Управление учетными данными
INFRAX получает учетные данные из системы IDENTYX. Создание, редактирование и управление учетными данными осуществляется через интерфейс IDENTYX.
Данный раздел описывает только то, как INFRAX использует учетные данные. Для получения информации о создании и управлении учетными данными, обращайтесь к документации IDENTYX:
📖 Документация IDENTYX по учетным данным:
INFRAX использует централизованную систему управления учетными данными, которая интегрируется с внешней системой управления идентификацией IDENTYX. Это обеспечивает безопасное хранение, иерархическое наследование и автоматический выбор подходящих учетных данных для подключений.
Обзор системы
Система управления учетными данными в INFRAX решает несколько ключевых задач:
Возможности системы
- Централизованное хранение — все учетные данные хранятся в единой защищенной системе IDENTYX
- Типизация по протоколам — поддержка различных типов учетных данных для разных сервисов
- Иерархическое наследование — настройка учетных данных на уровне папок с автоматическим наследованием
- Автоматический выбор — система Best Credential автоматически находит наиболее подходящие учетные данные
- Интеграция с IAM — тесная интеграция с системой управления идентификацией
Хранение учетных данных
INFRAX поддерживает хранение учетных данных для различных типов подключений и протоколов.
Поддерживаемые типы учетных данных
| Тип | Назначение | Поддерживаемые поля |
|---|---|---|
rdp |
Remote Desktop Protocol | Логин, пароль, домен |
ssh |
Secure Shell | Логин, пароль, приватный ключ, passphrase |
vnc |
Virtual Network Computing | Пароль VNC, SSH логин и пароль (для туннеля) |
winbox |
MikroTik RouterOS | Логин, пароль |
vmware |
VMware vSphere/vCenter | Логин, пароль |
proxmox |
Proxmox VE | Логин, пароль |
hyperv |
Microsoft Hyper-V | Логин, пароль, домен |
Все учетные данные физически хранятся в системе IDENTYX. INFRAX получает доступ к ним через защищенный API, используя OIDC сессию пользователя.
Управление учетными данными через IDENTYX
Для добавления или изменения учетных данных используется всплывающее окно IDENTYX, которое открывается при необходимости ввода credentials.
Способы открытия окна IDENTYX
- При попытке удаленного подключения к узлу без сохраненных учетных данных
- При выполнении операций, требующих аутентификации (установка агентов, выполнение скриптов)
- При явном запросе через кнопку "Запросить учетные данные у IDENTYX" в форме ввода
Иерархическое наследование
Одна из ключевых особенностей системы — возможность настройки учетных данных на уровне папок в иерархии узлов с автоматическим наследованием вложенными узлами.
Принцип работы наследования
Уровни настройки учетных данных
- Корневая папка (/objects) — учетные данные доступны для всех узлов в системе
- Родительские папки — учетные данные доступны для всех вложенных папок и узлов
- Конкретный узел — учетные данные привязаны только к этому узлу
Пример иерархии
/objects
├── /datacenter1
│ ├── Server1 ← Наследует учетные данные от /datacenter1
│ └── Server2 ← Наследует учетные данные от /datacenter1
└── /datacenter2
├── Server3 ← Наследует учетные данные от /datacenter2
└── Server4 ← Имеет собственные учетные данные (переопределение)Вы можете настроить учетные данные один раз на уровне папки (например, для всех серверов в датацентре), и они автоматически будут применяться ко всем вложенным узлам. Это значительно упрощает управление в больших инфраструктурах.
Переопределение учетных данных
Если для конкретного узла требуются другие учетные данные, вы можете переопределить унаследованные credentials, добавив учетные данные непосредственно для этого узла в IDENTYX.
Система Best Credential
Best Credential — это интеллектуальная система автоматического выбора наиболее подходящих учетных данных для подключения к узлу.
Как работает Best Credential
Алгоритм выбора учетных данных
- Запрос к IDENTYX API — система запрашивает все доступные учетные данные для узла
- Фильтрация по типу — отбираются учетные данные нужного типа (rdp, ssh, и т.д.)
- Учет иерархии — система анализирует как учетные данные узла, так и унаследованные от папок
- Автоматический выбор — если найдена ровно одна подходящая запись, она используется автоматически
- Выбор пользователем — если найдено несколько вариантов, пользователю предлагается выбрать
Благодаря Best Credential, в большинстве случаев вам не нужно вручную выбирать или вводить учетные данные — система автоматически подбирает нужные credentials и сразу устанавливает подключение.
Режимы работы
| Режим | Описание | Когда используется |
|---|---|---|
| Автоматический | Система сама выбирает единственные подходящие учетные данные | Когда для узла и типа подключения есть ровно одна запись учетных данных |
| С выбором | Пользователю предлагается выбрать из нескольких вариантов | Когда найдено несколько подходящих учетных данных |
| Ручной ввод | Пользователь вводит учетные данные вручную | Когда учетные данные не найдены, или пользователь выбирает ручной ввод |
Параметры поиска
strict_type
Параметр strict_type определяет строгость поиска учетных данных:
- false (по умолчанию) — система может вернуть учетные данные близкого типа, если точное совпадение не найдено
- true — система вернет только учетные данные строго указанного типа
Использование учетных данных
Ввод учетных данных при подключении
Когда вы пытаетесь подключиться к узлу, система автоматически пытается получить учетные данные через Best Credential API. Если автоматический выбор невозможен, открывается окно ввода учетных данных.
Окно ввода учетных данных содержит:
- Поле "Домен" — опциональное, используется для Windows-подключений
- Поле "Имя пользователя" — логин для подключения
- Поле "Пароль" — пароль для подключения
- Кнопка "Запросить учетные данные у IDENTYX" — открывает окно IDENTYX для выбора сохраненных учетных данных
- Кнопка "Получить учетные данные автоматически" — доступна при массовых операциях (установка агентов)
Автоматическое получение учетных данных
При выполнении массовых операций (например, установка агентов на множество узлов) доступен режим автоматического получения учетных данных.
При выборе режима "Получить учетные данные автоматически", система самостоятельно найдет подходящие учетные данные для каждого узла через Best Credential API, что избавляет от необходимости вводить credentials для каждого узла отдельно.
Проверка доступности учетных данных
Система IDENTYX может проверять работоспособность учетных данных перед их применением, что помогает избежать неудачных попыток подключения.
Безопасность учетных данных
Безопасность учетных данных обеспечивается комплексом мер на различных уровнях системы.
Меры безопасности
Хранение и передача
- Централизованное хранилище — все учетные данные хранятся в защищенной системе IDENTYX
- Шифрование — пароли и приватные ключи хранятся в зашифрованном виде
- HTTPS — все взаимодействие с IDENTYX API происходит по защищенному соединению
- OIDC сессии — доступ к учетным данным возможен только в рамках активной OIDC сессии пользователя
Контроль доступа
- Права доступа — система прав INFRAX определяет, к каким узлам пользователь может подключаться
- Аудит — все операции с учетными данными логируются
- Изоляция — учетные данные не хранятся в самом INFRAX, только временно загружаются при необходимости
Учетные данные передаются из IDENTYX в INFRAX только для конкретной операции и не сохраняются в базе данных INFRAX. После завершения операции они удаляются из памяти.
Рекомендации по безопасности
- Используйте различные учетные данные для разных уровней доступа
- Регулярно меняйте пароли через систему IDENTYX
- Для SSH-подключений предпочитайте использование приватных ключей вместо паролей
- Настраивайте учетные данные на максимально высоком уровне иерархии для упрощения ротации
- Проверяйте логи доступа к учетным данным
Рекомендации по работе
Организация учетных данных
Структурирование по иерархии
Организуйте учетные данные в соответствии с иерархией вашей инфраструктуры:
- Общие учетные данные для всей организации — на корневом уровне
- Учетные данные для датацентра/локации — на уровне соответствующих папок
- Специфичные учетные данные — непосредственно для конкретных узлов
Типизация учетных данных
Создавайте отдельные учетные записи для разных типов подключений:
- RDP-подключения к Windows серверам
- SSH-подключения к Linux серверам
- Административные подключения к сетевому оборудованию
- Учетные данные для управления виртуализацией
Управление жизненным циклом
Регулярная ротация паролей
- Установите регулярный график смены паролей (например, раз в 90 дней)
- Меняйте пароли в системе IDENTYX
- Благодаря централизованному хранению, изменения автоматически применяются во всех INFRAX
- Проверяйте работоспособность обновленных учетных данных
При использовании иерархического наследования смена учетных данных на уровне папки автоматически распространяется на все вложенные узлы, что значительно упрощает ротацию паролей в крупных инфраструктурах.
Устранение типичных проблем
Учетные данные не находятся автоматически
Возможные причины:
- Учетные данные не добавлены в IDENTYX для данного узла или родительской папки
- Тип учетных данных в IDENTYX не соответствует запрашиваемому протоколу
- Указан параметр strict_type, но точного совпадения типа нет
Решение: Откройте окно IDENTYX и добавьте учетные данные нужного типа для узла или его родительской папки.
Система предлагает выбрать из нескольких учетных данных
Причина: Для узла и типа подключения найдено несколько подходящих учетных записей (например, одни на уровне узла, другие унаследованы от папки).
Решение: Выберите наиболее подходящие учетные данные из списка, или удалите лишние записи в IDENTYX.