Configuración de nuevos usuarios administradores en BroadWorks

Introducción

Este documento describe diferentes tipos de cuentas de administrador en BroadWorks Application Server (AS) y los pasos para crear nuevas cuentas.

Antecedentes

Cisco BroadWorks es una aplicación instalada en la parte superior del sistema operativo Linux y a la que se puede acceder a través de varias interfaces. Por lo tanto, incluye varias cuentas de administrador diferentes:

• Usuario raíz: cuenta creada durante la instalación del sistema operativo. Proporciona acceso completo al sistema, por lo que debe utilizarse con precaución. Está fuera del alcance de este artículo; debe aplicar las directrices del proveedor de su sistema operativo para administrar el acceso raíz y mantenerlo seguro. Por ejemplo, puede consultar el documento de acceso de superusuario de Red Hat si BroadWorks está instalado en Red Hat Enterprise Linux (RHEL).
• Administrador de BroadWorks (también conocido como bwadmin): cuenta utilizada para administrar la aplicación BroadWorks y acceder a ella a través de la interfaz de línea de comandos (CLI).
• Administrador del sistema: cuenta utilizada para iniciar sesión en la aplicación BroadWorks a través de la interfaz Web.
• Distribuidor/Empresa/Proveedor de servicios/Administrador de grupo: cuenta utilizada para gestionar un revendedor/Empresa/Proveedor de servicios/Grupo concreto.
  
  

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Administración básica de BroadWorks.
• Comandos Linux básicos.
  
  

Componentes Utilizados

La información de este documento se basa en BroadWorks AS versión R24.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Administrador de BroadWorks

Configurar

La cuenta de administrador inicial de BroadWorks se crea durante la instalación de BroadWorks. Para crear cuentas adicionales, siga estos pasos:
Paso 1. Inicie sesión en BroadWorks CLI con sus credenciales raíz.

Paso 2. Vaya al directorio /usr/local/broadworks/bw_base/sbin:

[root@as1 ~]# cd /usr/local/broadworks/bw_base/sbin

Paso 3. Ejecute el comando bwuseradd -h para enumerar las opciones de configuración:

[root@as1 sbin]# ./bwuseradd –h
Missing argument: role
bwuseradd Version 1.14
USAGE: bwuseradd   
     
     
       <-r, --role BWORKS|BWSUPERADMIN|OPERATOR|VIEWER> [-p, --passwd password] [-d, --default] [-c, --centralized] [-v, --verbose] [-h, --help] Parameters: 
      
        : the new user name -r, --role : the user assigned role -p, --passwd : the user password. Enclose the password in single quotes if it contains special characters. -d, --default : reset passwd -c, --centralized : for centralized user management -v, --verbose : run in verbose mode -h, --help : print this Help Description: Invokes Unix/ldap commands to create a local/centralized bw user Example: bwuseradd -r OPERATOR --passwd admin123 admin 
       
     

Al crear la nueva cuenta, debe seleccionar una de las cuatro funciones:

• BWSUPERADMIN: esta función tiene acceso raíz para el archivo de instalación. Esta función se utiliza para instalar y actualizar Cisco BroadWorks.
• BWORKS: esta función puede iniciarse, detenerse y realizar modificaciones con la CLI u otras herramientas disponibles en los servidores de Cisco BroadWorks.
• OPERADOR: esta función puede configurar archivos de configuración de Cisco BroadWorks, pero no puede iniciar ni detener Cisco BroadWorks.
• VISOR: este rol puede ver la configuración actual pero no puede realizar ninguna modificación.

Puede consultar la Guía de Configuración de Cuentas de Usuario de UNIX para obtener más información sobre los comandos utilizados en esta sección.

Paso 4. Ejecute el comando bwuseradd para crear un nuevo usuario:

[root@as1 sbin]# ./bwuseradd -r BWORKS --passwd bwadmin1 bwadmin1
Changing password for user bwadmin1.
passwd: all authentication tokens updated successfully.

User will be required to change password upon next login
Expiring password for user bwadmin1.
passwd: Success

WARNING: Please make sure this user is created on all servers.

WARNING: Do not forget to run 'config-ssh -createKeys 
     
     
       ' for the new user. 
     

Paso 5. Si AS está instalado en el modo de clúster, ejecute el mismo comando en el nodo secundario:

[root@as2 sbin]# ./bwuseradd -r BWORKS --passwd bwadmin1 bwadmin1
Changing password for user bwadmin1.
passwd: all authentication tokens updated successfully.

User will be required to change password upon next login
Expiring password for user bwadmin1.
passwd: Success

WARNING: Please make sure this user is created on all servers.

WARNING: Do not forget to run 'config-ssh -createKeys 
     
     
       ' for the new user. 
     

Paso 6. Inicie sesión como nuevo usuario; se le solicitará que restablezca la contraseña:

bwadmin1@as1's password:
You are required to change your password immediately (administrator enforced)
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user bwadmin1.
Current password:
New password:
Retype new password:

Paso 7. Ejecute el comando bin para navegar a /usr/local/broadworks/bw_base/bin en el AS primario:

bwadmin1@as1.mleus.lab$ bin
bwadmin1@as1.mleus.lab$ pwd
/usr/local/broadworks/bw_base/bin

Paso 8. Ejecute el comando config-ssh para crear un par de claves comunes:

bwadmin1@as1.mleus.lab$ ./config-ssh -createKeys bwadmin1@as2

==============================================
==== SSH CONFIGURATION TOOL version 2.2.22  ====
=> Setting default settings <=
   Setting 'StrictHostKeyChecking no'
   Setting 'ServerAliveInterval 250'
=> DNS Sanity test <=
   [###############]
   [...............]
   Configured: y, Reachable: y, Resolved: y, Required: n.
   Using bwadmin1@as1.mleus.lab as local peer name for as1.mleus.lab.
=> DNS OK <=
=> Peer reachability test <=
   [###]
   [...]
=> Creating SSH keys <=
   Creating keys for bwadmin1@as2...
bwadmin1@as2's password:
     Generating ecdsa key...
     Generating rsa key...

   Creating keys for bwadmin1@as1.mleus.lab...
bwadmin1@as1.mleus.lab's password:
     Generating ecdsa key...
     Generating rsa key...

=> Keying SSH <=
   Preparing bwadmin1@as1.mleus.lab for keying...

     Cleaning public keys for bwadmin1@as2...
   Sharing keys with bwadmin1@as2...
     Pushing local public keys...
bwadmin1@as2's password:
     Pulling remote public keys...
bwadmin1@as2's password:
   Sharing keys with bwadmin1@as2...		[done]


=> Fully meshing SSH peers <=

=> Recursing with bwadmin1@as2 <=
   Pushing config-ssh script to bwadmin1@as2...
   Launching config-ssh on bwadmin1@as2...

=> Setting default settings <=
   Adding 'StrictHostKeyChecking no'
   Adding 'ServerAliveInterval 250'
=> DNS Sanity test <=
   [###############]
   [...............]
   Configured: y, Reachable: y, Resolved: y, Required: n.
   Using bwadmin1@as2.mleus.lab as local peer name for as2.mleus.lab.
=> DNS OK <=
=> Peer reachability test <=
   [###]
   [...]
=> Keying SSH <=
   Preparing bwadmin1@as2.mleus.lab for keying...

     Cleaning public keys for bwadmin1@as1.mleus.lab...
   Sharing keys with bwadmin1@as1.mleus.lab...
     Pushing local public keys...
     Pulling remote public keys...
   Sharing keys with bwadmin1@as1.mleus.lab...		[done]


=> Testing ssh configuration <=
   Testing bwadmin1@as2...			[done]

==== SSH CONFIGURATION TOOL completed ====

Verificación

Para verificar el nuevo usuario, inicie sesión en CLI con nuevas credenciales y ejecute algunos comandos básicos de BroadWorks:

bwadmin1@as1.mleus.lab$ bwshowver
AS version Rel_24.0_1.944

Built  Sat Jun  6 00:26:50 EDT 2020
- BASE revision 909962
- AS revision 909962


Patching Info:
  Active Patches: 701

bwadmin1@as1.mleus.lab$ bwcli
======================================================================
BroadWorks Command Line Interface
  Type HELP for more information
======================================================================

AS_CLI>

Administrador del sistema

Configurar

Paso 1. Navegue hasta la página https://<AS_FQDN>/Login e inicie sesión en la interfaz web de AS.

Paso 2. Vaya a System > Profile > Administrators.

Paso 3. Haga clic en el botón Agregar.

Paso 4. Rellene todos los campos:

Hay dos tipos de administradores que se pueden seleccionar:

• El sistema proporciona al administrador acceso completo al sistema.

• El aprovisionamiento ofrece al administrador un acceso limitado al sistema con el fin de añadir nuevos clientes y gestionar cuentas de clientes.

Paso 5. Haga clic en Aceptar para guardar los cambios.

Verificación

Navegue hasta System > Profile > Administrators y busque la cuenta recién creada:

Cierre la sesión y vuelva a iniciarla con un nuevo conjunto de credenciales (se le solicitará que cambie la contraseña):

Desplácese por el menú para confirmar que todas las opciones necesarias están disponibles.

También puede verificar las nuevas credenciales a través de CLI. Abra BroadWorks CLI (BWCLI) y ejecute el comando login con un nuevo conjunto de credenciales:

AS_CLI> login webadmin
Password:
webadmin logging in...

Distribuidor/Empresa/Proveedor de servicios/Administrador de grupo

Configurar

Paso 1. Navegue hasta la página https://<AS_FQDN>/Login e inicie sesión en la interfaz web de AS.

Paso 2. Vaya a System > Profile y, a continuación, a Reseller, Enterprises, Service Providers o Grouppara los que desea crear administrator. Service Provider se utiliza en este ejemplo de configuración, pero la configuración para otras entidades es idéntica.

Paso 3. Seleccione el proveedor de servicios al que desea agregar un nuevo administrador.

Paso 4. Navegue hasta Perfil > Administradores y haga clic en el botón Agregar.

Paso 5. Rellene todos los campos:

Hay tres tipos de administradores que se pueden seleccionar para proveedor de servicios/empresa (para revendedor y grupo no hay selección de tipo):

• El proveedor de servicios crea un administrador normal, con acceso a la interfaz web determinado por las directivas que se establecen en la página Directivas del administrador.

• El cliente crea un administrador de clientes.  El administrador del cliente solo tiene acceso a las páginas Groups, Users, Service Instances y Change Password para su proveedor de servicios.  El administrador del cliente tiene acceso a las páginas de grupo de todos los grupos, con la excepción del acceso de solo lectura a la página Interceptar grupo y de no acceso a la página Capacidad de llamada.  Puede restringir aún más el acceso del administrador del cliente mediante las políticas que establezca en la página Directivas del administrador.

• Sólo restablecimiento de contraseña permite al administrador modificar sólo las contraseñas de usuario. El administrador no tiene acceso a otras páginas, datos o comandos de la interfaz web.

Paso 6. Haga clic en Aceptar para guardar los cambios.

Verificación 

Navegue hasta Sistema > Perfil > Proveedores de servicio o Empresas y seleccione la entidad para la que creó la cuenta de administrador. Luego navegue hasta Perfil > Administradores y busque administrador recién creado:

Cierre la sesión y vuelva a iniciarla con un nuevo conjunto de credenciales (se le solicitará que cambie la contraseña):

Desplácese por el menú para confirmar que sólo están visibles los ajustes relacionados con una empresa o proveedor de servicios concretos.

Agregar cuentas de administrador con comandos CLI

Todas las cuentas de acceso web también se pueden crear a partir de comandos BWCLI. Esto no se trata en este documento en detalle, pero aquí están los respectivos comandos para referencia:

• Administrador del sistema:
  

  AS_CLI/SubscriberMgmt/Administrator> h add
  When adding a new administrator to the system, you set the administrator user
  ID, access level, first and last names, and password.
  
  Parameters description:
  userId   : The user ID for the administrator.
  type     : when set to "system", allows for complete access to the Application
             Server CLI and its functions.
             When set to "prov", allows only limited access to the Application
             Server CLI, specifically functions in the network level only.
  readOnly : Cannot configure the system.
  attribute: Additional attributes to include through the add command.
  lastName : The user's last name.
  firstName: The user's first name.
  language : Indicates the language to be used for the administrator.
  
  ======================================================================
  add
      
         
         
           , String {2 to 80 characters} 
          
            , Choice = {system, prov} 
           
             , Choice = {false, true} [ 
            
              , Multiple Choice = {lastName, firstName, language}] 
             
               , String {1 to 30 characters} 
              
                , String {1 to 30 characters} 
               
                 , String {1 to 40 characters}​ 
                
               
              
             
            
           
         

• Administrador de revendedores:
  

  AS_CLI/SubscriberMgmt/Reseller/Administrator> h add
  This command is used to add a new reseller administrator. When this command is
  used, you are prompted for password information.
  
  Parameters description:
  resellerId: The ID of the reseller.
  userId    : The user ID for the reseller administrator.
  attribute : Additional attributes to include with the name command.
  lastName  : This parameter specifies the reseller administrator's last name.
  firstName : This parameter specifies the reseller administrator's first name.
  language  : This parameter specifies the reseller administrator's supported
              language.
  
  ======================================================================
  add
      
         
         
           , String {1 to 36 characters} 
          
            , String {2 to 80 characters} [ 
           
             , Multiple Choice = {lastName, firstName, language}] 
            
              , String {1 to 30 characters} 
             
               , String {1 to 30 characters} 
              
                , String {1 to 40 characters}​ 
               
              
             
            
           
         

• Administrador de empresa/proveedor de servicios:
  

  AS_CLI/SubscriberMgmt/ServiceProvider/Administrator> h add
  When adding a new service provider administrator to the system, the
  corresponding service provider administrator's user ID, first name, and last
  names are set. You are prompted for password information.
  
  Parameters description:
  svcProviderId: The service provider.
  userId       : The user ID for the service provider administrator.
  adminType    : When set to "normal", the service provider administrator has all
                 standard access rights and privileges.
                 When set to "customer", the customer administrator only has
                 access to the Group, User, and Change Password web portal pages.
                 Also, the customer administrator has no access to Call Capacity
                 and has read-only access to Intercept Group pages.
                 When set to "passwordResetOnly", this value allows the service
                 provider administrator to reset the user's web and portal
                 password only.
  attribute    : Additional attributes to include through the add command.
  lastName     : The service provider administrator's last name.
  firstName    : The service provider administrator's first name.
  language     : The service provider's supported language.
  
  ======================================================================
  add
      
         
         
           , String {1 to 30 characters} 
          
            , String {2 to 80 characters} 
           
             , Choice = {normal, customer, passwordResetOnly} [ 
            
              , Multiple Choice = {lastName, firstName, language}] 
             
               , String {1 to 30 characters} 
              
                , String {1 to 30 characters} 
               
                 , String {1 to 40 characters}​ 
                
               
              
             
            
           
         

• Administrador de grupo:
  

  AS_CLI/SubscriberMgmt/Group/Administrator> h add
  When adding a new group administrator to the system, the corresponding group
  name and service provider, and the group administrator's user ID, first name,
  and last name are set.
  
  Parameters description:
  svcProviderId: The ID of the service provider to whom the group and group
                 administrator belong.
  groupId      : The ID of the group to which the administrator belongs.
  userId       : The user ID for the group administrator.
  attribute    : Additional attributes to include through the add command.
  lastName     : The group administrator's last name.
  firstName    : The group administrator's first name.
  language     : The supported language for the group administrator.
  
  ======================================================================
  add
      
         
         
           , String {1 to 30 characters} 
          
            , String {1 to 30 characters} 
           
             , String {2 to 161 characters} [ 
            
              , Multiple Choice = {lastName, firstName, language}] 
             
               , String {1 to 30 characters} 
              
                , String {1 to 30 characters} 
               
                 , String {1 to 40 characters}​