{toc}
h1. Настройки платформы
* Откройте "*Настройки платформы*"
\\
\\ !security.png|border=0,width=800!\\
h2. Ограничение доступа к веб-интерфейсу и SSH
\\
* Заполните список доверенных IP-адресов и подсетей и включите опцию ограничения доступа.
{tip}Для оперативного оказания техподдержки, а так же возможности реагирования на критические оповещения системы мониторинга, рекомендуется оставить включенным доступ сотрудникам Carbon Soft.{tip}
!security1.png|border=0,width=800!\\
\\
h3. IP адреса/сети администратора/операторов
Список сетей и адресов с которых разрешен доступ к серверу в фаерволе:
* Можно указывать отдельные адреса: 10.20.30.40
* Можно указывать подсети: 10.20.30.0/24
* Элементы списка разделяются пробелом: "192.168.1.10 10.20.30.0/24"
Если список пуст — доступ открыт по всем адресам.
Если задать в списке какие-либо адреса, ограничится доступ по SSH.
При включении опции "Разрешить доступ на порт авторизации только с ip адресов администраторов/менеджеров" доступ так же будет ограничен и по Web
h3. Разрешить доступ на порт авторизации только с ip адресов администраторов/менеджеров
Ограничивает доступ на Web-интерфейс по IP; адреса перечисляются в поле "IP адреса/сети администратора/операторов"
h3. Разрешить доступ на сервер сотрудникам CarbonSoft
Простой способ дать доступ на сервер по SSH и Web сотрудникам CarbonSoft, чтобы не актуализировать их в поле "IP адреса/сети администратора/операторов"
h1. Настройка администраторов
Необходимо зайти в веб-интерфейс администратора Carbon Billing 5, Base и выбрать *Управление администраторами*. Мы видим учетные записи, которые заведены по умолчанию, и группы, в которых они состоят.
!pr1.JPG|border=1!
{anchor:useradd}
h2. Создание пользователя
Заводим логин, пароль и выбираем группу, к которой будет принадлежать этот пользователь.
!pr2.JPG|border=1!
{anchor:groupadd}
h2. Создание группы
В списке пользователей нажимаем ГРУППЫ \[ИЗМЕНЕНИЕ ГРУПП\], Создать группу.
!pr3.JPG|border=1!
Для того чтобы появилась возможность настраивать права доступа у групп, необходимо добавить в нее хотябы одну учетную запись.
Для того чтобы у пользователей группы был доступ в "Управление абонентами" необходимо добавить имя группы в настройках доступа биллинга.
Настройки > Настройки (в файле) > Управление абонентами и тарифами > access_groups
{info}
Группа будет доступна для редактирования только после того, как будет произведен первый вход под администратором из этой группы в панель управления абонентами
{info}
После этого выполните в терминале команду.
{code}/app/auth/service restart{code}
h2. Настройка доступа групп
Необходимо зайти в веб-интерфейс администратора Carbon Billing 5, раздел *Настройки* и выбрать *Настройки прав доступа*. !pr4.JPG|border=1!
{anchor:grouppermissionsmodels}
h2. Настройка прав доступа групп к моделям
Предназначены для настройки прав групп пользователей для взаимодействия с определенным функционалом системы.
Например: Требуется настроить запрет на создание *"Услуг"* группой _"manager"_.
Для этого необходимо отключить права +«Разрешено добавление»+ к модели *«tarifs» - «Услуги/Бонусы» - «Услуги»* в "Настройках прав доступа групп к моделям".
!Permission_model_for_group.png|width=900,border=1!
При попытке добавления *"Услуги"* пользователем, входящим в указанную группу, появится сообщение:
!Permission_model_for_group_2.png|width=900,border=1!
Примечание: Модель "Сервис" доступна только для группы root.
{anchor:grouppermissionssubscribers}
h2. Настройка прав доступа к абонентам
Доступ к папкам в дереве абонентов можно настроить в области "*Настройка прав доступа к абонентам*".
Чтобы администратор имел доступ к определенной папке, у него должен быть настроен также и ко всем вышестоящим папкам в иерархии.
При сохранении права настраиваются каскадно - разрешения установленные на папке применяются так же на все вложенные папки.
Чтобы забрать права на одну из вложенных папок, но оставить на все прочие, достаточно снять с неё доступ и не изменять права вышестоящих папок.
!permissions_folder_main.png|border=1,width=600!
Рассмотрим настройку прав групп на примерах.
h3. Дать доступ к папке и всем вложенным папкам
Дадим группе *manager* доступ к группе "*Тестовые абоненты*", для этого нажмите на метке рядом с названием группы и нажмите "*Сохранить*"
!permissions_folder_add.png|border=1!
После сохранения доступ будет предоставлен так же и всем папкам вложенным в "Тестовые абоненты"
!permissions_folder_added.png|border=1!
h3. Дать доступ к папке и всем вложенным папкам кроме одной
Если доступ в родительскую папку настроен, достаточно снять метку рядом с названием папки в которую группа *manager* не должна иметь доступа. Сняв метку с группы нажмите "*Сохранить*" под списком папок.
!permissions_folder_taken.png|border=1!
h3. Исправить доступ ко вложенным папкам - снова разрешить ко всем
Если в родительской папке снят доступ на некоторые вложенные папки, быстро вернуть к ним разрешения Вы можете воспользовавшись каскадным применением прав.
Для этого снимите доступ у родительской папки и нажмите "*Сохранить*"
!permissions_folder_cascade_fix.png|border=1!
Когда доступ к папке и всем вложенным папкам будет очищен, выполните действия из раздела "*Дать доступ к папке и всем вложенным папкам*"
h3. Установить доступ только к определённым каталогам для [второго провайдера|CarbonBilling:Агентские схемы и ведение филиалов]
Вы подключаете второго оператора и сделали ему свою структуру папок. Администраторам второго провайдера нужно настроить доступ к папке "Все", так как это обязательно, и папкам только этого оператора.
Сделайте следующее:
# Настройте группе доступ на папку "Все" и сохраните
# На "втором" уровне иерархии, снимите доступ со всех папок, кроме ветки второго оператора.
# Сохраните
!Права доступа к папкам абонентов для творого оператора.gif|border=0,width=250!
h1. Настройки платформы
* Откройте "*Настройки платформы*"
\\
\\ !security.png|border=0,width=800!\\
h2. Ограничение доступа к веб-интерфейсу и SSH
\\
* Заполните список доверенных IP-адресов и подсетей и включите опцию ограничения доступа.
{tip}Для оперативного оказания техподдержки, а так же возможности реагирования на критические оповещения системы мониторинга, рекомендуется оставить включенным доступ сотрудникам Carbon Soft.{tip}
!security1.png|border=0,width=800!\\
\\
h3. IP адреса/сети администратора/операторов
Список сетей и адресов с которых разрешен доступ к серверу в фаерволе:
* Можно указывать отдельные адреса: 10.20.30.40
* Можно указывать подсети: 10.20.30.0/24
* Элементы списка разделяются пробелом: "192.168.1.10 10.20.30.0/24"
Если список пуст — доступ открыт по всем адресам.
Если задать в списке какие-либо адреса, ограничится доступ по SSH.
При включении опции "Разрешить доступ на порт авторизации только с ip адресов администраторов/менеджеров" доступ так же будет ограничен и по Web
h3. Разрешить доступ на порт авторизации только с ip адресов администраторов/менеджеров
Ограничивает доступ на Web-интерфейс по IP; адреса перечисляются в поле "IP адреса/сети администратора/операторов"
h3. Разрешить доступ на сервер сотрудникам CarbonSoft
Простой способ дать доступ на сервер по SSH и Web сотрудникам CarbonSoft, чтобы не актуализировать их в поле "IP адреса/сети администратора/операторов"
h1. Настройка администраторов
Необходимо зайти в веб-интерфейс администратора Carbon Billing 5, Base и выбрать *Управление администраторами*. Мы видим учетные записи, которые заведены по умолчанию, и группы, в которых они состоят.
!pr1.JPG|border=1!
{anchor:useradd}
h2. Создание пользователя
Заводим логин, пароль и выбираем группу, к которой будет принадлежать этот пользователь.
!pr2.JPG|border=1!
{anchor:groupadd}
h2. Создание группы
В списке пользователей нажимаем ГРУППЫ \[ИЗМЕНЕНИЕ ГРУПП\], Создать группу.
!pr3.JPG|border=1!
Для того чтобы появилась возможность настраивать права доступа у групп, необходимо добавить в нее хотябы одну учетную запись.
Для того чтобы у пользователей группы был доступ в "Управление абонентами" необходимо добавить имя группы в настройках доступа биллинга.
Настройки > Настройки (в файле) > Управление абонентами и тарифами > access_groups
{info}
Группа будет доступна для редактирования только после того, как будет произведен первый вход под администратором из этой группы в панель управления абонентами
{info}
После этого выполните в терминале команду.
{code}/app/auth/service restart{code}
h2. Настройка доступа групп
Необходимо зайти в веб-интерфейс администратора Carbon Billing 5, раздел *Настройки* и выбрать *Настройки прав доступа*. !pr4.JPG|border=1!
{anchor:grouppermissionsmodels}
h2. Настройка прав доступа групп к моделям
Предназначены для настройки прав групп пользователей для взаимодействия с определенным функционалом системы.
Например: Требуется настроить запрет на создание *"Услуг"* группой _"manager"_.
Для этого необходимо отключить права +«Разрешено добавление»+ к модели *«tarifs» - «Услуги/Бонусы» - «Услуги»* в "Настройках прав доступа групп к моделям".
!Permission_model_for_group.png|width=900,border=1!
При попытке добавления *"Услуги"* пользователем, входящим в указанную группу, появится сообщение:
!Permission_model_for_group_2.png|width=900,border=1!
Примечание: Модель "Сервис" доступна только для группы root.
{anchor:grouppermissionssubscribers}
h2. Настройка прав доступа к абонентам
Доступ к папкам в дереве абонентов можно настроить в области "*Настройка прав доступа к абонентам*".
Чтобы администратор имел доступ к определенной папке, у него должен быть настроен также и ко всем вышестоящим папкам в иерархии.
При сохранении права настраиваются каскадно - разрешения установленные на папке применяются так же на все вложенные папки.
Чтобы забрать права на одну из вложенных папок, но оставить на все прочие, достаточно снять с неё доступ и не изменять права вышестоящих папок.
!permissions_folder_main.png|border=1,width=600!
Рассмотрим настройку прав групп на примерах.
h3. Дать доступ к папке и всем вложенным папкам
Дадим группе *manager* доступ к группе "*Тестовые абоненты*", для этого нажмите на метке рядом с названием группы и нажмите "*Сохранить*"
!permissions_folder_add.png|border=1!
После сохранения доступ будет предоставлен так же и всем папкам вложенным в "Тестовые абоненты"
!permissions_folder_added.png|border=1!
h3. Дать доступ к папке и всем вложенным папкам кроме одной
Если доступ в родительскую папку настроен, достаточно снять метку рядом с названием папки в которую группа *manager* не должна иметь доступа. Сняв метку с группы нажмите "*Сохранить*" под списком папок.
!permissions_folder_taken.png|border=1!
h3. Исправить доступ ко вложенным папкам - снова разрешить ко всем
Если в родительской папке снят доступ на некоторые вложенные папки, быстро вернуть к ним разрешения Вы можете воспользовавшись каскадным применением прав.
Для этого снимите доступ у родительской папки и нажмите "*Сохранить*"
!permissions_folder_cascade_fix.png|border=1!
Когда доступ к папке и всем вложенным папкам будет очищен, выполните действия из раздела "*Дать доступ к папке и всем вложенным папкам*"
h3. Установить доступ только к определённым каталогам для [второго провайдера|CarbonBilling:Агентские схемы и ведение филиалов]
Вы подключаете второго оператора и сделали ему свою структуру папок. Администраторам второго провайдера нужно настроить доступ к папке "Все", так как это обязательно, и папкам только этого оператора.
Сделайте следующее:
# Настройте группе доступ на папку "Все" и сохраните
# На "втором" уровне иерархии, снимите доступ со всех папок, кроме ветки второго оператора.
# Сохраните
!Права доступа к папкам абонентов для творого оператора.gif|border=0,width=250!