|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (41)
просмотр истории страницы| {toc} |
| h1. Настройка прав доступа к веб-интерфейсу и ssh |
| h1. Настройки платформы |
| |
| Для настройки прав доступа к веб-интерфейсу ив ssh (с какого IP можно подключаться) нужно зайти в Настройки платформы |
| |
| !security.png|border=1! |
| * Откройте "*Настройки платформы*" \\ \\ !security.png|border=0,width=800!\\ |
| |
| * *IP адреса/сети администратора/операторов* Укажите через пробел IP-адреса и/или подсети с которых будет осуществляться доступ по ssh. |
| h2. Ограничение доступа к веб-интерфейсу и SSH |
| {panel} \\ |
| 1.1.1.1 2.2.2.2/32 3.3.3.3/30 |
| * Заполните список доверенных IP-адресов и подсетей и включите опцию ограничения доступа. {tip}Для оперативного оказания техподдержки, а так же возможности реагирования на критические оповещения системы мониторинга, рекомендуется оставить включенным доступ сотрудникам Carbon Soft.{tip} !security1.png|border=0,width=800!\\ |
| {panel} \\ |
| * *Разрешить доступ на порт авторизации только с ip адресов администраторов/менеджеров* Ограничивает доступ на веб-интерфейс авторизации. Список адресов указывается в поле "IP адреса/сети администратора/операторов". * *Разрешить доступ на сервер сотрудникам CarbonSoft* Включает доступ на web и ssh адресам техподдержки CarbonSoft. |
| |
| Установите вышеописанные настройки безопасности. Рекомендуется установить как обе галочки, так и указать ip-адреса администраторов. |
| h3. IP адреса/сети администратора/операторов |
| |
| Список сетей и адресов с которых разрешен доступ к серверу в фаерволе: * Можно указывать отдельные адреса: 10.20.30.40 * Можно указывать подсети: 10.20.30.0/24 * Элементы списка разделяются пробелом: "192.168.1.10 10.20.30.0/24" |
| |
| Если список пуст — доступ открыт по всем адресам. Если задать в списке какие-либо адреса, ограничится доступ по SSH. При включении опции "Разрешить доступ на порт авторизации только с ip адресов администраторов/менеджеров" доступ так же будет ограничен и по Web |
| |
| !security1.png|border=1! |
| h3. Разрешить доступ на порт авторизации только с ip адресов администраторов/менеджеров |
| |
| {color:#000000}{*}Права доступа{*}{color} |
| Ограничивает доступ на Web-интерфейс по IP; адреса перечисляются в поле "IP адреса/сети администратора/операторов" |
| |
| h3. Разрешить доступ на сервер сотрудникам CarbonSoft Простой способ дать доступ на сервер по SSH и Web сотрудникам CarbonSoft, чтобы не актуализировать их в поле "IP адреса/сети администратора/операторов" h1. Настройка администраторов |
| Необходимо зайти в веб-интерфейс администратора Carbon Billing 5, Base и выбрать *Управление администраторами*. Мы видим учетные записи, которые заведены по умолчанию, и группы, в которых они состоят. |
... |
| {anchor:useradd} |
| h1. Создание пользователя |
| |
| h2. Создание пользователя |
| Заводим логин, пароль и выбираем группу, к которой будет принадлежать этот пользователь. |
... |
| {anchor:groupadd} |
| h1. Создание группы |
| |
| h2. Создание группы |
| В списке пользователей нажимаем ГРУППЫ \[ИЗМЕНЕНИЕ ГРУПП\], Создать группу. |
... |
| Для того чтобы появилась возможность настраивать права доступа у групп, необходимо добавить в нее хотябы одну учетную запись. |
| h1. Настройка доступа групп |
| Для того чтобы у пользователей группы был доступ в "Управление абонентами" необходимо добавить имя группы в настройках доступа биллинга. |
| |
| Настройки > Настройки (в файле) > Управление абонентами и тарифами > access_groups {info} Группа будет доступна для редактирования только после того, как будет произведен первый вход под администратором из этой группы в панель управления абонентами {info} После этого выполните в терминале команду. {code}/app/auth/service restart{code} h2. Настройка доступа групп |
| Необходимо зайти в веб-интерфейс администратора Carbon Billing 5, раздел *Настройки* и выбрать *Настройки прав доступа*. !pr4.JPG|border=1! {anchor:grouppermissionsmodels} |
| h2. Настройка прав доступа групп к моделям. |
| |
| Обеспечивает настройку определенной группы к функционалу. {note:title=Создание абонентов не администраторами}Если при создании абонента пользователем, не состоящим в группе root, появляется сообщение {quote}Пользователь Carbon попытался изменить таблицу Счета. Недостаточно прав\!{quote} убедитесь что выставлены права на в модели *dictionary* \-> *Валюты* \-> *Счета*. Требуются права на Чтение/Добавление/Изменение. {note} |
| h2. Настройка прав доступа групп к моделям |
| |
| Например: ограничим группе manager доступ к аудиту. |
| Предназначены для настройки прав групп пользователей для взаимодействия с определенным функционалом системы. |
| |
| !pr5.JPG|border=1! |
| Например: Требуется настроить запрет на создание *"Услуг"* группой _"manager"_. |
| |
| Для этого необходимо отключить права +«Разрешено добавление»+ к модели *«tarifs» - «Услуги/Бонусы» - «Услуги»* в "Настройках прав доступа групп к моделям". !Permission_model_for_group.png|width=900,border=1! {info} Модель "Сервис" доступна только для группы root. {info} При попытке добавления *"Услуги"* пользователем, входящим в указанную группу, появится сообщение: !Permission_model_for_group_2.png|width=900,border=1! |
| {anchor:grouppermissionssubscribers} |
| |
| h2. Настройка прав доступа к абонентам |
| Это так называемая агентская схема, предназначенная для того, чтобы конкретная группа могла иметь доступ только к определенной группе пользователей. Например: сделаем, чтобы группа manager имела доступ только к группе пользователей VIP. |
| Доступ к папкам в дереве абонентов можно настроить в области "*Настройка прав доступа к абонентам*". |
| |
| !pr6.JPG|border=1! |
| Чтобы администратор имел доступ к определенной папке, у него должен быть настроен также и ко всем вышестоящим папкам в иерархии. При сохранении права настраиваются каскадно - разрешения установленные на папке применяются так же на все вложенные папки. Чтобы забрать права на одну из вложенных папок, но оставить на все прочие, достаточно снять с неё доступ и не изменять права вышестоящих папок. !permissions_folder_main.png|border=1,width=600! Рассмотрим настройку прав групп на примерах. h3. Дать доступ к папке и всем вложенным папкам Дадим группе *manager* доступ к группе "*Тестовые абоненты*", для этого нажмите на метке рядом с названием группы и нажмите "*Сохранить*" !permissions_folder_add.png|border=1! После сохранения доступ будет предоставлен так же и всем папкам вложенным в "Тестовые абоненты" !permissions_folder_added.png|border=1! h3. Дать доступ к папке и всем вложенным папкам кроме одной Если доступ в родительскую папку настроен, достаточно снять метку рядом с названием папки в которую группа *manager* не должна иметь доступа. Сняв метку с группы нажмите "*Сохранить*" под списком папок. !permissions_folder_taken.png|border=1! h3. Исправить доступ ко вложенным папкам - снова разрешить ко всем Если в родительской папке снят доступ на некоторые вложенные папки, быстро вернуть к ним разрешения Вы можете воспользовавшись каскадным применением прав. Для этого снимите доступ у родительской папки и нажмите "*Сохранить*" !permissions_folder_cascade_fix.png|border=1! Когда доступ к папке и всем вложенным папкам будет очищен, выполните действия из раздела "*Дать доступ к папке и всем вложенным папкам*" h3. Установить доступ только к определённым каталогам для [второго провайдера|CarbonBilling:Агентские схемы и ведение филиалов] Вы подключаете второго оператора и сделали ему свою структуру папок. Администраторам второго провайдера нужно настроить доступ к папке "Все", так как это обязательно, и папкам только этого оператора. Сделайте следующее: # Настройте группе доступ на папку "Все" и сохраните # На "втором" уровне иерархии, снимите доступ со всех папок, кроме ветки второго оператора. # Сохраните !Права доступа к папкам абонентов для творого оператора.gif|border=0,width=250! |