|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (8)
просмотр истории страницы*Администратор* -- пользователь, имеющий право управлять Ideco ACP через Ideco ACP Manager. |
*Администратор* -- пользователь, имеющий право управлять Carbon Billing через Carbon Manager. |
Всегда есть пользователь *Главный администратор*. Главный администратор имеет полные права, может создавать других администраторов для отдельных групп (Администраторов групп). *Главный администратор* может быть только один и не может быть удален. По умолчанию, логин -- *Administrator*, пароль -- *servicemode*. h2. Расположение администраторов в дереве пользователей |
В системе Ideco АСР Carbon Billing заложен принцип, что администратор может управлять всеми пользователями и подгруппами группы, в которой находится сам. При этом он одновременно как пользователь является и пользователем этой же группы. Т.е. на его трафик считается на эту группу и на него действуют ограничения этой группы. |
Такой принцип размещения администраторов является удобным, понятным и удовлетворяет большинству реальных ситуаций. В редких случаях, как правило, в крупных предприятиях и, как правило, для корневых администраторов, может потребоваться другие схемы размещения администраторов: 1. Необходимо, чтобы администратор как пользователь находился в какой-то конкретной группе пользователей своего отдела. И при этом мог управлять, например, всеми пользователями или всей вышележащей группой. |
... |
* И второй как для администратора, в корне той группы, которой он должен управлять. Установить для него ограничение доступа. Т.е. с этим логином он не сможет выходить в Интернет, и будет использовать его только для работы с БД. |
Для удобства работы, у первого логина установить один из административных признаков. Т.к. для работы с Ideco АСР Carbon Manager нужно обязательно установить соединение под пользователем являющимся администратором. Тогда для установки VPN-соединения он будет использовать первый логин, а для подключения к БД второй. |
2. Администратор должен управлять группами пользователей находящихся в разных местах дерева. Для этого: * Как и в предыдущем случае, создать по отдельному логину в каждой группе пользователей с ограничением доступа, или |
... |
h2. Создание администраторов и их права |
Администратор может управлять только пользователями группы, в которой находится сам, а также всеми подгруппами этой группы, может создавать других администраторов в пределах своей группы. Это распространяется на все элементы интерфейса ACP Carbon Manager. В дереве пользователей, в мониторе и в аудите событий отображаются только "свои" пользователи. |
Различают администраторов *технических* и *финансовых*, управляющих соответственно техническими или финансовыми параметрами пользователей в пределах своей группы. Один администратор одновременно может являться техническим и финансовым. Такая структура позволяет сделать управление системой гибкой и в тоже время удобной: передавать управление нижележащим группам, делить администраторов на технических и финансовых. Особенно это относится к крупным предприятиям, в небольших предприятиях обычно достаточно одного администратора. |
... |
h2. Удаленное подключение |
Свойство пользователя *Разрешить VPN из Интернет* означает возможность пользователя подключиться к внешнему адресу Ideco ACP, Carbon Billing, например из дома или командировки. По умолчанию все пользователи подключаются ко внутреннему адресу. |
Возможность пользователя подключиться к внешнему адресу позволяет подключаться к внутренней сети предприятия через защищенное соединение. Для дополнительной защиты сети предприятия разрешать удаленное подключение нужно только пользователям, которым это действительно необходимо. |
... |
\- Свойство *Разрешить удаленное подключение* устанавливается отдельно для каждого пользователя. \- На возможность администратора группы устанавливать своим пользователям это разрешение влияют соответствующие установки в свойствах группы. |
\- В Ideco ACP Carbon Billing есть глобальный параметр, устанавливаемый в локальной консоли сервера "*Меню->Конфигурирование сервера{*}*\->*{*}Безопасность->Разрешить VPN-соединения из Интернет*". В случае, если он не установлен, то ко внешнему адресу нельзя подключиться по VPN. По умолчанию этот параметр не установлен. Поэтому при использовании этой возможности, нужно включить эту настройку. |
{color:#ff0000}{*}Примечание:*{color} {color:#000000}{*}За удаленное подключение по VPN в последних версиях отвечает только пункт в локальной консоли.*{color} |
... |
Для использования удаленного подключения, нужно обратить внимание на следующие особенности, и по возможности информировать о них пользователей. |
1. При удаленном подключении используется внешний (реальный) IP-адрес Ideco ACP. Carbon Billing. В то время как для обычного подключения из сети предприятия, как правило, используется внутренний IP-адрес Ideco ACP. Carbon Billing. Поэтому пользователям нужно сообщить внешний IP-адрес, а также уточнить, что уже настроенное соединение для работы из сети предприятия, например, на ноутбуке, не будет работать извне. Файл автоматической настройки соединения, находящийся в Личном Кабинете, также настраивает соединение для работы только с внутренним IP-адресом. |
2. ACP пользователя содержит инструкции по настройке VPN-соединения. При этом ACP пользователя по умолчанию закрыт от доступа извне. Поэтому если пользователю придется настраивать VPN-соединение вручную, то у него могут возникнуть затруднения. В этом случае, ему следует помочь настроить соединение или заранее скачать инструкцию по настройке VPN-соединения в виде файла с ACPа. 3. При удаленном подключении, трафик, который пользователь генерирует на сервер, считается не для этого пользователя, а для системного пользователя "Внешний интерфейс сервера". Для таких внешних пользователей, можно создать специальный тарифный план и установить стоимость исходящего трафика равную стоимости входящего трафика для пользователя "Внешний интерфейс сервера". |