Документация для Kerio WinRoute

Учетные записи пользователей

Учетные записи в WinRoute облегчают контроль доступа пользователей локальной сети в Интернет. Учетные записи пользователей можно также использовать для доступа к администрированию WinRoute через Администраторский Терминал. Базовая учетная запись администратора создается в процессе инсталляции WinRoute. Эта запись имеет полные права администрирования WinRoute. Эту запись можно удалить, если существует еще хоть одна запись с полными правами администратора.

Примечание: если вы утратили доступ к администрированию WinRoute, свяжитесь со службой технической поддержки Kerio.

Создание новой учетной записи пользователя

Новую учетную запись пользователя можно создать на вкладке Учетные Записи Пользователей (User Accounts) в меню Пользователи (Users) и Группы/Пользователи (Groups / Users).

Чтобы открыть диалог, позволяющий определить новую учетную запись, используйте кнопку Добавить (Add).

Шаг 1 базовая информация:

Имя пользователя, используемое для входа в программу. Имя пользователя не учитывает регистр.

Предупреждение: мы не рекомендуем использовать специальные знаки (не-английский язык), т.к. это может вызвать проблемы с аутентификацией через web интерфейс.

Полное имя (Full name)

Полное имя пользователя (обычно имя и фамилия пользователя)

Описание (Description)

Дополнительная информация о пользователе (например, чин, должность в компании и др.)

Пункты "Полное имя" и "Описание" носят информативный характер. Они могут включать любую информацию, или их можно оставить пустыми.

Электронный адрес (Email address)

Email пользователя, куда будут направляться  предупреждения (см. главу Предупреждения) и другая информация (например, сообщения о превышении ограничений по передаче данных и др.). Для каждого пользователя необходимо ввести действующий электронный адрес, иначе некоторые функции WinRoute не будут эффективно использоваться.

Примечание: для каждого пользователя в WinRoute необходимо установить сервер пересылки, иначе направление предупреждений пользователям работать не будет. Подробную информацию читайте в главе SMTP Пересылка.

Аутентификация (Authentication)

Аутентификация пользователя (см. ниже).

Учетная запись отключена (Account is disabled)

Отключение учетной записи пользователя без ее удаления.

Примечание: эта опция может применяться, например, чтобы создать учетную запись для пользователя, которая не будет использоваться сразу (например, для нового сотрудника, который еще не приступил к работе).

Опции аутентификации:

Внутренняя база данных пользователей

Информация по учетным записям пользователей хранится локально в WinRoute. Пароли можно потом редактировать, используя web интерфейс см. главу Web интерфейс и Аутентификация пользователя). Для этого метода аутентификация NTLM применяться не может.

Предупреждение: пароли могут включать только печатные знаки (буквы, цифры и знаки препинания), и они чувствительны к регистру. Мы не рекомендуем использовать специальные знаки (не английский язык), т.к. это может вызвать проблемы с аутентификацией через web интерфейс.

Windows NT домен

Пользователи проходят аутентификацию в Windows NT домене.

Этот метод аутентификации можно использовать, только если WinRoute работает под операционной системой Windows NT 4.0 / 2000 / XP.

NT домен / Kerberos 5

Пользователи проходят аутентификацию через Windows NT домен (Windows NT 4.0) или через Активную Директорию (Windows 2000/2003).

Чтобы установить параметры для аутентификации пользователя, откройте вкладку Активная Директория / NT домен (Active Directory / NT domain).

Шаг 2 группы:

Кнопки Добавить (Add) и Удалить (Remove) в этом диалоге позволяют добавлять или удалять группы, в которые включены пользователи. Чтобы создать новые группы, откройте Польователи и Группы/Группы (User and Groups / Groups) - см. главу Группы пользователей). При определении групп сходным образом можно добавлять пользователей в группы.

Совет: при добавлении новых групп, можно отметить сразу несколько групп, удерживая клавишу Ctrl или Shift.

Шаг 3 права доступа:

Каждый пользователь должен иметь определенный тип прав доступа (всего их три).

Нет доступа к администрированию (No access to administration)

Пользователь не имеет права доступа к администрированию WinRoute. Эти установки использоуются для большинства пользователей.

Доступ к администрированию только для чтения (Read only access to administration)

Пользователь имеет доступ к WinRoute. Он или она может читать настройки и регистрационные журналы, но не может их редактировать.

Полный доступ к администрированию (Full access to administration)

Пользователь может читать и редактировать все записи и установки, права пользователя эквивалентны правам администратора (admin). Если есть хоть один пользователь с полным доступом к администрированию, учетную запись admin, создаваемую по умолчанию, можно удалить.

Продвинутые опции:

Пользователь может переопределить правила Интернет контента (User can override WWW content rules)

Пользователь может настроить собственный фильтр web контента, независимо от глобальной конфигурации (подробнее см. Шаг 4).

Пользователь может деблокировать правила URL (User can unlock URL rules)

Эта опция позволяет пользователю деблокировать web страницы с запрещенным содержанием (на запрещенных страницах пользователю будет доступна кнопка Деблокировать (Unlock) - подробнее см. в главе   Правила URL).

Пользователь может установить соединение RAS (User can dial RAS connection)

Пользователь может установить RAS соединение в web интерфейсе (см. главу  Дозвон) или в Администраторском Терминале (в том случае, если пользователь имеет по крайней мере права чтения - подробнее см. в главе Интерфейсы).

Примечание: если у пользователя нет таких прав, он/она не сможет контролировать RAS линии.

Пользователь может соединяться через VPN (User can connect using VPN)

Пользователь может соединяться через WinRoute VPN сервер (используя Kerio VPN Клиент). Подробнее читайте в главе Kerio VPN.

Пользователь может использовать сети P2P (User is allowed to use P2P networks)

При обнаружении сетей P2P (Peer-to-Peer), трафик пользователя не будет блокироваться. Подробнее читайте в главе P2P Элиминатор.

Шаг 4 квоты на передачу данных

Здесь можно установить дневной и месячный лимит на объем переданной пользователем информации, а также действия, которые воспоследуют при превышении квот.

Квоты на передачу данных

Установки ограничений

• Активизировать дневные ограничения (Enable daily limit) параметры дневных ограничений.

  Используйте поле Направление (Direction), чтобы выбрать направление контролируемого трафика (скачивание (download) - входящая информация, загрузка (upload) - исходящая информация, весь трафик (all traffic) - и входящая, и исходящая информация).

  Ограничения нужно выставить в поле "Квота" (Quota) в Мб или Гб.

• Активизировать месячные ограничения (Enable monthly limit) параметры месячных ограничений. Эти квоты устанавливаются так же, как дневные ограничения.

Действия при превышении квот

Установите, какие действия будут предприниматься при превышении квот:

• Только отправить предупреждение (Generate alert message only) к пользователю не будут применены ограничения. Эту опцию можно комбинировать с опцией "При превышении квот уведомить пользователя по email " (Notify user by email when quota is exceeded). При этом пользователя просто уведомят о превышении квот.

• Не позволять пользователю открывать новые соединения (Do not allow the user to open new connections) пользователь сможет продолжать работать с открытым соединением, но не сможет установить новое соединение (т.е. соединиться с другим сервером, скачать файл через FTP и т.д.).

• Немедленно оборвать все соединения пользователя (Kill all the user's connections immediately) весь трафик пользователя будет немедленно заблокирован.

Примечания:

1. Примечание: если квота превышена, и трафик блокируется, ограничения будут действовать до конца периода действия квоты (день или месяц). Чтобы отозвать эти ограничения раньше, нужно сделать следующее:

   • временно отключите соответствующие ограничения, поднимите введенное значение или включите режим "Ничего не блокировать" (Do not block anything)

   • сбросьте статистику соответствующего пользователя (см. главу Статистика пользоваетля).

2. Мониторинг квот (выполнение действий при превышении квот) может быть нежелательным, если пользователь прошел аутентификацию на брандмауэре. В таком случае весь трафик брандмауэра и все пользователи брандмауэра будут заблокированы.

   На вкладке Квота/Статистика (Quota / Statistics) под Настройка/Продвинутые опции (Configuration / Advanced options) доступна опция "Исключить брандмауэр при действиях по квотам" (Exclude firewall for quota actions). При этом если квоты превысит пользователь, прошедший аутентификацию на брандмауэре, никаких действий предприниматься не будет. По умолчанию эта опция активна. См. также главу  Предпочтения.

Чтобы включить отправку пользователю предупреждений о превышении квот, отметьте опцию "При превышении квот уведомить пользователя по email" (Notify user by email when quota is exceeded). Для пользователя должен быть указан действующий электронный адрес (см. Шаг 1). В WinRoute необходимо настроить SMTP пересылку (см. главу SMTP Пересылка).

Совет: если вы хотите, чтобы администратора WinRoute всегда уведомляли о случаях, когда квоты почти превышены, определите параметры уведомления в меню Настройки/Регистрационные журналы и Предупреждения (Configuration / Logs and Alerts). Подробнее читайте в главе  Предупреждения.

Шаг 5 правила контента

На этом шаге можно определить специальные правила фильтра контента для определенного пользователя. По умолчанию (при определении новой учетной записи пользователя) используются глобальные правила (определенные на вкладке Правила Контента (Content Rules) в резделе Настройки/Фильтр Контента/Политика HTTP (Content Rules tab in the Configuration / Content Filtering / HTTP Policy)). Подробнее читайте в главе  Правила Контента).

Примечание: эти установки доступны для пользователя, и их можно изменять на соответствующей странице web интерфейса WinRoute (см. главу  Предпочтения пользователя). Пользователи, которые могут "переопределять правила контента", могут изменить свои установки. Пользователи, которые не могут переопределять правила, могут вкючить и/или выключить только те свойства, которые для них доступны (установленные в их личной конфигурации).

Шаг 6 IP адрес пользователя

Если пользователь работает на зарезервированной рабочей станции (т.е. этот компьютер не используется другими пользователями) с фиксированным IP адресом (статический или резервированный сервер DHCP), то он может автоматически регистрироваться с определенного IP адреса. Это значит, что при попытке соединения с этого IP адреса, WinRoute будет считать, что связь устанавливается определенным пользователем, и не будет требовать аутентификацию. Пользователь будет автоматически регистрироваться, при этом будут доступны все функции, как и при обычном входе с указанием имени и пароля.

Автоматически регистрироваться с определенного IP адреса может только один пользователь. После создания учетной записи пользователя, WinRoute будет автоматически определять, используется ли определенный IP адрес для автоматической регистрации.

Автоматическая регистрация может быть установлена для брандмауэра (т.е. для узла WinRoute) или/и для любого другого узла (узлов) (т.е. когда пользователь соединяется и с дополнительной рабочей станции, такой как ноутбук, и т.д.). Для определения множественных узлов можно использовать группу IP адресов (см. главу Группы адресов).

Предупреждение: автоматическая регистрация снижает безопасность пользователя. Если на узле, для которого установлена автоматическая регистрация, работает несанкционированный пользователь, то он/она будет автоматически использовать удостоверение пользователя узла. Следовательно, автоматическую регистрацию нужно сочетать с другими свойствами безопасности, такими как регистрация пользователя в операционной системе.

IP адрес, который будет всегда назначаться VPN клиентам определенного пользователя, можно установить в адресах VPN клиента. С помощью этого метода пользователю, связывающемуся с локальной сетью через Kerio VPN Клиент, можно назначить фиксированный IP адрес.Этот IP можно добавить в список IP адресов, с которых пользователь будет автоматически регистрироваться.

Детальную информацию относительно свойств Kerio Technologies' VPN можно получить в главе Kerio VPN.

Редактирование учетной записи пользователя и просмотр статистики

Кнопка "Правка" (Edit) открывает диалог, позволяющий редактировать параметры учетной записи пользователя. Этот диалог имеет все свойства описанного выше диалогового окна "Добавить пользователя" (Add User). Все установочные опции включены только в одно окно.

Перевод документации осуществлен силами компании Red Line Software