Управление доступом

В настройках сервера приложений раздел Управление доступом предназначен для настройки подключения пользователей к серверу приложений.

Группа настроек "Управление доступом"
Рисунок 1. Группа настроек "Управление доступом"
Раздел включает следующие компоненты редактирования:

  • Логин и пароль системной учётной записи — данные системной УЗ.

  • Группы — настройка групп пользователей

  • Аутентификация — настройки использования базовой и прозрачной (Kerberos) аутентификации.

  • Настройка доменных каталогов — настройки доменов сервера Docsvision и подключения к LDAP каталогу домена.

  • Кэширование ответов от LDAP — настройки кэширования данных пользователя в ответах от LDAP серверов.

  • Управление сессиями — настройка времени неактивности пользовательской сессии.

Логин системной учётной записи

Поле для ввода имени системной учётной записи[1] Docsvision в формате user@domain.com.

Пароль системной учётной записи

Поле для ввода пароля системной учётной записи Docsvision. Рекомендуется хранить в зашифрованном виде. Подробнее про шифрование см. в документации по установке системы, раздел "Защита системной учётной записи".

Имя компьютера в текущем домене Active Directory

Необходимо для указания[2] имени любого компьютера в текущем домене Active Directory. Используется при получении списка доступных членов домена при настройке дискреционной безопасности.

Группы пользователей

Для работы с группами пользователей необходимо установить расширение модуля Платформа для консоли управления, см. "Установка расширений модулей для Консоли управления Docsvision". Если расширение не установлено, на странице будет отображаться сообщение об отсутствии компонентов редактирования, оформленное красным текстом.
Настройка групп пользователей в Консоли управления Docsvision
Рисунок 2. Настройка групп пользователей в Консоли управления Docsvision

Блок настроек[3] содержит массив системных групп, см. подробнее в описании системы: "Основные группы безопасности". Блок визуально разделен на две части. В левой части расположен список групп, сформированный заранее:

  • DocsVision Users — все пользователи, совершившие вход в систему. Входить могут только пользователи из справочника сотрудников.

  • DocsVision Power Users — продвинутые пользователи, имеющие повышенные права.

  • DocsVision Administrators — администраторы системы, обладающие максимальными правами. Могут входить без регистрации в справочнике сотрудников.

  • DocsVision Security Administrators — администраторы безопасности, обладающие самыми высокими правами, могут изменить уровень безопасности для пользователей и карточек.

  • DocsVision Archive Operators — пользователи, имеющие право на удаление архивных карточек.

  • Docsvision Search Query Creators — пользователи, имеющие право создавать новые поисковые запросы.

  • Docsvision Workflow Process Creators — пользователи, имеющие возможность создания нового БП.

  • DocsVision Aggregation Users — пользователи, для которых доступна агрегация в представлениях.

  • Docsvision Management Console Administrators — пользователи, которым разрешается просматривать карточки сообщений в Консоли управления Docsvision. Группа не предоставляет доступ к Консоли управления Docsvision.

    Чтобы предоставить доступ к Консоли управления Docsvision добавьте пользователей в группу Docsvision Management Console Administrators в конфигурационном файле Консоли управления Docsvision. Остальные группы могут быть заполнены из интерфейса консоли.

В правой части блока настроек находится таблица для просмотра пользователей, входящих в перечисленные группы. Каждый пользователь расположен на отдельной строке таблицы. Под таблицей расположено поле Пользователь: для ввода доменного имени пользователя и кнопка Добавить.

Напротив каждой учётной записи находится кнопка Урна, нажатие на которую удаляет пользователя из группы. При удалении пользователя из группы появляется окно с сообщением: Вы действительно хотите удалить пользователя? и выбор с кнопками: Да и Нет.

Аутентификация

Базовая аутентификация

Флаг[4] разрешает или запрещает базовую аутентификацию с использованием логина и пароля. По умолчанию значение не задано, вместо флага отображается Не установлен.

Снятие флага Базовая аутентификация может привести к ошибкам системных приложений, снимать флаг не рекомендуется.
Прозрачная аутентификация

Флаг разрешает или запрещает прозрачную аутентификацию с использованием протокола Kerberos. По умолчанию значение не задано, вместо флага отображается Не установлен.

Настройка доменных каталогов

Настройка доменных каталогов в Консоли управления Docsvision
Рисунок 3. Настройка доменных каталогов в Консоли управления Docsvision

Группа настроек[5] предназначена для расширенной настройки доменных каталогов. Группа представлена таблицей, каждая строка которой содержит набор настроек конкретного доменного каталога. В правой части строки отображается кнопка Урна, нажатие на которую удаляет запись о каталоге. При удалении появляется окно с сообщением: Вы действительно хотите удалить каталог? и выбор с кнопками: Да и Нет.

Если содержимое столбца, не подходит по ширине, такое значение переносится на вторую строку. Если значение превышает две строки, оно будет сокращено и в конце будет добавлено многоточие: …​. При наведении на значение в таком случае будет отображаться всплывающая подсказка с полным значением.

В таблице отображаются только основные настройки, полный список доступен при нажатии на строку настроек. При нажатии на заголовок содержимое таблицы будет отсортировано.

Следующие столбцы отображаются в таблице:

  • Полное имя домена — имя домена в формате example.com.

  • NetBios-имя домена — имя домена в формате EXAMPLE.

  • Адреса серверов LDAP — адреса LDAP серверов данного домена. Адреса в таблице с одной колонкой. Напротив каждой строки есть кнопка Урна для удаления адреса из списка.

  • Логин — логин пользователя для подключения к LDAP-каталогам текущего домена в формате user@example.com.

  • Кнопка Урна для удаления настроенного каталога.

  • Под таблицей отображается кнопка Новый каталог. Если на странице были выполнены изменения, при нажатии на кнопку появляется окно с предупреждением Изменения на странице не будут применены. Вы действительно хотите продолжить?. В окне отображаются две кнопки ОК и Отмена для подтверждения перехода или отмены.

  • Дополнительные настройки отображаются при нажатии на строку настроек. Подробнее см. в разделе "Страница "Домен" для создания доменного каталога".

После изменения настроек нажмите кнопку Применить в правом верхнем углу окна Консоли, чтобы применить настройки доменных каталогов и перезапустите службу Сервера Docsvision.

Кэширование ответов от LDAP

Следующие данные пользователя могут кэшироваться в ответах от LDAP серверов[6]:

  • SID — идентификатор безопасности (Security Identifier).

  • SAM — имя пользователя в формате SAM (Security Account Manager).

  • UPN — имя пользователя в формате UPN (User Principal Name).

  • WindowsAccountName — имя пользователя в формате NTAccount (NetBios домен\имя пользователя в формате SAM).

  • DomainName — полное имя домена пользователя.

  • NetBiosDomainName — NetBios имя домена пользователя.

Кэширование работает только совместно с расширенной конфигурацией доменов — конфигурация доменов определена в разделе Настройка доменных каталогов.

Кэшировать данные

Кэширование ответов от LDAP серверов [7] по умолчанию отключено и может быть включено при помощи флага Включить кэширование.

При включенном журналировании в режиме трассировки предоставление данных из кэша диагностируется сообщением вида:

LDAP query data from cache returned for account [имя учётной записи/SID]
Время кэширования, сек

Временем кэширования ответов можно управлять, по умолчанию время кэширования[8] составляет 24 часа. Чтобы изменить время, необходимо указать в параметре желаемое значение в секундах.

Управление сессиями

Настройка[9] Автоматически отключать сессии, не активные более, мин. регулирует время неактивности пользовательской сессии. По истечении заданного времени сессия будет принудительно закрыта сервером. Минимальное значение: 90 минут.

1. Аналогичный параметр в конфигурационном файле модуля Платформа — "SystemUserAccount".
2. Аналогичный параметр в конфигурационном файле модуля Платформа — "WindowsSecurityServerName".
3. Аналогичный параметр в конфигурационном файле модуля Платформа — "Groups".
4. Аналогичный параметр в конфигурационном файле модуля Платформа — "AuthType".
5. Аналогичный параметр в конфигурационном файле модуля Платформа — "Catalogs".
6. Кэширование ответов от LDAP поддерживается в модуле Платформа начиная с версии 6.1. сборка 380 и выше, а также в модуле Web-клиент, начиная с версии 6.1. сборка 735 и выше.
7. Аналогичный параметр в конфигурационном файле модуля Платформа — "UseCatalogsResponseCache".
8. Аналогичный параметр в конфигурационном файле модуля Платформа — "CatalogsResponseCacheExpirationInSeconds".
9. Одноимённый параметр ранее настраивался в программе "Консоль настройки Docsvision".