9.1. Benutzer¶
Die Benutzereinstellungen finden Sie unter Authentifizierung → User.
Auf dem Benutzer-Bildschirm können Sie schnell einige Benutzereinstellungen wie Aktivieren/Deaktivieren und Löschen von Benutzern bearbeiten.
Benutzer werden in der Webgui angelegt und sind im Linux-System standardmäßig deaktiviert. Sie müssen sie explizit mit der Option Systemzugriff in den Benutzereinstellungen aktivieren.
Benutzer können in einer beliebigen Anzahl von Gruppen sein.
Damit sich ein Benutzer in das Webgui einloggen kann, ist die Mitgliedschaft in der System Admin oder System User Gruppe erforderlich. Andere Benutzer können für Dienste wie OpenVPN oder WebVPN verwendet werden.
9.1.1. Berechtigungen¶
Jeder Benutzer kann eine Reihe von Berechtigungen haben. Berechtigungen können für den Benutzer selbst oder durch Gruppenmitgliedschaften konfiguriert werden. Berechtigungen sind additiv, d.h. alle Berechtigungen von Gruppen und Benutzern werden addiert, um die Summe aller Berechtigungen für den Benutzer zu erhalten.
Seien Sie vorsichtig und überlegen Sie, welche Berechtigungen jeder Benutzer erhalten sollte.
Der Benutzer Admin hat immer alle Berechtigungen, unabhängig davon, welche Berechtigungen Sie in der GUI konfigurieren. Dieser Benutzer ist ein Superuser.
9.1.2. Sprache¶
Jeder Benutzer kann seine eigene Sprache ändern und konfigurieren. Standardmäßig haben alle Benutzer die globale Sprache, die in Einstellungen definiert ist.
9.1.3. API-Token¶
Jeder Benutzer hat automatisch generierte API-Token, um ohne Passwort auf die REST-API zuzugreifen. Der Benutzer benötigt immer noch die richtigen Berechtigungen, um auf eine beliebige Ressource zugreifen zu können. Der Token dient nur dazu, den Authentifizierungsprozess zu vereinfachen. Trotzdem funktionieren auch sein Benutzer und sein Passwort.
9.1.4. SSH¶
Der Benutzer kann hier seine(n) SSH-Schlüssel hinzufügen. Wenn in Einstellungen konfiguriert, kann er sich ohne Passwort anmelden. Die Option Systemzugang ist für den SSH-Zugang erforderlich. Wenn ein Benutzer Systemzugang hat, können Sie ihm auch Sudo-Zugang geben, um Root zu werden.
9.1.5. Authentifizierungsserver¶
Ein Benutzer kann mehrere Authentifizierungsserver haben. Wenn sich ein Benutzer einloggt, wird er gegen den ausgewählten Authentifizierungsserver authentifiziert. Die Standardeinstellung ist VT AIR DB. Um Ihr Authentifizierungs-Server-Setup zu ändern, gehen Sie bitte zu System → Auth. Server und navigieren zu Authentifizierungsserver.
9.1.6. Lesezeichen¶
Jeder Benutzer kann bis zu 5 Lesezeichen haben, die in der oberen rechten Ecke unter seinem Profil-Widget angezeigt werden. Dies ist eine Abkürzung zu den Menüs. Für den Zugriff auf ein Lesezeichen sind Benutzerberechtigungen erforderlich.
9.1.7. OpenVPN-Profile¶
Wenn ein Benutzer Teil einer OpenVPN-Verbindung ist, als Benutzer oder mit einem Benutzerzertifikat, kann der Benutzer die OpenVPN-Konfiguration im Abschnitt OpenVPN-Profil herunterladen. Der Abschnitt OpenVPN-Profil befindet sich am unteren Ende der Benutzeraktualisierungsseite sowie der Benutzereinstellungen/Benutzerprofilseite. Ein Benutzer kann nur seine eigenen OpenVPN-Konfigurationsdateien herunterladen und nicht die Konfigurationsdateien anderer Benutzer.
9.1.8. Zertifikat¶
Ein Benutzer kann mit einem Benutzerzertifikat verknüpft werden. Wenn Sie einen vorhandenen Benutzer aktualisieren, gibt es auch eine Schaltfläche Zertifikat erstellen, die ein Fenster zum Erstellen von Benutzerzertifikaten öffnet. Andernfalls können Sie zu Allgemein → Zertifikate gehen und dort ein Zertifikat erstellen.
9.1.8.1. Zwei-Faktor-Authentifizierung¶
Zwei-Faktor-Authentifizierung kann auf dem Webgui und OpenVPN verwendet werden. Wir verwenden One Time Passwörter und TOTP als zusätzliche Authentifizierung auf dem Benutzernamen und Passwort.
Sie können die Zwei-Faktor-Authentifizierungselemente hier erstellen und löschen und auch den QR-Code des TOTP sowie Ihre One Time Passwörter sehen. Einmalige Kennwörter werden gelöscht, nachdem sie verwendet wurden, und ein neues wird automatisch generiert.
Sie können jede TOTP-fähige App für Ihr Telefon verwenden, um die Codes zu verwenden, stellen Sie bitte sicher, dass die VT AIR Uhr synchronisiert ist, da TOTP von der korrekten Uhrzeit abhängt. Dafür gibt es viele verschiedene Apps, z.B. Google Authenticator oder Authy.
One Time-Passwörter können auch verwendet werden, um einer dritten Person Zugriff auf das Gerät zu gewähren, auf dem Sie nicht jedes Mal ein Benutzerkennwort zurücksetzen müssen. Geben Sie einfach ein einmaliges Passwort zusätzlich zu dem Benutzernamen und Passwort an.
9.1.9. Profil¶
Jeder angemeldete Benutzer kann sein eigenes Profil bearbeiten, indem er in die rechte obere Ecke des Bildschirms navigiert und auf seinen Namen klickt. Das Profil enthält neben den Namenseinstellungen auch Passwort, Sprache, SSH-Schlüssel und Lesezeichen.
9.1.10. Abmelden¶
Die Abmeldeoption befindet sich ebenfalls in der oberen rechten Ecke, wenn Sie auf den Namen klicken. Zusätzlich wird nach einer gewissen Zeit der Inaktivität die automatische Abmeldung den Benutzer von VT AIR trennen.