本文为您介绍嬴图Manager中的用户角色、用户组和登录认证。这些设置能帮助管理员安全且高效地实现系统的访问控制。
管理用户
导航至切换连接 > 管理员设置 > 用户,即可管理用户。请注意,只有管理员才能访问管理员设置。
管理员可以:
- 修改用户的角色:用户或管理员
- 更新用户状态:启用或停用。被停用的用户将无法登录Manager
- 分配或修改用户组
- 重置用户密码
- 重置用户MFA(多因素认证)
- 删除用户
- 创建用户
- 管理用户的连接
用户角色
Manager用户共有两类角色:
- 用户:用户注册后获得的默认角色。
- 管理员:
root用户和获得管理员角色的用户。
用户组
用户组可以高效组织和管理系统中的用户,尤其适用于角色与职责不同的多用户场景。
导航至切换连接 > 管理员设置 > 用户组,即可管理用户组。请注意,只有管理员才能访问管理员设置。
管理员可以:
- 编辑用户组:包括组名、用户角色及组内成员
- 删除用户组
- 新建用户组
登录认证
嬴图Manager支持以下两种认证模式:
System
默认模式,即在嬴图Manager中管理和认证用户账号。
LDAP
开启后,用户的登录凭证将通过所在组织的LDAP服务器进行验证,该方式多应用于企业的集中访问控制。
开启LDAP登录:
- 导航至切换连接 > 管理员设置 > 设置 > 安全 > 登录认证模式。请注意,只有管理员才能访问管理员设置。
- 切换开启LDAP 至on并完成以下配置:
设置 |
描述 |
|---|---|
| LDAP地址 | LDAP服务器地址,通常以ldap://或ldaps://开头(例如,ldap://ldap.example.com:389) |
| Ldap Base Dn | 查找用户开始的基础识别名称,用于定义LDAP目录树的根位置,例如dc=example,dc=com |
| Attribute | 登录标识符属性,如uid、sAMAccountName或cn |
| 管理员DN | 拥有目录用户搜索权限的LDAP账户的完整识别名称 |
| Admin Password | 上述管理员DN的密码 |
| Groups Search Base | 系统查找用户组使用的基础识别名称,例如ou=groups,dc=example,dc=com |
| Group Class | 用户组的LDAP对象类,例如groupOfNames或group |
| Group Member Attribute | 用于列举用户组中成员的属性,例如member或memberUid |
| Group Member User Attribute | 用于组映射的相应用户属性,例如dn或uid |
使用LDAP账号登录嬴图Manager时,在登录页选择LDAP,然后输入用户名和密码。
嬴图Manager强制要求
root用户使用System认证模式。
LDAP用户登录Manager后,管理员可在切换连接 > 管理员设置 > 用户处管理该用户。
多因素认证(MFA)
多因素认证(MFA)要求用户使用认证应用程序验证其身份,从而增强账号安全性:
- 首次登录时,系统会提示用户设置MFA应用程序。
- 设置完成后,用户每次登录时,除了密码外,还需输入一个有时限的一次性认证码。
管理员可通过切换连接 > 管理员设置 > 设置 > 安全 > 强制开启MFA,强制要求所有用户启用MFA。普通用户也可自行选择是否开启。
密码强度
管理员可在切换连接 > 管理员设置 > 设置 > 安全 > 密码强度中设定密码强度:
- 弱: 最少6个字符
- 中: 最少6个字符,需包括字母、数字和特殊字符
- 强: 最少8个字符,需包括大小写字母、数字和特殊字符
设定的密码强度规则适用于嬴图Manager管理的用户。通过LDAP认证的账号不受此限制。