... *Администратор* -- пользователь, имеющий право управлять Carbon Billing через Carbon Manager. Всегда есть пользователь *Главный администратор*. Главный администратор имеет полные права, может создавать других администраторов для отдельных групп (Администраторов групп). *Главный администратор* может быть только один и не может быть удален. По умолчанию, логин -- *Administrator*, пароль -- *servicemode*. h2. Расположение администраторов в дереве пользователей В системе Carbon Billing заложен принцип, что администратор может управлять всеми пользователями и подгруппами группы, в которой находится сам. При этом он одновременно как пользователь является и пользователем этой же группы. Т.е. на его трафик считается на эту группу и на него действуют ограничения этой группы. Такой принцип размещения администраторов является удобным, понятным и удовлетворяет большинству реальных ситуаций. В редких случаях, как правило, в крупных предприятиях и, как правило, для корневых администраторов, может потребоваться другие схемы размещения администраторов: 1. Необходимо, чтобы администратор как пользователь находился в какой-то конкретной группе пользователей своего отдела. И при этом мог управлять, например, всеми пользователями или всей вышележащей группой. Такую ситуацию можно решить так: Для таких администраторов создать два логина: * Один, как для пользователя в той группе где он должен находиться как пользователь. Под этим логином он будет устанавливать VPN-соединение и работать в Интернет. * И второй как для администратора, в корне той группы, которой он должен управлять. Установить для него ограничение доступа. Т.е. с этим логином он не сможет выходить в Интернет, и будет использовать его только для работы с БД. Для удобства работы, у первого логина установить один из административных признаков. Т.к. для работы с Carbon Manager нужно обязательно установить соединение под пользователем являющимся администратором. Тогда для установки VPN-соединения он будет использовать первый логин, а для подключения к БД второй. 2. Администратор должен управлять группами пользователей находящихся в разных местах дерева. Для этого: * Как и в предыдущем случае, создать по отдельному логину в каждой группе пользователей с ограничением доступа, или * Что более удобно, поместить такие группы в одну группу верхнего уровня. h2. Создание администраторов и их права Администратор может управлять только пользователями группы, в которой находится сам, а также всеми подгруппами этой группы, может создавать других администраторов в пределах своей группы. Это распространяется на все элементы интерфейса Carbon Manager. В дереве пользователей, в мониторе и в аудите событий отображаются только "свои" пользователи. Различают администраторов *технических* и *финансовых*, управляющих соответственно техническими или финансовыми параметрами пользователей в пределах своей группы. Один администратор одновременно может являться техническим и финансовым. Такая структура позволяет сделать управление системой гибкой и в тоже время удобной: передавать управление нижележащим группам, делить администраторов на технических и финансовых. Особенно это относится к крупным предприятиям, в небольших предприятиях обычно достаточно одного администратора. Для того чтобы создать администратора: 1. Создайте обычного пользователя. 2. Установите у этого пользователя признаки: !image068.png! *Администратор технический* - Этот администратор управляет всеми техническими полями. Права на изменение полей пользователя во вкладке "Информация": \- Абонент \- Логин \- Пароль \- e-mail \- mac \- switch IP \- switch Vlan \- switch port \- opt 82 \- Пул \- IP \- NAS \- isNAT \- тип авторизации \- HOST IP Права на изменение флагов: \- Отключить и запретить вход \- включить почту \- переадресовать почту \- разрешить переподключение \- разрешить VPN из Интернет \- порог предупреждения Также есть права на создание пользователей, изменение всех реквизитов пользователя и просмотр разделов "Монитор", "Тарифы", "Аудит". !image068.png! *Администратор финансовый* - Этот тип администраторов, у которых есть права для внесения оплаты. Доступны все финансовые операции, аудит, просмотр тарифных планов и монитор. Возможно исправление следующих полей: \- Номер договора \- Порог предупреждения \- Порог отключения \- абон. плата (переопределение) \- Формирование акта, период \- Формирование акта, дата \- подключение доп. услуг Также доступны все функции на вкладке Операции. !image068.png! *Администратор карт оплаты* - Данный тип администраторов может только создавать серии карт оплаты. Для этого необходимо выбрать в пункте меню Вид \-> Карты оплаты. !image068.png! *Администратор только для чтения* - Данному администратору доступны для просмотра все пункты только для чтения, без изменений. !image068.png! *Администратор абонентов, все поля* - На вкладке "Информация" может изменять все параметры абонентов. !image068.png! *Администратор главный, все права* - Имеет те же права, что и главный администратор, но его можно назначить в определенной группе. *Замечания:* 1. Некоторыми параметрами системы может управлять только *Главный администратор*: * Редактировать пулы IP-адресов. * Редактировать тарифные планы. * Переопределять вручную пользователю IP-адрес, пул, адрес NAT. 2. Администраторы, находящиеся в корневой группе, в отличие от администраторов других групп, имеют дополнительные права: * Возможность смены тарифного плана пользователя. * В случае необходимости могут вручную исправлять баланс пользователей и групп с использованием кнопки *Исправить баланс* на закладке *Операции*. 3. Все администраторы, кроме *Главного администратора*: * Не могут изменять параметры группы, в которой находятся сами. * Не могут изменять администраторов одного уровня с собой, то есть находящихся непосредственно в этой же группе. * Не могут создавать администраторов одного с собой уровня, если этот уровень в дереве расположен до группы с признаком *финансовая*. Это дополнительное разграничение полномочий, так как такие администраторы могут создавать финансовые группы. 4. Действия администраторов журналируются. Просмотреть их можно в разделе *Аудит событий*. !worddav1a00a8e7a1b35545d511c122cc9308e7.png|height=278,width=402! Для просмотра событий нажмите на панели быстрого запуска кнопку *Аудит событий*. Для вывода конкретных типов событий можно использовать фильтр: по дате, по типу, по администратору. По каждому событию фиксируются следующие параметры: *Дата* -- дата и время изменения БД *Событие* -- тип события: редактирование пользователя, редактирование тарифных планов и т.д. *Комментарий* -- пояснение что было изменено/создано. *Хозяин* -- пользователь, который произвел действие. h2. Удаленное подключение Свойство пользователя *Разрешить VPN из Интернет* означает возможность пользователя подключиться к внешнему адресу Carbon Billing, например из дома или командировки. По умолчанию все пользователи подключаются ко внутреннему адресу. Возможность пользователя подключиться к внешнему адресу позволяет подключаться к внутренней сети предприятия через защищенное соединение. Для дополнительной защиты сети предприятия разрешать удаленное подключение нужно только пользователям, которым это действительно необходимо. *Замечания:* \- Свойство *Разрешить удаленное подключение* устанавливается отдельно для каждого пользователя. \- На возможность администратора группы устанавливать своим пользователям это разрешение влияют соответствующие установки в свойствах группы. \- В Carbon Billing есть глобальный параметр, устанавливаемый в локальной консоли сервера "*Меню->Конфигурирование сервера{*}*\->*{*}Безопасность->Разрешить VPN-соединения из Интернет*". В случае, если он не установлен, то ко внешнему адресу нельзя подключиться по VPN. По умолчанию этот параметр не установлен. Поэтому при использовании этой возможности, нужно включить эту настройку. {color:#ff0000}{*}Примечание:*{color} {color:#000000}{*}За удаленное подключение по VPN в последних версиях отвечает только пункт в локальной консоли.*{color} *ОСОБЕННОСТИ РАБОТЫ* Для использования удаленного подключения, нужно обратить внимание на следующие особенности, и по возможности информировать о них пользователей. 1. При удаленном подключении используется внешний (реальный) IP-адрес Carbon Billing. В то время как для обычного подключения из сети предприятия, как правило, используется внутренний IP-адрес Carbon Billing. Поэтому пользователям нужно сообщить внешний IP-адрес, а также уточнить, что уже настроенное соединение для работы из сети предприятия, например, на ноутбуке, не будет работать извне. Файл автоматической настройки соединения, находящийся в Личном Кабинете, также настраивает соединение для работы только с внутренним IP-адресом. 2. ACP пользователя содержит инструкции по настройке VPN-соединения. При этом ACP пользователя по умолчанию закрыт от доступа извне. Поэтому если пользователю придется настраивать VPN-соединение вручную, то у него могут возникнуть затруднения. В этом случае, ему следует помочь настроить соединение или заранее скачать инструкцию по настройке VPN-соединения в виде файла с ACPа. 3. При удаленном подключении, трафик, который пользователь генерирует на сервер, считается не для этого пользователя, а для системного пользователя "Внешний интерфейс сервера". Для таких внешних пользователей, можно создать специальный тарифный план и установить стоимость исходящего трафика равную стоимости входящего трафика для пользователя "Внешний интерфейс сервера".
|