*Администратор* -- пользователь, имеющий право управлять Carbon Billing через Carbon Manager.
Всегда есть пользователь *Главный администратор*. Главный администратор имеет полные права, может создавать других администраторов для отдельных групп (Администраторов групп). *Главный администратор* может быть только один и не может быть удален. По умолчанию, логин -- *Administrator*, пароль -- *servicemode*.
h2. Расположение администраторов в дереве пользователей
В системе Carbon Billing заложен принцип, что администратор может управлять всеми пользователями и подгруппами группы, в которой находится сам. При этом он одновременно как пользователь является и пользователем этой же группы. Т.е. на его трафик считается на эту группу и на него действуют ограничения этой группы.
Такой принцип размещения администраторов является удобным, понятным и удовлетворяет большинству реальных ситуаций. В редких случаях, как правило, в крупных предприятиях и, как правило, для корневых администраторов, может потребоваться другие схемы размещения администраторов:
1. Необходимо, чтобы администратор как пользователь находился в какой-то конкретной группе пользователей своего отдела. И при этом мог управлять, например, всеми пользователями или всей вышележащей группой.
Такую ситуацию можно решить так:
Для таких администраторов создать два логина:
* Один, как для пользователя в той группе где он должен находиться как пользователь. Под этим логином он будет устанавливать VPN-соединение и работать в Интернет.
* И второй как для администратора, в корне той группы, которой он должен управлять. Установить для него ограничение доступа. Т.е. с этим логином он не сможет выходить в Интернет, и будет использовать его только для работы с БД.
Для удобства работы, у первого логина установить один из административных признаков. Т.к. для работы с Carbon Manager нужно обязательно установить соединение под пользователем являющимся администратором. Тогда для установки VPN-соединения он будет использовать первый логин, а для подключения к БД второй.
2. Администратор должен управлять группами пользователей находящихся в разных местах дерева. Для этого:
* Как и в предыдущем случае, создать по отдельному логину в каждой группе пользователей с ограничением доступа, или
* Что более удобно, поместить такие группы в одну группу верхнего уровня.
h2. Создание администраторов и их права
Администратор может управлять только пользователями группы, в которой находится сам, а также всеми подгруппами этой группы, может создавать других администраторов в пределах своей группы. Это распространяется на все элементы интерфейса Carbon Manager. В дереве пользователей, в мониторе и в аудите событий отображаются только "свои" пользователи.
Различают администраторов *технических* и *финансовых*, управляющих соответственно техническими или финансовыми параметрами пользователей в пределах своей группы. Один администратор одновременно может являться техническим и финансовым.
Такая структура позволяет сделать управление системой гибкой и в тоже время удобной: передавать управление нижележащим группам, делить администраторов на технических и финансовых. Особенно это относится к крупным предприятиям, в небольших предприятиях обычно достаточно одного администратора.
Для того чтобы создать администратора:
1. Создайте обычного пользователя.
2. Установите у этого пользователя признаки:
!image068.png! *Администратор технический* -
Этот администратор управляет всеми техническими полями. Права на изменение полей пользователя во вкладке "Информация":
\- Абонент
\- Логин
\- Пароль
\- e-mail
\- mac
\- switch IP
\- switch Vlan
\- switch port
\- opt 82
\- Пул
\- IP
\- NAS
\- isNAT
\- тип авторизации
\- HOST IP
Права на изменение флагов:
\- Отключить и запретить вход
\- включить почту
\- переадресовать почту
\- разрешить переподключение
\- разрешить VPN из Интернет
\- порог предупреждения
Также есть права на создание пользователей, изменение всех реквизитов пользователя и просмотр разделов "Монитор", "Тарифы", "Аудит".
!image068.png! *Администратор финансовый* -
Этот тип администраторов, у которых есть права для внесения оплаты. Доступны все финансовые операции, аудит, просмотр тарифных планов и монитор. Возможно исправление следующих полей:
\- Номер договора
\- Порог предупреждения
\- Порог отключения
\- абон. плата (переопределение)
\- Формирование акта, период
\- Формирование акта, дата
\- подключение доп. услуг
Также доступны все функции на вкладке Операции.
!image068.png! *Администратор карт оплаты* - Данный тип администраторов может только создавать серии карт оплаты. Для этого необходимо выбрать в пункте меню Вид \-> Карты оплаты.
!image068.png! *Администратор только для чтения* - Данному администратору доступны для просмотра все пункты только для чтения, без изменений.
!image068.png! *Администратор абонентов, все поля* - На вкладке "Информация" может изменять все параметры абонентов.
!image068.png! *Администратор главный, все права* - Имеет те же права, что и главный администратор, но его можно назначить в определенной группе.
*Замечания:*
1. Некоторыми параметрами системы может управлять только *Главный администратор*:
* Редактировать пулы IP-адресов.
* Редактировать тарифные планы.
* Переопределять вручную пользователю IP-адрес, пул, адрес NAT.
2. Администраторы, находящиеся в корневой группе, в отличие от администраторов других групп, имеют дополнительные права:
* Возможность смены тарифного плана пользователя.
* В случае необходимости могут вручную исправлять баланс пользователей и групп с использованием кнопки *Исправить баланс* на закладке *Операции*.
3. Все администраторы, кроме *Главного администратора*:
* Не могут изменять параметры группы, в которой находятся сами.
* Не могут изменять администраторов одного уровня с собой, то есть находящихся непосредственно в этой же группе.
* Не могут создавать администраторов одного с собой уровня, если этот уровень в дереве расположен до группы с признаком *финансовая*. Это дополнительное разграничение полномочий, так как такие администраторы могут создавать финансовые группы.
4. Действия администраторов журналируются. Просмотреть их можно в разделе *Аудит событий*.
!worddav1a00a8e7a1b35545d511c122cc9308e7.png|height=278,width=402!
Для просмотра событий нажмите на панели быстрого запуска кнопку *Аудит событий*.
Для вывода конкретных типов событий можно использовать фильтр: по дате, по типу, по администратору.
По каждому событию фиксируются следующие параметры:
*Дата* -- дата и время изменения БД
*Событие* -- тип события: редактирование пользователя, редактирование тарифных планов и т.д.
*Комментарий* -- пояснение что было изменено/создано.
*Хозяин* -- пользователь, который произвел действие.
h2. Удаленное подключение
Свойство пользователя *Разрешить VPN из Интернет* означает возможность пользователя подключиться к внешнему адресу Carbon Billing, например из дома или командировки. По умолчанию все пользователи подключаются ко внутреннему адресу.
Возможность пользователя подключиться к внешнему адресу позволяет подключаться к внутренней сети предприятия через защищенное соединение. Для дополнительной защиты сети предприятия разрешать удаленное подключение нужно только пользователям, которым это действительно необходимо.
*Замечания:*
\- Свойство *Разрешить удаленное подключение* устанавливается отдельно для каждого пользователя.
\- На возможность администратора группы устанавливать своим пользователям это разрешение влияют соответствующие установки в свойствах группы.
\- В Carbon Billing есть глобальный параметр, устанавливаемый в локальной консоли сервера "*Меню->Конфигурирование сервера{*}*\->*{*}Безопасность->Разрешить VPN-соединения из Интернет*". В случае, если он не установлен, то ко внешнему адресу нельзя подключиться по VPN. По умолчанию этот параметр не установлен. Поэтому при использовании этой возможности, нужно включить эту настройку.
{color:#ff0000}{*}Примечание:*{color} {color:#000000}{*}За удаленное подключение по VPN в последних версиях отвечает только пункт в локальной консоли.*{color}
*ОСОБЕННОСТИ РАБОТЫ*
Для использования удаленного подключения, нужно обратить внимание на следующие особенности, и по возможности информировать о них пользователей.
1. При удаленном подключении используется внешний (реальный) IP-адрес Carbon Billing. В то время как для обычного подключения из сети предприятия, как правило, используется внутренний IP-адрес Carbon Billing. Поэтому пользователям нужно сообщить внешний IP-адрес, а также уточнить, что уже настроенное соединение для работы из сети предприятия, например, на ноутбуке, не будет работать извне. Файл автоматической настройки соединения, находящийся в Личном Кабинете, также настраивает соединение для работы только с внутренним IP-адресом.
2. ACP пользователя содержит инструкции по настройке VPN-соединения. При этом ACP пользователя по умолчанию закрыт от доступа извне. Поэтому если пользователю придется настраивать VPN-соединение вручную, то у него могут возникнуть затруднения. В этом случае, ему следует помочь настроить соединение или заранее скачать инструкцию по настройке VPN-соединения в виде файла с ACPа.
3. При удаленном подключении, трафик, который пользователь генерирует на сервер, считается не для этого пользователя, а для системного пользователя "Внешний интерфейс сервера". Для таких внешних пользователей, можно создать специальный тарифный план и установить стоимость исходящего трафика равную стоимости входящего трафика для пользователя "Внешний интерфейс сервера".
Всегда есть пользователь *Главный администратор*. Главный администратор имеет полные права, может создавать других администраторов для отдельных групп (Администраторов групп). *Главный администратор* может быть только один и не может быть удален. По умолчанию, логин -- *Administrator*, пароль -- *servicemode*.
h2. Расположение администраторов в дереве пользователей
В системе Carbon Billing заложен принцип, что администратор может управлять всеми пользователями и подгруппами группы, в которой находится сам. При этом он одновременно как пользователь является и пользователем этой же группы. Т.е. на его трафик считается на эту группу и на него действуют ограничения этой группы.
Такой принцип размещения администраторов является удобным, понятным и удовлетворяет большинству реальных ситуаций. В редких случаях, как правило, в крупных предприятиях и, как правило, для корневых администраторов, может потребоваться другие схемы размещения администраторов:
1. Необходимо, чтобы администратор как пользователь находился в какой-то конкретной группе пользователей своего отдела. И при этом мог управлять, например, всеми пользователями или всей вышележащей группой.
Такую ситуацию можно решить так:
Для таких администраторов создать два логина:
* Один, как для пользователя в той группе где он должен находиться как пользователь. Под этим логином он будет устанавливать VPN-соединение и работать в Интернет.
* И второй как для администратора, в корне той группы, которой он должен управлять. Установить для него ограничение доступа. Т.е. с этим логином он не сможет выходить в Интернет, и будет использовать его только для работы с БД.
Для удобства работы, у первого логина установить один из административных признаков. Т.к. для работы с Carbon Manager нужно обязательно установить соединение под пользователем являющимся администратором. Тогда для установки VPN-соединения он будет использовать первый логин, а для подключения к БД второй.
2. Администратор должен управлять группами пользователей находящихся в разных местах дерева. Для этого:
* Как и в предыдущем случае, создать по отдельному логину в каждой группе пользователей с ограничением доступа, или
* Что более удобно, поместить такие группы в одну группу верхнего уровня.
h2. Создание администраторов и их права
Администратор может управлять только пользователями группы, в которой находится сам, а также всеми подгруппами этой группы, может создавать других администраторов в пределах своей группы. Это распространяется на все элементы интерфейса Carbon Manager. В дереве пользователей, в мониторе и в аудите событий отображаются только "свои" пользователи.
Различают администраторов *технических* и *финансовых*, управляющих соответственно техническими или финансовыми параметрами пользователей в пределах своей группы. Один администратор одновременно может являться техническим и финансовым.
Такая структура позволяет сделать управление системой гибкой и в тоже время удобной: передавать управление нижележащим группам, делить администраторов на технических и финансовых. Особенно это относится к крупным предприятиям, в небольших предприятиях обычно достаточно одного администратора.
Для того чтобы создать администратора:
1. Создайте обычного пользователя.
2. Установите у этого пользователя признаки:
!image068.png! *Администратор технический* -
Этот администратор управляет всеми техническими полями. Права на изменение полей пользователя во вкладке "Информация":
\- Абонент
\- Логин
\- Пароль
\- mac
\- switch IP
\- switch Vlan
\- switch port
\- opt 82
\- Пул
\- IP
\- NAS
\- isNAT
\- тип авторизации
\- HOST IP
Права на изменение флагов:
\- Отключить и запретить вход
\- включить почту
\- переадресовать почту
\- разрешить переподключение
\- разрешить VPN из Интернет
\- порог предупреждения
Также есть права на создание пользователей, изменение всех реквизитов пользователя и просмотр разделов "Монитор", "Тарифы", "Аудит".
!image068.png! *Администратор финансовый* -
Этот тип администраторов, у которых есть права для внесения оплаты. Доступны все финансовые операции, аудит, просмотр тарифных планов и монитор. Возможно исправление следующих полей:
\- Номер договора
\- Порог предупреждения
\- Порог отключения
\- абон. плата (переопределение)
\- Формирование акта, период
\- Формирование акта, дата
\- подключение доп. услуг
Также доступны все функции на вкладке Операции.
!image068.png! *Администратор карт оплаты* - Данный тип администраторов может только создавать серии карт оплаты. Для этого необходимо выбрать в пункте меню Вид \-> Карты оплаты.
!image068.png! *Администратор только для чтения* - Данному администратору доступны для просмотра все пункты только для чтения, без изменений.
!image068.png! *Администратор абонентов, все поля* - На вкладке "Информация" может изменять все параметры абонентов.
!image068.png! *Администратор главный, все права* - Имеет те же права, что и главный администратор, но его можно назначить в определенной группе.
*Замечания:*
1. Некоторыми параметрами системы может управлять только *Главный администратор*:
* Редактировать пулы IP-адресов.
* Редактировать тарифные планы.
* Переопределять вручную пользователю IP-адрес, пул, адрес NAT.
2. Администраторы, находящиеся в корневой группе, в отличие от администраторов других групп, имеют дополнительные права:
* Возможность смены тарифного плана пользователя.
* В случае необходимости могут вручную исправлять баланс пользователей и групп с использованием кнопки *Исправить баланс* на закладке *Операции*.
3. Все администраторы, кроме *Главного администратора*:
* Не могут изменять параметры группы, в которой находятся сами.
* Не могут изменять администраторов одного уровня с собой, то есть находящихся непосредственно в этой же группе.
* Не могут создавать администраторов одного с собой уровня, если этот уровень в дереве расположен до группы с признаком *финансовая*. Это дополнительное разграничение полномочий, так как такие администраторы могут создавать финансовые группы.
4. Действия администраторов журналируются. Просмотреть их можно в разделе *Аудит событий*.
!worddav1a00a8e7a1b35545d511c122cc9308e7.png|height=278,width=402!
Для просмотра событий нажмите на панели быстрого запуска кнопку *Аудит событий*.
Для вывода конкретных типов событий можно использовать фильтр: по дате, по типу, по администратору.
По каждому событию фиксируются следующие параметры:
*Дата* -- дата и время изменения БД
*Событие* -- тип события: редактирование пользователя, редактирование тарифных планов и т.д.
*Комментарий* -- пояснение что было изменено/создано.
*Хозяин* -- пользователь, который произвел действие.
h2. Удаленное подключение
Свойство пользователя *Разрешить VPN из Интернет* означает возможность пользователя подключиться к внешнему адресу Carbon Billing, например из дома или командировки. По умолчанию все пользователи подключаются ко внутреннему адресу.
Возможность пользователя подключиться к внешнему адресу позволяет подключаться к внутренней сети предприятия через защищенное соединение. Для дополнительной защиты сети предприятия разрешать удаленное подключение нужно только пользователям, которым это действительно необходимо.
*Замечания:*
\- Свойство *Разрешить удаленное подключение* устанавливается отдельно для каждого пользователя.
\- На возможность администратора группы устанавливать своим пользователям это разрешение влияют соответствующие установки в свойствах группы.
\- В Carbon Billing есть глобальный параметр, устанавливаемый в локальной консоли сервера "*Меню->Конфигурирование сервера{*}*\->*{*}Безопасность->Разрешить VPN-соединения из Интернет*". В случае, если он не установлен, то ко внешнему адресу нельзя подключиться по VPN. По умолчанию этот параметр не установлен. Поэтому при использовании этой возможности, нужно включить эту настройку.
{color:#ff0000}{*}Примечание:*{color} {color:#000000}{*}За удаленное подключение по VPN в последних версиях отвечает только пункт в локальной консоли.*{color}
*ОСОБЕННОСТИ РАБОТЫ*
Для использования удаленного подключения, нужно обратить внимание на следующие особенности, и по возможности информировать о них пользователей.
1. При удаленном подключении используется внешний (реальный) IP-адрес Carbon Billing. В то время как для обычного подключения из сети предприятия, как правило, используется внутренний IP-адрес Carbon Billing. Поэтому пользователям нужно сообщить внешний IP-адрес, а также уточнить, что уже настроенное соединение для работы из сети предприятия, например, на ноутбуке, не будет работать извне. Файл автоматической настройки соединения, находящийся в Личном Кабинете, также настраивает соединение для работы только с внутренним IP-адресом.
2. ACP пользователя содержит инструкции по настройке VPN-соединения. При этом ACP пользователя по умолчанию закрыт от доступа извне. Поэтому если пользователю придется настраивать VPN-соединение вручную, то у него могут возникнуть затруднения. В этом случае, ему следует помочь настроить соединение или заранее скачать инструкцию по настройке VPN-соединения в виде файла с ACPа.
3. При удаленном подключении, трафик, который пользователь генерирует на сервер, считается не для этого пользователя, а для системного пользователя "Внешний интерфейс сервера". Для таких внешних пользователей, можно создать специальный тарифный план и установить стоимость исходящего трафика равную стоимости входящего трафика для пользователя "Внешний интерфейс сервера".