Admin users (/admin)
La posibilidad de acceder a la URL /admin está limitada a los usuarios administrativos.
Puede crear un usuario administrativo editando user.txt y añadiendo una línea como:
rdoe:verysecret:admin
El :admin
al final de la línea indica que rdoe
es un usuario administrativo.
Si su institución no incluye un lugar para introducir una contraseña en el formulario de acceso, omita la contraseña y utilice un nombre de usuario poco habitual, como por ejemplo
rdoeverysecret::admin
Una vez que haya añadido la línea apropiada a user.txt, puede ir a la URL /admin de su servidor, iniciar sesión, y debería ver una página de opciones administrativas.
Nota especial para la autenticación CAS, CGI y Shibboleth
Si está utilizando un método de autenticación que redirige a los usuarios a un lugar diferente para la autenticación, incluyendo CAS, CGI y Shibboleth, el inicio de sesión como usuario administrativo requiere que utilice una URL como esta:
http://ezproxy.yourlib.org:2048/login?user=rdoe&pass=verysecret
donde se especifica el nombre de usuario y la contraseña administrativa como parte de la URL /login. Si tiene que iniciar sesión de esta manera, limite los caracteres de su nombre de usuario y contraseña a letras, dígitos, guiones (-), guiones bajos (_) y puntos (.).
Nota de seguridad: Utiliza este método para acceder a tu cuenta de administrador con precaución, ya que esta URL completa, que contiene tu nombre de usuario y contraseña, se almacenará en tu archivo de registro de EZproxy cada vez que te conectes.
Después de iniciar la sesión, podrá acceder:
http://ezproxy.yourlib.org:2048/admin
Grupos de usuarios administrativos
Esta función está disponible en EZproxy 6.2.2 y posteriores. Anteriormente, las funciones de administración de EZproxy eran una propuesta de (casi) todo o nada, en la que los usuarios o bien tenían un privilegio administrativo total o ninguno. La única excepción era la capacidad de dar a los usuarios acceso a la función de referencia cruzada de tokens.
La mayoría de las opciones de la página de Administración pueden ahora concederse a los usuarios de forma individual asignándolos a grupos especiales. Al configurar este tipo de acceso, ya no se utiliza el comando histórico Admin, sino que los usuarios se colocan en grupos especiales que corresponden a la URL sobre la función Admin. Por ejemplo, la página de Auditoría está disponible desde /audit, por lo que el grupo que otorga acceso a ésta es Admin.Auditoría.
Los grupos disponibles son:
- Auditoría administrativa
- Admin.DecryptVar
- Grupos de administración
- Admin.Intrusión
- Admin.LDAP
- Mensajes de administración
- Admin.Restart
- Seguridad de la administración
- Admin.Shibboleth
- Admin.SSLUpdate
- Admin.SSLView
- Admin.StatusUpdate
- Admin.StatusView
- Ficha de administración
- Uso de la administración
- Admin.UsageLimits
- Usuario de administración
- Variables administrativas
La página /admin se ajusta automáticamente en función de la pertenencia al grupo para mostrar las opciones que corresponden a estas pertenencias al grupo.
Las páginas de SSL y de Estado tienen la capacidad de cambiar aspectos clave del comportamiento de EZproxy, por lo que estas funciones se han dividido en los grupos Actualizar y Ver. Los usuarios del grupo de Actualización tienen toda la funcionalidad disponible en las versiones anteriores, mientras que los usuarios del grupo de Vista sólo pueden ver la información de estas páginas.
Los usuarios que son administradores completos a través del comando Admin clásico o que tienen el privilegio Admin.Groups pueden ver una lista de todos estos grupos en la URL /groups.
Los usuarios administradores se asignan a estos grupos a través de user.txt. No se pueden utilizar dentro de config.txt.
No asigne a los individuos a los grupos de la siguiente manera:
someuser:somepass:group=Admin.StatusView
La entrada anterior equivale a:
::group=Admin.StatusView
someuser:somepass
que indica a EZproxy que todos los usuarios a partir de ese momento deben ser asignados al grupo Admin.StatusView.
En su lugar, añada usuarios a los grupos siguiendo este ejemplo:
::group=+Admin.StatusView
someuser:somepass
otheruser:otherpass
::group=-Admin.StatusView
Esto asignaría tanto a algúnusuario como a otrousuario en el grupo StatusView además de cualquier otro grupo ya configurado, asegurando al mismo tiempo que los usuarios que siguen no estarán en este grupo especial.
Dentro de un método de autenticación como LDAP, un ejemplo de uso sería:
::LDAP BindUser CN=ezproxy,CN=users,DC=yourlib,DC=org
BindPassword verysecret
ldap://ldapserv.yourlib.org/CN=users,DC=yourlib,DC=org?
sAMAccountName?sub?(objectClass=person)
IfUnauthenticated; Stop
IfUser jdoe; Group +Admin.StatusView
/LDAP
en el que se identifican usuarios específicos que tienen el grupo especial habilitado.
Al desplegar inicialmente los grupos, OCLC recomienda utilizar:
Audit Most Login.Success.Groups
Esto le dice a la función de Auditoría de EZproxy que incluya los grupos a los que se asigna un usuario en la columna Otros, facilitando la determinación de si los usuarios están siendo asignados a los grupos esperados.