Configurer de nouveaux utilisateurs administrateurs dans BroadWorks

Introduction

Ce document décrit les différents types de comptes d'administrateur dans BroadWorks Application Server (AS) et les étapes de création de nouveaux comptes.

Informations générales

Cisco BroadWorks est une application installée sur le système d'exploitation Linux et accessible via plusieurs interfaces. Par conséquent, il est fourni avec plusieurs comptes d'administrateur différents :

• Utilisateur racine : compte créé lors de l'installation du système d'exploitation. Il donne un accès complet au système et doit donc être utilisé avec prudence. Il sort du cadre de cet article. Vous devez appliquer les directives de votre fournisseur de système d'exploitation pour gérer l'accès racine et le sécuriser. Par exemple, vous pouvez vous reporter au document d'accès superutilisateur de Red Hat si votre BroadWorks est installé sur Red Hat Enterprise Linux (RHEL).
• Administrateur BroadWorks (également appelé bwadmin) : compte utilisé pour gérer l'application BroadWorks et y accéder via l'interface de ligne de commande (CLI).
• Administrateur système : compte utilisé pour se connecter à l'application BroadWorks via l'interface Web.
• Revendeur / Entreprise / Fournisseur de services / Administrateur de groupe - compte utilisé pour gérer un revendeur / Entreprise / Fournisseur de services / Groupe particulier.
  
  

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Administration de base de BroadWorks.
• Commandes Linux de base.
  
  

Composants utilisés

Les informations contenues dans ce document sont basées sur la version R24 de BroadWorks AS.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Administrateur BroadWorks

Configurer

Le compte administrateur BroadWorks initial est créé lors de l'installation de BroadWorks. Pour créer des comptes supplémentaires, procédez comme suit :
Étape 1. Connectez-vous à l'interface de ligne de commande BroadWorks avec vos identifiants racine.

Étape 2. Accédez au répertoire /usr/local/broadworks/bw_base/sbin :

[root@as1 ~]# cd /usr/local/broadworks/bw_base/sbin

Étape 3. Exécutez la commande bwuseradd -h pour répertorier les options de configuration :

[root@as1 sbin]# ./bwuseradd –h
Missing argument: role
bwuseradd Version 1.14
USAGE: bwuseradd   
     
     
       <-r, --role BWORKS|BWSUPERADMIN|OPERATOR|VIEWER> [-p, --passwd password] [-d, --default] [-c, --centralized] [-v, --verbose] [-h, --help] Parameters: 
      
        : the new user name -r, --role : the user assigned role -p, --passwd : the user password. Enclose the password in single quotes if it contains special characters. -d, --default : reset passwd -c, --centralized : for centralized user management -v, --verbose : run in verbose mode -h, --help : print this Help Description: Invokes Unix/ldap commands to create a local/centralized bw user Example: bwuseradd -r OPERATOR --passwd admin123 admin 
       
     

Lorsque vous créez le nouveau compte, vous devez sélectionner l'un des quatre rôles suivants :

• BWSUPERADMIN - Ce rôle dispose d'un accès racine pour le fichier d'installation. Ce rôle est utilisé pour installer et mettre à niveau Cisco BroadWorks.
• BWORKS : ce rôle peut démarrer, arrêter et effectuer des modifications à l'aide de l'interface de ligne de commande ou d'autres outils disponibles sur les serveurs Cisco BroadWorks.
• OPÉRATEUR - Ce rôle peut configurer les fichiers de configuration Cisco BroadWorks, mais ne peut pas démarrer ou arrêter Cisco BroadWorks.
• VIEWER - Ce rôle peut afficher la configuration actuelle, mais ne peut pas effectuer de modifications.

Vous pouvez consulter le Guide de configuration de compte d'utilisateur UNIX pour en savoir plus sur les commandes utilisées dans cette section.

Étape 4. Exécutez la commande bwuseradd pour créer un nouvel utilisateur :

[root@as1 sbin]# ./bwuseradd -r BWORKS --passwd bwadmin1 bwadmin1
Changing password for user bwadmin1.
passwd: all authentication tokens updated successfully.

User will be required to change password upon next login
Expiring password for user bwadmin1.
passwd: Success

WARNING: Please make sure this user is created on all servers.

WARNING: Do not forget to run 'config-ssh -createKeys 
     
     
       ' for the new user. 
     

Étape 5. Si le système autonome est installé en mode cluster, exécutez la même commande sur le noeud secondaire :

[root@as2 sbin]# ./bwuseradd -r BWORKS --passwd bwadmin1 bwadmin1
Changing password for user bwadmin1.
passwd: all authentication tokens updated successfully.

User will be required to change password upon next login
Expiring password for user bwadmin1.
passwd: Success

WARNING: Please make sure this user is created on all servers.

WARNING: Do not forget to run 'config-ssh -createKeys 
     
     
       ' for the new user. 
     

Étape 6. Connectez-vous en tant que nouvel utilisateur ; vous êtes invité à réinitialiser votre mot de passe :

bwadmin1@as1's password:
You are required to change your password immediately (administrator enforced)
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user bwadmin1.
Current password:
New password:
Retype new password:

Étape 7. Exécutez la commande bin pour naviguer vers /usr/local/broadworks/bw_base/bin sur le système autonome principal :

bwadmin1@as1.mleus.lab$ bin
bwadmin1@as1.mleus.lab$ pwd
/usr/local/broadworks/bw_base/bin

Étape 8. Exécutez la commande config-ssh pour créer une paire de clés commune :

bwadmin1@as1.mleus.lab$ ./config-ssh -createKeys bwadmin1@as2

==============================================
==== SSH CONFIGURATION TOOL version 2.2.22  ====
=> Setting default settings <=
   Setting 'StrictHostKeyChecking no'
   Setting 'ServerAliveInterval 250'
=> DNS Sanity test <=
   [###############]
   [...............]
   Configured: y, Reachable: y, Resolved: y, Required: n.
   Using bwadmin1@as1.mleus.lab as local peer name for as1.mleus.lab.
=> DNS OK <=
=> Peer reachability test <=
   [###]
   [...]
=> Creating SSH keys <=
   Creating keys for bwadmin1@as2...
bwadmin1@as2's password:
     Generating ecdsa key...
     Generating rsa key...

   Creating keys for bwadmin1@as1.mleus.lab...
bwadmin1@as1.mleus.lab's password:
     Generating ecdsa key...
     Generating rsa key...

=> Keying SSH <=
   Preparing bwadmin1@as1.mleus.lab for keying...

     Cleaning public keys for bwadmin1@as2...
   Sharing keys with bwadmin1@as2...
     Pushing local public keys...
bwadmin1@as2's password:
     Pulling remote public keys...
bwadmin1@as2's password:
   Sharing keys with bwadmin1@as2...		[done]


=> Fully meshing SSH peers <=

=> Recursing with bwadmin1@as2 <=
   Pushing config-ssh script to bwadmin1@as2...
   Launching config-ssh on bwadmin1@as2...

=> Setting default settings <=
   Adding 'StrictHostKeyChecking no'
   Adding 'ServerAliveInterval 250'
=> DNS Sanity test <=
   [###############]
   [...............]
   Configured: y, Reachable: y, Resolved: y, Required: n.
   Using bwadmin1@as2.mleus.lab as local peer name for as2.mleus.lab.
=> DNS OK <=
=> Peer reachability test <=
   [###]
   [...]
=> Keying SSH <=
   Preparing bwadmin1@as2.mleus.lab for keying...

     Cleaning public keys for bwadmin1@as1.mleus.lab...
   Sharing keys with bwadmin1@as1.mleus.lab...
     Pushing local public keys...
     Pulling remote public keys...
   Sharing keys with bwadmin1@as1.mleus.lab...		[done]


=> Testing ssh configuration <=
   Testing bwadmin1@as2...			[done]

==== SSH CONFIGURATION TOOL completed ====

Vérifier

Afin de vérifier le nouvel utilisateur, connectez-vous à l'interface de ligne de commande avec de nouvelles informations d'identification et exécutez quelques commandes BroadWorks de base :

bwadmin1@as1.mleus.lab$ bwshowver
AS version Rel_24.0_1.944

Built  Sat Jun  6 00:26:50 EDT 2020
- BASE revision 909962
- AS revision 909962


Patching Info:
  Active Patches: 701

bwadmin1@as1.mleus.lab$ bwcli
======================================================================
BroadWorks Command Line Interface
  Type HELP for more information
======================================================================

AS_CLI>

Administrateur système

Configurer

Étape 1. Accédez à la page https://<AS_FQDN>/Login et connectez-vous à l'interface Web AS.

Étape 2. Accédez à Système > Profil > Administrateurs.

Étape 3. Cliquez sur le bouton Ajouter.

Étape 4. Renseignez tous les champs :

Il existe deux types d'administrateur à sélectionner :

• Le système donne à l'administrateur un accès complet au système.

• La mise en service donne à l'administrateur un accès limité au système dans le but d'ajouter de nouveaux clients et de gérer les comptes clients.

Étape 5. Cliquez sur OK pour enregistrer les modifications.

Vérifier

Accédez à Système > Profil > Administrateurs et recherchez le compte nouvellement créé :

Déconnectez-vous et reconnectez-vous avec un nouvel ensemble d'informations d'identification (vous êtes invité à modifier votre mot de passe) :

Parcourez le menu pour vérifier que toutes les options requises sont disponibles.

Vous pouvez également vérifier de nouvelles informations d'identification sur CLI. Ouvrez l'interface de ligne de commande BroadWorks (BWCLI) et exécutez la commande login avec un nouvel ensemble d'informations d'identification :

AS_CLI> login webadmin
Password:
webadmin logging in...

Revendeur / Entreprise / Fournisseur de services / Administrateur de groupe

Configurer

Étape 1. Accédez à la page https://<AS_FQDN>/Login et connectez-vous à l'interface Web AS.

Étape 2. Accédez à Système > Profil et accédez à Revendeur, Entreprises, Fournisseurs de services ou Groupe pour lequel vous souhaitez créer un administrateur. Service Provider est utilisé dans cet exemple de configuration, mais la configuration des autres entités est identique.

Étape 3. Sélectionnez le fournisseur de services auquel vous souhaitez ajouter un nouvel administrateur.

Étape 4. Accédez à Profile > Administrators et cliquez sur Add button.

Étape 5. Renseignez tous les champs :

Il existe trois types d'administrateurs à sélectionner pour le fournisseur de services/l'entreprise (pour le revendeur et le groupe, il n'y a pas de sélection de type) :

• Service Provider crée un administrateur normal, avec un accès à l'interface Web déterminé par les stratégies que vous définissez sur la page Administrator Policies.

• Le client crée un administrateur client.  L'administrateur client a uniquement accès aux pages Groupes, Utilisateurs, Instances de service et Modifier le mot de passe de son fournisseur de services.  L'administrateur client a accès aux pages de groupe pour tous les groupes, à l'exception de l'accès en lecture seule à la page Intercepter le groupe, et aucun accès à la page Capacité d'appel.  Vous pouvez restreindre davantage l'accès administrateur du client en appliquant les stratégies que vous avez définies sur la page Stratégies administrateur.

• Password Reset Only permet à l'administrateur de modifier uniquement les mots de passe utilisateur. L'administrateur n'a pas accès aux autres pages, données ou commandes de l'interface Web.

Étape 6. Cliquez sur OK pour enregistrer les modifications.

Vérifier 

Accédez à Système > Profil > Fournisseurs de services ou Entreprises et sélectionnez l'entité pour laquelle vous avez créé un compte administrateur. Accédez ensuite à Profil > Administrateurs et recherchez l'administrateur nouvellement créé :

Déconnectez-vous et reconnectez-vous avec un nouvel ensemble d'informations d'identification (vous êtes invité à modifier votre mot de passe) :

Naviguez dans le menu pour vérifier que seuls les paramètres associés à un fournisseur de services/entreprise particulier sont visibles.

Ajouter des comptes administrateur avec les commandes CLI

Tous les comptes d'accès Web peuvent également être créés à partir des commandes BWCLI. Ceci n'est pas traité dans ce document en détail, mais voici les commandes respectives pour référence :

• Administrateur système :
  

  AS_CLI/SubscriberMgmt/Administrator> h add
  When adding a new administrator to the system, you set the administrator user
  ID, access level, first and last names, and password.
  
  Parameters description:
  userId   : The user ID for the administrator.
  type     : when set to "system", allows for complete access to the Application
             Server CLI and its functions.
             When set to "prov", allows only limited access to the Application
             Server CLI, specifically functions in the network level only.
  readOnly : Cannot configure the system.
  attribute: Additional attributes to include through the add command.
  lastName : The user's last name.
  firstName: The user's first name.
  language : Indicates the language to be used for the administrator.
  
  ======================================================================
  add
      
         
         
           , String {2 to 80 characters} 
          
            , Choice = {system, prov} 
           
             , Choice = {false, true} [ 
            
              , Multiple Choice = {lastName, firstName, language}] 
             
               , String {1 to 30 characters} 
              
                , String {1 to 30 characters} 
               
                 , String {1 to 40 characters}​ 
                
               
              
             
            
           
         

• Administrateur du revendeur :
  

  AS_CLI/SubscriberMgmt/Reseller/Administrator> h add
  This command is used to add a new reseller administrator. When this command is
  used, you are prompted for password information.
  
  Parameters description:
  resellerId: The ID of the reseller.
  userId    : The user ID for the reseller administrator.
  attribute : Additional attributes to include with the name command.
  lastName  : This parameter specifies the reseller administrator's last name.
  firstName : This parameter specifies the reseller administrator's first name.
  language  : This parameter specifies the reseller administrator's supported
              language.
  
  ======================================================================
  add
      
         
         
           , String {1 to 36 characters} 
          
            , String {2 to 80 characters} [ 
           
             , Multiple Choice = {lastName, firstName, language}] 
            
              , String {1 to 30 characters} 
             
               , String {1 to 30 characters} 
              
                , String {1 to 40 characters}​ 
               
              
             
            
           
         

• Administrateur d'entreprise/fournisseur de services :
  

  AS_CLI/SubscriberMgmt/ServiceProvider/Administrator> h add
  When adding a new service provider administrator to the system, the
  corresponding service provider administrator's user ID, first name, and last
  names are set. You are prompted for password information.
  
  Parameters description:
  svcProviderId: The service provider.
  userId       : The user ID for the service provider administrator.
  adminType    : When set to "normal", the service provider administrator has all
                 standard access rights and privileges.
                 When set to "customer", the customer administrator only has
                 access to the Group, User, and Change Password web portal pages.
                 Also, the customer administrator has no access to Call Capacity
                 and has read-only access to Intercept Group pages.
                 When set to "passwordResetOnly", this value allows the service
                 provider administrator to reset the user's web and portal
                 password only.
  attribute    : Additional attributes to include through the add command.
  lastName     : The service provider administrator's last name.
  firstName    : The service provider administrator's first name.
  language     : The service provider's supported language.
  
  ======================================================================
  add
      
         
         
           , String {1 to 30 characters} 
          
            , String {2 to 80 characters} 
           
             , Choice = {normal, customer, passwordResetOnly} [ 
            
              , Multiple Choice = {lastName, firstName, language}] 
             
               , String {1 to 30 characters} 
              
                , String {1 to 30 characters} 
               
                 , String {1 to 40 characters}​ 
                
               
              
             
            
           
         

• Administrateur de groupe :
  

  AS_CLI/SubscriberMgmt/Group/Administrator> h add
  When adding a new group administrator to the system, the corresponding group
  name and service provider, and the group administrator's user ID, first name,
  and last name are set.
  
  Parameters description:
  svcProviderId: The ID of the service provider to whom the group and group
                 administrator belong.
  groupId      : The ID of the group to which the administrator belongs.
  userId       : The user ID for the group administrator.
  attribute    : Additional attributes to include through the add command.
  lastName     : The group administrator's last name.
  firstName    : The group administrator's first name.
  language     : The supported language for the group administrator.
  
  ======================================================================
  add
      
         
         
           , String {1 to 30 characters} 
          
            , String {1 to 30 characters} 
           
             , String {2 to 161 characters} [ 
            
              , Multiple Choice = {lastName, firstName, language}] 
             
               , String {1 to 30 characters} 
              
                , String {1 to 30 characters} 
               
                 , String {1 to 40 characters}​