Quản Lý Và Xác Thực User Trong PfSense (Tìm Hiểu Về PfSense Phần 6)

1. Quản lý User

Trình quản lý user được đặt tại System > User Manager. Từ đó User, Group, Server có thể được quản lý và cài đặt chi phối hành vi của User Manager có thể được thay đổi

1.1 Privileges

Quản lý quyền cho user và Group được thực hiện tương tự, vì vậy cả hai sẽ được đề cập ở đây thay vì cố gắng nhân bản. Cho dù user hay group được quản lý, ban đầu phải được tạo và lưu trước khi có thể thêm quyền vào account hoặc group. Để thêm quyền, khi chỉnh sửa user hoặc group hiện có , click Add trên phần Assigned Privileges hoặc Effective Privileges.

Danh sách tất cả các đặc quyền có sẵn được trình bày. Có thể thêm từng quyền một bằng cách chọn một mục nhập hoặc chọn nhiều lần bằng cách sử dụng ctrl-click. Nếu các quyền khác đã có trên người dùng hoặc nhóm, chúng sẽ bị ẩn khỏi danh sách này nên không thể thêm chúng hai lần. Để tìm kiếm một đặc quyền cụ thể theo tên, hãy nhập cụm từ tìm kiếm vào hộp Filter và click Filter

Việc chọn một quyền sẽ hiển thị một mô tả ngắn gọn về mục đích của nó trong khu vực khối thông tin dưới danh sách quyền và các action. Hầu hết các quyền là tự giải thích dựa trên tên của chúng, nhưng một số quyền đáng chú ý là:

WebCfg – All Pages Cho phép người dùng truy cập bất kỳ trang nào trong GUI

WebCfg – Dashboard (all) Cho phép người dùng truy cập trang dashboard và tất cả các chức năng liên quan của nó (widgets, graphs,…)

WebCfg – System Trang quản lý Password User: Nếu người dùng chỉ có quyền truy cập vào trang này, họ có thể đăng nhập vào GUI để đặt mật khẩu của riêng họ nhưng không làm gì khác.

User – VPN – IPsec xauth Dialin Cho phép user kết nối và xác thực cho IPsec

User – Config – Deny Config Write Không cho phép người dùng thực hiện các thay đổi đối với cấu hình firewall (config.xml). Lưu ý rằng điều này không ngăn cản user thực hiện các hành động khác không liên quan đến việc ghi vào cấu hình.

User – System – Shell account access Cung cấp cho user khả năng đăng nhập qua ssh, mặc dù user sẽ không có quyền truy cập cấp độ root nên chức năng bị hạn chế. Một gói cho sudo được khả dụng để nâng cao tính năng này

Sau khi đăng nhập, firewall sẽ cố gắng hiển thị dashboard. Nếu người dùng không có quyền truy cập vào dashboard, họ sẽ được chuyển tiếp đến trang đầu tiên trong danh sách đặc quyền của họ mà họ có quyền truy cập.

Menu trên firewall chỉ chứa các mục mà quyền tồn tại trên account user. Ví dụ: nếu chỉ có trang Diagnostics người dùng có quyền truy cập tới Diagnostics > Ping thì không có mục nào khác được hiển thị trong menu Diagnostics.

1.2 Adding/Editing Users

Ở tab Users phía dưới System > User Manager là nơi quản lý user cá nhân. Để thêm người dùng mới, hãy click ADD, để sửa người dùng hiện có bấm Edit .

Trước khi quyền có thể được thêm vào người dùng, trước tiên quyền đó phải được tạo, vì vậy bước đầu tiên luôn là thêm user và lưu. Nếu nhiều user cần các quyền giống nhau, thì việc thêm group rồi thêm user vào group sẽ dễ dàng hơn.

Khi bấm tạo User màn hình người dùng mới sẽ xuất hiện:

Disabled Hộp này kiểm soát xem user này có hoạt động hay không. Nếu tài khoản này không sử dụng hoặc bạn không cho phép tài khoản này hoạt động, hãy chọn hộp này.

Username Đặt tên đăng nhập cho user. Phần này là bắt buộc, phải có từ 16 ký tự trở xuống và chỉ có thể chứa các chữ cái, số và dấu chấm, dấu gạch ngang hoặc dấu gạch dưới.

Password and Confirmation Cũng được yêu cầu. Passwords được lưu trữ trong cấu hình pfSense dưới dạng hashes. Đảm bảo hai trường phải khớp để xác nhận mật khẩu.

Full Name Trường tùy chọn có thể được sử dụng để nhập tên dài hơn hoặc mô tả cho tài khoản user. Có thể bỏ trống.

Expiration Date Cũng có thể được xác định nếu muốn tự động hủy kích hoạt người dùng khi đã đạt đến ngày đó. Ngày phải được nhập ở định dạng MM / DD / YYYY. Có thể bỏ trống.

Group Memberships Nếu các nhóm đã được xác định, điều khiển này có thể được sử dụng để thêm user làm thành viên.

Effective Privileges Xuất hiện khi chỉnh sửa user hiện tại, không xuất hiện khi thêm user. Xem quyền để biết thông tin về cách quản lý các quyền. Nếu user là thành viên của một group, các quyền của group đó được hiển thị trong danh sách này nhưng không thể chỉnh sửa các quyền đó, tuy nhiên, có thể bổ sung thêm các quyền.

Certificate Hành vi của phần này thay đổi tùy thuộc vào việc người dùng được thêm vào hay chỉnh sửa. Khi thêm user, để tạo chứng chỉ, hãy kiểm tra Click tới create a user certificate để hiển thị form mẫu tạo chứng chỉ. Điền vào Descriptive name, chọn Certificate Authority, chọn Key Length, và nhập Lifetime. Nếu chỉnh sửa user, phần này của trang sẽ trở thành danh sách chứng chỉ user. Từ đây, click vào Add để thêm chứng chỉ cho người dùng. Nếu chứng chỉ đã tồn tại, hãy chọn Choose an Existing Certificate sau đó chọn Existing Certificate từ danh sách

Authorized keys SSH public keys có thể được nhập để truy cập shell hoặc SSH khác. Để thêm khóa, hãy dán hoặc nhập dữ liệu khóa.

IPsec Pre-Shared Key Được sử dụng để thiết lập IPsec di động non-xauth Pre-Shared. Nếu một khóa IPsec PreShared được nhập vào đây, tên người dùng được sử dụng làm mã định danh. PSK cũng được hiển thị dưới VPN > IPsec trên tab Pre-Shared Keys. Nếu IPsec di động sẽ chỉ được sử dụng với xauth, phần này có thể được để trống.

Click save để lưu

1.3 Adding/Editing Groups

Group là một cách tuyệt vời để quản lý các quyền cấp cho nhiều user, để họ không cần phải duy trì riêng lẻ trên mỗi một user account.

Như phần Users, đầu tiên phải tạo một nhóm trước khi có thể thêm các quyền. Sau khi lưu group, hãy bấm vào Edit group để thêm đặc quyền.

Group được quản lý dưới phần System > User Manager. Để thêm một group mới từ màn hình này, hãy nhấp vào Add. Để chỉnh sửa một group hiện có, hãy nhấp Edit bên cạnh mục nhập của nó trong danh sách.

Khi tạo một group mới, màn hình thêm nhóm mới sẽ xuất hiện và hiển thị các nội dung sau:

Group name Cài đặt này có các hạn chế giống như tên người dùng. Nó phải có 16 ký tự trở xuống và chỉ được chứa các chữ cái, số và dấu chấm, dấu gạch ngang hoặc dấu gạch dưới.

Scope Có thể set local cho các nhóm trên chính firewall (chẳng hạn như các group dùng trong shell) hoặc điều khiển từ xa để giảm bớt các giới hạn về tên nhóm và ngăn không cho tên nhóm tiếp xúc với hệ điều hành. Ví dụ: tên nhóm phạm vi từ xa có thể dài hơn và có thể chứa khoảng trắng.

Description Để miêu tả tên nhóm, đảm bảo việc nhận biết và không bị nhầm lẫn giữa các nhóm khác.

Group Memberships Cài đặt kiểm soát này bất chấp người dùng hiện tại nào sẽ là thành viên của nhóm mới. Các User được liệt kê trong cột Not Members theo mặc định thì không phải là thành viên của Group.

Sau khi điền thông tin xong hãy click Save để lưu

1.4 Settings

Tab Settings trong User Manager điều khiển 2 thứ: Phiên đăng nhập hợp lệ trong bao lâu và nơi thông tin đăng nhập GUI sẽ được xác thực.

Session timeout Mục này chỉ định phiên đăng nhập GUI sẽ kéo dài bao lâu khi không hoạt động. Giá trị này được chỉ định bằng phút và giá trị mặc định là bốn giờ (240 phút). Nhập 0 để không bao giờ hết hạn phiên. Timeout ngắn hơn sẽ tốt hơn, nhưng hãy để đủ lâu để administrator đang hoạt động sẽ không bị đăng xuất ngoài ý muốn trong khi thực hiện các thay đổi.

Lưu ý: Việc cho phép phiên duy trì hợp lệ khi không hoạt động trong thời gian dài là không an toàn. Nếu administrator không giám sát một thiết bị đầu cuối, với cửa sổ trình duyệt đang mở và đăng nhập, ai đó hoặc thứ gì khác có thể tận dụng phiên đang mở.

Authentication Server Chọn nguồn xác thực chính cho user đăng nhập vào GUI. Đây có thể là máy chủ RADIUS hoặc LDAP hoặc mặc định là Local Database.

Auth Refresh Time Thời gian tính bằng giây để lưu kết quả xác thực vào bộ nhớ cache. Mặc định là 30 giây, tối đa 3600 giây (một giờ). Thời gian ngắn hơn dẫn đến các truy vấn thường xuyên hơn đến máy chủ xác thực.

Click Save để  lưu, hoặc Save & Test Để lưu và kiểm tra.