к внутренней сети предприятия через защищенное соединение. Для дополнительной защиты сети предприятия разрешать удаленное подключение нужно только пользователям, которым это действительно необходимо. *Замечания:* \- Свойство *Разрешить удаленное подключение* устанавливается отдельно для каждого пользователя. \- На возможность администратора группы устанавливать своим пользователям это разрешение влияют соответствующие установки в свойствах группы. \- В Carbon Billing есть глобальный параметр, устанавливаемый в локальной консоли сервера "*Меню->Конфигурирование сервера{*}*\->*{*}Безопасность->Разрешить VPN-соединения из Интернет*". В случае, если он не установлен, то ко внешнему адресу нельзя подключиться по VPN. По умолчанию этот параметр не установлен. Поэтому при использовании этой возможности, нужно включить эту настройку. {color:#ff0000}{*}Примечание:*{color} {color:#000000}{*}За удаленное подключение по VPN в последних версиях отвечает только пункт в локальной консоли.*{color} *ОСОБЕННОСТИ РАБОТЫ* Для использования удаленного подключения, нужно обратить внимание на следующие особенности, и по возможности информировать о них пользователей. 1. При удаленном подключении используется внешний (реальный) IP-адрес Carbon Billing. В то время как для обычного подключения из сети предприятия, как правило, используется внутренний IP-адрес Carbon Billing. Поэтому пользователям нужно сообщить внешний IP-адрес, а также уточнить, что уже настроенное соединение для работы из сети предприятия, например, на ноутбуке, не будет работать извне. Файл автоматической настройки соединения, находящийся в Личном Кабинете, также настраивает соединение для работы только с внутренним IP-адресом. 2. ACP пользователя содержит инструкции по настройке VPN-соединения. При этом ACP пользователя по умолчанию закрыт от доступа извне. Поэтому если пользователю придется настраивать VPN-соединение вручную, то у него могут возникнуть затруднения. В этом случае, ему следует помочь настроить соединение или заранее скачать инструкцию по настройке VPN-соединения в виде файла с ACPа. 3. При удаленном подключении, трафик, который пользователь генерирует на сервер, считается не для этого пользователя, а для системного пользователя "Внешний интерфейс сервера". Для таких внешних пользователей, можно создать специальный тарифный план и установить стоимость исходящего трафика равную стоимости входящего трафика для пользователя "Внешний интерфейс сервера". |