Центр сбора данных и продукции ЦСДП Госфонд в части государственного фонда данных росгидромета (ЦСДП госфонд

БЕЗОПАСНОСТЬ

Руководство администратора/оператора





Обнинск 2016

Содержание

Введение                                                                                1

1 Ведение ролевой и учетной информации                                                1

2 Сервер идентификации и «единого входа»                                        6

Лист изменений                                                                        10

Введение

Данный документ содержит руководство администратора для  компонента "Информационная  безопасность" узла ЦСДП ГОСФОНД.  В состав компонента входят приложения для ведения ролевой и учетной информации о пользователях ЦСДП ГОСФОНД, а так же провайдер идентификации и "единого входа".

1.Ведение ролевой и учетной информации

Раздел описывает функции администратора, которые обеспечиваются портлетом управления пользователями на портале узла ЦСДП ГОСФОНД. Функции администрирования становятся доступными после входа в систему с соответствующим именем пользователя и паролем. Затем следует перейти на «Администратор» и воспользоваться ярлыком страницы Безопасность. С режима «управление пользователями» на режим «управление ролями» можно переходить, щелкая мышью по соответствующим закладкам в верхней части портлета (рис.1)

НЕ нашли? Не то? Что вы ищете?

Рис. 1 – Панель управления пользователями

На первой странице портлета управления пользователями отображаются связанные с пользователями действия, например: поиск пользователей («Поиск пользователей»); создать новую учетную запись пользователя (Создать учетную запись); дополнительная информация (например, зарегистрированные пользователи(Registered users) и режим подписки (Subscription mode)). «Зарегистрированные пользователи» отображает количество всех зарегистрированных пользователей. «Режим подписки» обозначает режим, который используется в портлете пользователей. Admin subscription mode обозначает режим, который используется в портлете управления пользователями.

Рис. 2 – Панель управления ролями

Для поиска пользователей щелкните мышью по «Поиск пользователей» наберите неполное имя пользователя в поле текстовой формы для поиска имен пользователей, соответствующих набранному критерию (рис. 3).

Рис.3 – Поиск пользователей

Для обновления профиля пользователя воспользуйтесь ссылкой «Редактировать» на странице поиска позволяет редактировать данные профиля пользователя и переустанавливать его пароль (рис. 4). Для пользователей, являющихся Администраторами узлов ЦСДП ГОСФОНД и представляющих Поставщиков данных, предусмотрен ввод параметра «Код Поставщика данных для администратора узла». Код выбирается из списка и соответствует коду ПД в технологии СРБД.

Рис. 4 - Обновление профилей пользователей

Ссылка «Роли» на странице поиска позволяет изменять роли конкретных пользователей (рис. 5)

Рис. 5 - Обновление ролей пользователей

Ссылка «Создать пользовательскую  учетную запись» на главной странице портлета пользователей, позволяет администраторам мгновенно создавать новые учетные записи пользователей (рис. 6).

Рис. 6 – Создание новой учетной записи пользователя

По умолчанию режимы подписки установлены в автоматический режим, и учетные записи пользователей создаются автоматически. Ссылка «Подтверждение» отобразиться только, если необходимо, чтобы пользователь был утвержден администратором

Портлет управления пользователями также отвечает за создание и редактирование ролей, и доступ к нему осуществляется после входа в систему, как описано ранее, щелчком мыши по ссылке role management в портлете управления пользователями.

Роли используются для того, чтобы предоставить различные уровни прав доступа к различным портлетам, страницам или экземплярам портала. У пользователя может быть несколько ролей.

Для создания новых ролей необходимо в портлете щелкнуть мышью по ссылке «Создать роль» (рис. 7).

Рис. 7 – Создание роли

Чтобы создать новую роль необходимо определить идентификатор (имя) роли и название, отображаемое в интерфейсе Портала.

Для идентификации ролей доступа к сервисам и ресурсам ЦСДП ГОСФОНД применяется единое правило формирования ролей:

DDDD:NNNN:PPPP,  где

DDDD  - рабочая область для компоненты, определяется идентификатором узла;

NNNN  - имя компоненты;

РРРР  -  тип роли:

ADMIN - администратор,

OPER - оператор, 

HEAD - руководитель,

USER - пользователь.

“:“  разделитель « двоеточие»;

На основе этого правила формируются внутриузловые и роли доступа к ресурсам СРБД.

Внутриузловые роли действуют внутри узла для контроля доступа к сервисам компонент и приложениям, работающим на компонентах.

DDDD  - идентификатор узла, где развёрнута компонента;

NNNN  - имя компоненты развёртывания на узле:

DP – «Поставщик Данных»;

IS – «Сервер Интеграции»;

BID – «База Интегрированных Данных»;

SOI – СОИ;

GIS – ГИС-сервер узла;

PORTAL – Портал узла (для подпорталов используется имя подпортала);

IDP – провайдер идентификации;

SYS – системное администрирование.

РРРР  -  тип роли:

ADMIN - администратор,

OPER - оператор, 

HEAD - руководитель,

USER - пользователь.

Роли доступа к ресурсам СРБД формируются по правилу:

SRBD:идентификатор ресурса, где

SRBD – ключевое слово;

идентификатор ресурса – идентификатор ресурса СРБД как он зарегистрирован на «Поставщике Данных».

Для редактирования членов роли нужно щелкнуть мышью по ссылке Участие(Members) на странице управления ролями для роли, которую Вы желаете изменить (рис. 8).

Рис. 8 - Редактирование списка членов роли

Сервис позволяет администратору осуществлять поиск и изменять роли, назначенные пользователям.

Для удаления ролей нужно щелкнуть мышью по ссылке Удалить(Delete) для роли, которую нужно удалить.


Сервер идентификации и «единого входа»

В качестве сервер идентификации и «единого входа» на узле ЦСДП ГОСФОНД установлен программный комплекс JOSSO. Программный комплекс состоит из двух частей: сервера идентификации (IdP) и агентов (SP), установленных на каждом сервере приложений узла.

Сервер идентификации (Gateway IdP) развёрнут под Tomcat как самостоятельный компонент. Конфигурационные файлы находятся в папке TOMCAT_HOME/lib. Настройка на базу данных учетной информации пользователей производиться в файле josso-gateway-db-stores. xml.

<db-istore:jdbc-store

  id="josso-identity-store"

  driverName="org. postgresql. Driver"

  connectionURL="jdbc:postgresql://db. gosfond. dcpc. meteo. ru:5432/jbossportal"

  connectionName="portal"

  connectionPassword="jbossportal"

  userQueryString="SELECT jbp_uname AS NAME FROM jbp_users WHERE jbp_uname = ?"

  rolesQueryString="SELECT jbp_roles. jbp_name AS ROLE FROM jbp_roles INNER JOIN jbp_role_membership jrm ON jrm. jbp_rid = jbp_roles. jbp_rid INNER JOIN jbp_users  users ON users. jbp_uid = jrm. jbp_uid WHERE users. jbp_uname = ?

                       UNION

                       SELECT 'Authenticated' AS ROLE from dual"

  credentialsQueryString="SELECT jbp_uname AS USERNAME, jbp_password AS PASSWORD FROM jbp_users WHERE jbp_uname = ?"

  userPropertiesQueryString="SELECT jbp_name AS NAME, jbp_value AS VALUE FROM jbp_user_prop props INNER JOIN jbp_users users ON users. jbp_uid = props. jbp_uid WHERE jbp_uname = ?"

  resetCredentialDml="UPDATE jbp_users SET jbp_password = ? WHERE jbp_uname = ?"

  relayCredentialQueryString="SELECT jbp_uname AS LOGIN FROM jbp_users WHERE #?# = ?"/>

Необходимо контролировать следующие параметры:

Класс jdbc-драйвера используемой базы данных (PostgreSQL)

driverName="org. postgresql. Driver"

Строка соединения, с указанием IP-адреса сервера базы данных, порта соединения и имени базы данных

connectionURL="jdbc:postgresql://db. gosfond. dcpc. meteo. ru:5432/jbossportal"

Имя пользователя и пароль для соединения с базой данных

connectionName="portal"

connectionPassword="jbossportal"

Агенты JOSSO устанавливаются на все серверы приложений узла. Для корректной работы SSO необходимо иметь библиотеки идентификации портала на каждом сервере приложений в папке с общими библиотеками: identity-sso-trunk-SNAPSHOT. jar и portal-identity-lib. jar

Общая настройка агента осуществляется в файле josso-agent-config. xml, где следует указать:

Адреса общего входа SSO и выхода

<gatewayLoginUrl>

http://idp. gosfond. dcpc. meteo. ru/josso/signon/login. do

</gatewayLoginUrl>

<gatewayLogoutUrl>

http://idp. gosfond. dcpc. meteo. ru/josso/signon/logout. do

</gatewayLogoutUrl>

Адрес локатора сервисов

<gatewayServiceLocator>

  <protocol:ws-service-locator endpoint=" idp. gosfond. dcpc. meteo. ru"/>

</gatewayServiceLocator>

Приложения-партнёры, которые используют SSO, должны иметь уникальные  идентификаторы

<agent:partner-apps>

  <agent:partner-app id="jboss_portal" context="/portal"/>

</agent:partner-apps>

Стратегию выполнения входа, необходимо игнорировать проверку при обращении к сервисной шине. Рекомендуем использовать mode="OPTIONAL”, что обеспечит корректную работу приложений в случае технической недоступности сервера идентификации.

  <automaticLoginStrategies>

  <agent:default-automaticlogin-strategy mode="OPTIONAL">

  <property name="ignoredReferrers">

  <list>

  <value>http://idp. gosfond. dcpc. meteo. ru /IDBUS</value>

  </list>

  </property>

  </agent:default-automaticlogin-strategy>

  </automaticLoginStrategies>

ЛИСТ ИЗМЕНЕНИЙ

№ п/п

Дата внесения изменений

Номер раздела, пункта, в который вносится изменение

Номер страницы, на которой вносится изменение

Содержание внесенного изменения

Подпись

Должность, Ф. И.О.