05.03.10

АДИС. Руководство администратора

Программа управления пользователями

Назначение

Программа x7um предназначена для управления доступом пользователей к АДИС.

Программа позволяет визуализировать процесс редактирования конфигурационных файлов, ответственных за доступ в систему и наделение пользователей правами (нет необходимости вручную редактировать соответствующие файлы).

Программа предоставляет дополнительную защиту хранимых и обрабатываемых данных от несанкционированного или неквалифицированного доступа.

Возможности программы

Для управления пользователями программа предлагает набор ролей с унифицированными правами доступа и полномочиями по работе с объектами хранения.

Пользователь может быть наделен произвольным набором прав.

Описание используемых прав приведено в главе "Управление доступом к данным".

В целях недопущения случайного или злонамеренного повреждения системы, зайти в систему администратором может только лицо, зарегистрированное пользователем admin в операционной системе Linux. Таким образом, в интересах АДИС используются меры безопасности операционной системы, прошедшие проверку многолетней эксплуатацией в многопользовательском режиме.

Примечание. Не рекомендуется выполнять обычные функции оператора АДИС (ввод объектов в БД, просмотр рекомендательных списков и т.п.), зарегистрировавшись администратором системы.

При регистрации любого пользователя перед входом в систему программа выводит экранную форму с полями ввода имени пользователя и пароля. Эта же экранная форма будет выведена при выходе из АДИС для подтверждения выхода или перерегистрации.

При попытке войти в систему администратором, не зарегистрировавшись предварительно пользователем admin в операционной системе, будет открыто окно сообщения.

После проверки аутентичности доступа система откроет контрольную панель АДИС в соответствии с правами пользователя.

Внимание! Каждый сотрудник должен регистрироваться в АДИС, используя только свои имя и пароль. Недопустима передача имени пользователя и пароля другому лицу.

Программа позволяет объединять пользователей в группы с унифицированными правами доступа к разделам базы данных. Каждый пользователь может быть включен сразу в несколько групп.

Окно программы

Для вызова главного окна программы нажмите кнопку на контрольной панели.

Главное окно программы содержит меню, инструментальную панель и список пользователей. Список пользователей для администратора системы отличается от списка для всех прочих пользователей. В частности, администратор видит список всех зарегистрированных пользователей системы, в остальных случаях список содержит единственную запись собственной регистрации. В соответствии с принадлежностью различается и инструментальная панель.

Назначение кнопок

Кнопка	Дублирующая клавиша	Назначение
	F7	Добавить нового пользователя
	F4	Изменить данные пользователя
	F3	Просмотреть права пользователя
	Enter	Установить права пользователя
	Ctrl+Enter	Установить права на разделы базы данных
	F8	Удалить пользователя из системы
	F10	Выйти из программы

Содержимое списка

В списке отражена следующая информация о пользователях:

"Имя регистрации" - имя, под которым пользователь зарегистрирован в системе;
"Станция" - имя станции пользователя;
"Полное имя" - полное имя пользователя, зарегистрированного в системе;
"Права на БД" - отметка о наличии прав на какой-либо раздел базы данных, установленных пользователю;
"Группа" - наименование групп, к которым принадлежит пользователь.

Порядок работы администратора системы

Введение новых пользователей

Для введения в систему установочных данных нового пользователя в главном окне программы нажмите кнопку . Заполните поля ввода открывшейся экранной формы.

Обязательно должны быть заполнены поля с именем, паролем, подтверждением пароля (система должна убедиться, что администратор запомнил введенный пароль) и именем станции пользователя.

Имя станции выбирается из справочника.

В поле "Полное имя пользователя" рекомендуется вводить данные, позволяющие однозначно идентифицировать пользователя (например, его настоящие фамилию и имя).

Нажмите кнопку "ОK". Список пользователей автоматически пополнится новой записью.

Запись пользователя, введенная в течение текущей сессии, отмечена синим цветом.

Изменение персональных данных

Для изменения установочных данных пользователей нажмите кнопку . Появится экранная форма с установочными данными, содержащая поля ввода и подтверждения нового пароля.

Перемещая фокус между необходимыми полями ввода, введите исправленные данные. При необходимости установите новый пароль. Нажмите кнопку "OK".

Из установочных данных администратора может быть изменен только пароль.

Система позволяет любому зарегистрированному пользователю самостоятельно изменить свой пароль доступа к системе, при этом изменить псевдоним пользователя, полное имя и имя станции невозможно.

Установка и изменение общих прав пользователя

По умолчанию, на все разделы базы данных для пользователя или для группы пользователей действуют общие права - не путать с правами на раздел.

Для установки и изменения общих прав пользователя выберите его запись и нажмите кнопку . Откроется окно установки прав, содержащее список прав (как установленных пользователю, так и возможных для установки) и собственную инструментальную панель для выбора унифицированного набора прав.

Назначение кнопок

Кнопка	Дублирующая клавиша	Назначение
		Установить права обычного пользователя
		Установить права оператора
		Установить права эксперта
		Установить права администратора базы данных
	F10	Сохранить изменения и вернуться в главное окно

Используйте для перемещения селектора по списку указатель мыши или клавиши навигации. Обратите внимание, что перемещение с помощью левой кнопки мыши приводит к автоматической активизации опции меню, в то время как правая кнопка мыши оставляет пункт меню невыбранным. Отмена выбора производится аналогично, с помощью левой кнопки мыши. Перемещая селектор с помощью клавиш навигации "Вверх" и "Вниз", можно выделить запись или отменить выделение с помощью клавиши Insert.

Рекомендуется использовать унифицированные наборы прав, в соответствии с выбранным распределением ролей пользователей АДИС. Используйте для этого инструментальную панель окна установки прав. Однако, если требуется, то перечень общих прав пользователя может включать в себя и права определенной роли, и перечень дополнительных прав.

Система позволяет любому зарегистрированному пользователю просмотреть перечень своих общих прав. Для этого в главном окне программы нажмите кнопку . Откроется окно установки прав в режиме просмотра. Кнопки установки прав будут отсутствовать, а кнопка выхода принимает вид - .

Наделение пользователя функциями администратора системы

В систему может быть введен пользователь, не являющийся ее администратором, но владеющий всеми функциями контрольной панели администратора, исключая лишь управление другими пользователями. Для такого пользователя придется прописать права на контрольную панель администратора системы в конфигурационном файле papillon.ini в секции [Ingredients].

Например, в системе есть пользователь Ivanov, с которым связана станция ii.

В окне установки общих прав установите пользователю требуемые права (например, права администратора).

В секции [Ingredients] файла papillon.ini создайте параметр с именем ii и присвойте ему значение aw.

В данном случае, пользователь Ivanov получил права на меню администратора вместе с разрешением на работу с CD-рекордером (строчка ii=aw). Необходимо буквальное совпадение имени параметра и имени станции пользователя (имя регистрации в АДИС может быть произвольным).

Если пользователь Ivanov, введенный в систему в таком "полуавтоматическом" режиме, зарегистрируется теперь для работы, то его контрольная панель будет иметь следующий вид.

Описанный выше прием может быть полезен для конфигурирования системы под запросы опытных пользователей АДИС. Подобная гибкость системы аутентификации позволяет сочетать повышенные меры безопасности с широкими возможностями индивидуальной настройки.

Управление псевдонимами разделов

Псевдоним объединяет группу разделов базы данных общим наименованием, состоящим из произвольного набора латинских букв и цифр.

Для введения псевдонима разделов базы данных используйте ниспадающее меню "Файл". Выберите пункт "Псевдонимы разделов БД".

Появится окно со списком псевдонимов, содержащее кнопки для управления этим списком.

Чтобы добавить новый псевдоним нажмите кнопку "Добавить". В открывшейся экранной форме введите наименование псевдонима и соответствующий ему список разделов.

Поле ввода "Список разделов БД (hex)" снабжено справочником. В него включены элементы перечня шестнадцатеричных имен разделов.

После выбора раздела из справочника нажмите левую кнопку мыши или клавишу Enter. При необходимости, повторите эти действия со следующим разделом. Для завершения процедуры нажмите еще раз клавишу Enter или кнопку "OK".

Для изменения или удаления ранее введенного псевдонима используйте кнопки "Изменить" и "Удалить" соответственно.

Для выхода из вспомогательного окна нажмите кнопку "Закрыть". Текущий список псевдонимов будет при этом сохранен.

Установка дополнительных прав на разделы базы данных

Если необходимо расширить список разрешенных действий пользователя или группы пользователей в том или ином разделе базы данных, добавьте права на раздел для данного пользователя или группы. Для этого выберите нужную запись и нажмите кнопку .

Появится окно со списком разделов и псевдонимов, содержащее кнопки для управления этим списком.

Для того, чтобы позволить пользователю работать с определенным перечнем разделов, нажмите кнопку "Добавить". При первом обращении в течение одной сессии система откроет окно сообщения с подсказкой.

Нажмите кнопку "OK".

Появится экранная форма, содержащая поле ввода со справочником.

В справочнике присутствуют все имена разделов (доступные шестнадцатеричные номера базы данных) и псевдонимы.

Выберите раздел или псевдоним и нажмите кнопку "OK" или клавишу Enter.

Для установки дополнительных прав пользователя относительно объектов хранения выбранных разделов нажмите кнопку "Изменение прав". Появится окно с меню установки прав.

Установите требуемые права пользователя на выбранный раздел (псевдоним) базы данных. Действуйте по аналогии с установкой общих прав пользователя.

Используйте кнопку "Удалить" для удаления записи о правах пользователя на выбранный раздел (псевдоним) базы данных. В этом случае система попросит подтверждения.

Для закрытия окна установки прав на разделы базы данных нажмите кнопку "Закрыть".

Чтобы ограничить права пользователя или группы на раздел, необходимо уменьшить не только права на раздел, но и изменить общие права пользователя или группы и добавить изъятые из общих прав позиции в права для остальных разделов.

Система позволяет любому зарегистрированному пользователю просмотреть перечень его дополнительных прав на различные разделы БД. Для этого в главном окне программы используется кнопка . При ее нажатии откроется окно со списком разделов и псевдонимов в режиме просмотра. Кнопки добавления и удаления псевдонимов и разделов, а также кнопка для изменения прав будут отсутствовать.

Конфигурирование групп пользователей

Группы пользователей используются для предоставления им групповых прав. Права группы, к которой принадлежит пользователь, добавляются к общим правам пользователя.

Выберите пункт "Группы пользователей" ниспадающего меню "Файл" или нажмите кнопку F5. Главное окно программы изменит свой вид. Изменится назначение и состав кнопок, станут активными пункты меню, предназначенные для конфигурирования групп пользователей, и, наоборот, недоступными станут некоторые функции по управлению персональными пользователями.

Назначение кнопок

Кнопка	Дублирующая клавиша	Назначение
	F7	Добавить группу
	F4	Изменить параметры группы
	Ctrl+Enter	Установить права на разделы базы данных
	F8	Удалить группу
	F10	Вернуться в окно со списком пользователей

Создание группы пользователей

Нажмите кнопку . В открывшейся экранной форме введите имя группы и ее состав из справочника.

Изменение параметров группы

У зарегистрированной группы пользователей может быть изменено имя и состав.

Нажмите кнопку . В открывшейся экранной форме измените текущие данные в полях ввода.

Установка коллективных прав доступа к разделам

Нажмите кнопку . Откроется окно списка доступных разделов, содержащее кнопки для управления списком. Атрибуты списка - имена (псевдонимы) разделов базы данных и роли (права), определенные для группы.

Добавление прав группе производится аналогично определению прав на разделы пользователям, с использованием кнопок "Добавить" и "Изменение прав".

В случае уменьшения набора прав у группы, изъятые права будут утрачены каждым членом группы только в том случае, если изымаемый набор прав отсутствует в общих правах данного пользователя.

Для удаления записи нажмите кнопку "Удалить". Система попросит подтверждения.

Нажмите кнопку "Да".

В случае удаления записи не действует приоритет уменьшения групповых прав по отношению к иным основаниям доступа, таким как персональное право или членство в другой группе, обладающей этим правом.

Обзор прав пользователя

Нажмите кнопку . Окно содержит список реквизитов пользователя и его прав.

В данном случае, пользователь Ivanov имеет общие права обычного пользователя. Однако, для него открыт доступ:

к разделу БД с номером 270f с правами администратора;
к разделу БД с номером 03e8 с правами эксперта;
к разделам БД, объединенным псевдонимом "CARD", с правами обычного пользователя и с дополнительными правами на выборку и просмотр без фильтрации дактилокарт и следов.

Кроме того, он принадлежит к группе "GR_OPERATOR", а для группы открыт доступ к разделу БД с номером 270e с правами администратора.

Удаление пользователей

Нажмите кнопку . Появится окно вопроса для подтверждения решения удалить данного пользователя.

После нажатия кнопки "Да" последует окно сообщения о предстоящем удалении рабочего каталога пользователя с просьбой подтвердить решение об удалении.

Рабочие каталоги пользователей располагаются в каталоге $PPLN/wrk/. Рабочий каталог содержит статистику работы пользователя и персональные настройки. Его следует сохранить, если данный пользователь может быть вновь введен в систему.

Чтобы сохранить рабочий каталог удаляемого из системы пользователя, нажмите кнопку "Нет".

Взаимодействие с установками предыдущих версий АДИС

Данные о пользователях могут быть импортированы из файла local.users (в настоящей версии не используется и не поддерживается). Установочные данные файла remote.users должны быть введены как новые пользователи.

Выберите пункт "Импорт из файла local.users" меню "Файл". Откроется окно выбора файла.

Окно содержит инструментальную панель, поля ввода фильтра (по умолчанию local.users*), пути файла со справочником закладок и собственной инструментальной панелью, кнопки для продолжения работы, а также списки каталогов и файлов (в соответствии с фильтром).

Назначение кнопок

Кнопка	Назначение
	Выбрать закладку из списка
	Добавить закладку
	Удалить закладку
	Создать новый каталог

Укажите путь файла с данными пользователей. При необходимости, удалите закладку с указанием пути файла или введите новую. Нажмите кнопку "Продолжить". Появится форма ввода пароля доступа импортируемых пользователей.

Система проверит соответствие зарегистрированных в системе и импортируемых записей и введет только уникальные, то есть не имеющие двойников имена.

Диагностика прав

В случае, когда оператор пытается выполнить операцию, выходящую за рамки установленных для него прав, появится соответствующее сообщение. Действие будет запрещено. Для продолжения работы пользователь должен нажать правую кнопку мыши или клавишу Esc и, при необходимости, обратится к администратору системы за расширением своих прав (средствами настоящей программы).

Например, при попытке выполнить неразрешенные действия в открытом окне просмотра базы данных откроется окно с указанием этого действия.

Аналогичное окно будет открыто, если соответствующее право дано не на все сегменты с обрабатываемыми объектами. Программа откроет окно сообщения с указанием количества сегментов, для которых не были установлены соответствующие права.

Полный список прав приведен в главе "Управление доступом к данным".

Переустановка системы аутентификации

В случае фатальной утраты пароля пользователя admin в АДИС или иных непредвиденных обстоятельств, барьер аутентификации может быть взломан с последующим введением новых установочных данных пользователей.

Для повторной регистрации администратора АДИС:

Запустите Х-терминал и зарегистрируйтесь пользователем admin.
Удалите конфигурационный файл afis.passwd. Местонахождение этого файла - каталог $PPLN/conf/. Для перемещения по файловой системе АДИС и удаления файла можно воспользоваться программой Midnight Сommander (вызывается командой mc).
Введите команду x7ppln. Появится экранная форма с полями ввода.

Нажмите кнопку "Ок". Откроется окно вопроса.

Нажмите кнопку "Да". Регистрация администратора системы завершена. Система откроет окно программы управления пользователями. В списке присутствует единственная учетная запись администратора системы.

Для того, чтобы открыть контрольную панель администратора системы, выйдите из программы управления пользователями и введите пароль пользователя admin (по умолчанию - "admin") в соответствующем поле ввода экранной формы. Нажмите кнопку "Ок".

Выход из программы

Для выхода из программы управления пользователями нажмите кнопку или клавишу F10.