Configurar novos usuários administradores no BroadWorks

Introduction

Este documento descreve diferentes tipos de contas de administrador no BroadWorks Application Server (AS) e as etapas para criar novas contas.

Informações de Apoio

O Cisco BroadWorks é um aplicativo instalado no sistema operacional Linux e pode ser acessado através de várias interfaces. Portanto, ele vem com várias contas de administrador diferentes:

• Usuário raiz - conta criada durante a instalação do SO. Ele dá acesso total ao sistema, por isso deve ser usado com cuidado. Ele está fora do escopo deste artigo; você deve aplicar as diretrizes do fornecedor do sistema operacional para gerenciar o acesso raiz e mantê-lo seguro. Por exemplo, você pode consultar o documento de acesso de superusuário da Red Hat se o BroadWorks estiver instalado sobre o Red Hat Enterprise Linux (RHEL).
• Administrador BroadWorks (também conhecido como bwadmin) - conta usada para gerenciar o aplicativo BroadWorks e para acessá-lo via Interface de Linha de Comando (CLI).
• Administrador do sistema - conta usada para fazer logon no aplicativo BroadWorks via interface da Web.
• Revendedor / Empresa / Provedor de serviços / Administrador do grupo - conta usada para gerenciar um Revendedor / Empresa / Provedor de serviços / Grupo específico.
  
  

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Administração básica do BroadWorks.
• Comandos básicos do Linux.
  
  

Componentes Utilizados

As informações neste documento são baseadas no BroadWorks AS versão R24.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Administrador BroadWorks

Configurar

A conta inicial de administrador BroadWorks é criada durante a instalação do BroadWorks. Para criar contas adicionais, use estas etapas:
Etapa 1. Faça login na CLI do BroadWorks com suas credenciais raiz.

Etapa 2. Navegue para o diretório /usr/local/broadworks/bw_base/sbin:

[root@as1 ~]# cd /usr/local/broadworks/bw_base/sbin

Etapa 3. Execute o comando bwuseradd -h para listar as opções de configuração:

[root@as1 sbin]# ./bwuseradd –h
Missing argument: role
bwuseradd Version 1.14
USAGE: bwuseradd   
     
     
       <-r, --role BWORKS|BWSUPERADMIN|OPERATOR|VIEWER> [-p, --passwd password] [-d, --default] [-c, --centralized] [-v, --verbose] [-h, --help] Parameters: 
      
        : the new user name -r, --role : the user assigned role -p, --passwd : the user password. Enclose the password in single quotes if it contains special characters. -d, --default : reset passwd -c, --centralized : for centralized user management -v, --verbose : run in verbose mode -h, --help : print this Help Description: Invokes Unix/ldap commands to create a local/centralized bw user Example: bwuseradd -r OPERATOR --passwd admin123 admin 
       
     

Ao criar a nova conta, você deve selecionar uma das quatro funções:

• BWSUPERADMIN - Esta função tem acesso raiz ao arquivo de instalação. Essa função é usada para instalar e atualizar o Cisco BroadWorks.
• BWORKS - Essa função pode iniciar, parar e realizar modificações com a CLI ou outras ferramentas disponíveis nos servidores Cisco BroadWorks.
• OPERADOR - Essa função pode configurar os arquivos de configuração do Cisco BroadWorks, mas não pode iniciar ou parar o Cisco BroadWorks.
• VISUALIZADOR - Essa função pode exibir a configuração atual, mas não pode executar nenhuma modificação.

Você pode consultar o UNIX User Account Configuration Guide para saber mais sobre os comandos usados nesta seção.

Etapa 4. Execute o comando bwuseradd para criar um novo usuário:

[root@as1 sbin]# ./bwuseradd -r BWORKS --passwd bwadmin1 bwadmin1
Changing password for user bwadmin1.
passwd: all authentication tokens updated successfully.

User will be required to change password upon next login
Expiring password for user bwadmin1.
passwd: Success

WARNING: Please make sure this user is created on all servers.

WARNING: Do not forget to run 'config-ssh -createKeys 
     
     
       ' for the new user. 
     

Etapa 5. Se o AS estiver instalado no modo de cluster, execute o mesmo comando no nó secundário:

[root@as2 sbin]# ./bwuseradd -r BWORKS --passwd bwadmin1 bwadmin1
Changing password for user bwadmin1.
passwd: all authentication tokens updated successfully.

User will be required to change password upon next login
Expiring password for user bwadmin1.
passwd: Success

WARNING: Please make sure this user is created on all servers.

WARNING: Do not forget to run 'config-ssh -createKeys 
     
     
       ' for the new user. 
     

Etapa 6. Efetue login como um novo usuário; você será solicitado a redefinir sua senha:

bwadmin1@as1's password:
You are required to change your password immediately (administrator enforced)
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user bwadmin1.
Current password:
New password:
Retype new password:

Passo 7. Execute o comando bin para navegar para /usr/local/broadworks/bw_base/bin no AS primário:

bwadmin1@as1.mleus.lab$ bin
bwadmin1@as1.mleus.lab$ pwd
/usr/local/broadworks/bw_base/bin

Etapa 8. Execute o comando config-ssh para criar um par de chaves comum:

bwadmin1@as1.mleus.lab$ ./config-ssh -createKeys bwadmin1@as2

==============================================
==== SSH CONFIGURATION TOOL version 2.2.22  ====
=> Setting default settings <=
   Setting 'StrictHostKeyChecking no'
   Setting 'ServerAliveInterval 250'
=> DNS Sanity test <=
   [###############]
   [...............]
   Configured: y, Reachable: y, Resolved: y, Required: n.
   Using bwadmin1@as1.mleus.lab as local peer name for as1.mleus.lab.
=> DNS OK <=
=> Peer reachability test <=
   [###]
   [...]
=> Creating SSH keys <=
   Creating keys for bwadmin1@as2...
bwadmin1@as2's password:
     Generating ecdsa key...
     Generating rsa key...

   Creating keys for bwadmin1@as1.mleus.lab...
bwadmin1@as1.mleus.lab's password:
     Generating ecdsa key...
     Generating rsa key...

=> Keying SSH <=
   Preparing bwadmin1@as1.mleus.lab for keying...

     Cleaning public keys for bwadmin1@as2...
   Sharing keys with bwadmin1@as2...
     Pushing local public keys...
bwadmin1@as2's password:
     Pulling remote public keys...
bwadmin1@as2's password:
   Sharing keys with bwadmin1@as2...		[done]


=> Fully meshing SSH peers <=

=> Recursing with bwadmin1@as2 <=
   Pushing config-ssh script to bwadmin1@as2...
   Launching config-ssh on bwadmin1@as2...

=> Setting default settings <=
   Adding 'StrictHostKeyChecking no'
   Adding 'ServerAliveInterval 250'
=> DNS Sanity test <=
   [###############]
   [...............]
   Configured: y, Reachable: y, Resolved: y, Required: n.
   Using bwadmin1@as2.mleus.lab as local peer name for as2.mleus.lab.
=> DNS OK <=
=> Peer reachability test <=
   [###]
   [...]
=> Keying SSH <=
   Preparing bwadmin1@as2.mleus.lab for keying...

     Cleaning public keys for bwadmin1@as1.mleus.lab...
   Sharing keys with bwadmin1@as1.mleus.lab...
     Pushing local public keys...
     Pulling remote public keys...
   Sharing keys with bwadmin1@as1.mleus.lab...		[done]


=> Testing ssh configuration <=
   Testing bwadmin1@as2...			[done]

==== SSH CONFIGURATION TOOL completed ====

Verificar

Para verificar o novo usuário, faça login na CLI com novas credenciais e execute alguns comandos básicos do BroadWorks:

bwadmin1@as1.mleus.lab$ bwshowver
AS version Rel_24.0_1.944

Built  Sat Jun  6 00:26:50 EDT 2020
- BASE revision 909962
- AS revision 909962


Patching Info:
  Active Patches: 701

bwadmin1@as1.mleus.lab$ bwcli
======================================================================
BroadWorks Command Line Interface
  Type HELP for more information
======================================================================

AS_CLI>

Administrador do sistema

Configurar

Etapa 1. Navegue até a página https://<AS_FQDN>/Login e faça login na interface da Web do AS.

Etapa 2. Navegue até Sistema > Perfil > Administradores.

Etapa 3. Clique no botão Add.

Etapa 4. Preencher todos os campos:

Há dois tipos de Administrador a serem selecionados:

• O sistema dá ao administrador acesso total ao sistema.

• O provisionamento dá ao administrador acesso limitado ao sistema com a finalidade de adicionar novos clientes e gerenciar contas de clientes.

Etapa 5. Clique em OK para salvar as alterações.

Verificar

Navegue até System > Profile > Administrators e procure a conta recém-criada:

Faça logoff e logon novamente com um novo conjunto de credenciais (você será solicitado a alterar sua senha):

Navegue pelo menu para confirmar se todas as opções necessárias estão disponíveis.

Você também pode verificar novas credenciais pela CLI. Abra a CLI BroadWorks (BWCLI) e execute o comando login com o novo conjunto de credenciais:

AS_CLI> login webadmin
Password:
webadmin logging in...

Revendedor / Empresa / Provedor de serviços / Administrador do grupo

Configurar

Etapa 1. Navegue até a página https://<AS_FQDN>/Login e faça login na interface da Web do AS.

Etapa 2. Navegue até Sistema > Perfil e depois para Revendedor, Empresas, Provedores de serviços ou Grupo para o qual você gostaria de criar um administrador. O provedor de serviços é usado neste exemplo de configuração, mas a configuração de outras entidades é idêntica.

Etapa 3. Escolha o provedor de serviços ao qual você deseja adicionar um novo administrador.

Etapa 4. Navegue até Perfil > Administradores e clique no botão Adicionar.

Etapa 5. Preencher todos os campos:

Há três tipos de administradores a serem selecionados para Provedor de serviços/Empresa (para Revendedor e Grupo, não há seleção de tipo):

• O provedor de serviços cria um administrador normal, com acesso à interface da Web determinado pelas políticas definidas na página Políticas do administrador.

• O cliente cria um administrador do cliente.  O administrador do cliente só tem acesso às páginas Grupos, Usuários, Instâncias de serviço e Alterar senha para seu provedor de serviços.  O administrador do cliente tem acesso às páginas de grupos de todos os grupos, com exceção do acesso somente leitura à página Intercept Group e nenhum acesso à página Call Capacity.  Você pode restringir ainda mais o acesso do administrador do cliente pelas políticas definidas na página Políticas do administrador.

• Apenas Redefinição de Senha permite que o administrador modifique apenas as senhas de usuário. O administrador não tem acesso a nenhuma outra página, dado ou comando na interface da Web.

Etapa 6. Clique em OK para salvar as alterações.

Verificar 

Navegue até System > Profile > Service Providers ou Enterprises e selecione a entidade para a qual você criou a conta de administrador. Em seguida, navegue até Profile > Administrators e procure por administrador recém-criado:

Faça logoff e logon novamente com um novo conjunto de credenciais (você será solicitado a alterar sua senha):

Navegue pelo menu para confirmar se somente as configurações relacionadas a um Provedor de serviços/Empresa específico estão visíveis.

Adicionar contas de administrador com comandos CLI

Todas as contas de acesso à Web também podem ser criadas a partir de comandos BWCLI. Isso não é abordado neste documento em detalhes, mas aqui estão os respectivos comandos para referência:

• Administrador do sistema:
  

  AS_CLI/SubscriberMgmt/Administrator> h add
  When adding a new administrator to the system, you set the administrator user
  ID, access level, first and last names, and password.
  
  Parameters description:
  userId   : The user ID for the administrator.
  type     : when set to "system", allows for complete access to the Application
             Server CLI and its functions.
             When set to "prov", allows only limited access to the Application
             Server CLI, specifically functions in the network level only.
  readOnly : Cannot configure the system.
  attribute: Additional attributes to include through the add command.
  lastName : The user's last name.
  firstName: The user's first name.
  language : Indicates the language to be used for the administrator.
  
  ======================================================================
  add
      
         
         
           , String {2 to 80 characters} 
          
            , Choice = {system, prov} 
           
             , Choice = {false, true} [ 
            
              , Multiple Choice = {lastName, firstName, language}] 
             
               , String {1 to 30 characters} 
              
                , String {1 to 30 characters} 
               
                 , String {1 to 40 characters}​ 
                
               
              
             
            
           
         

• Administrador do revendedor:
  

  AS_CLI/SubscriberMgmt/Reseller/Administrator> h add
  This command is used to add a new reseller administrator. When this command is
  used, you are prompted for password information.
  
  Parameters description:
  resellerId: The ID of the reseller.
  userId    : The user ID for the reseller administrator.
  attribute : Additional attributes to include with the name command.
  lastName  : This parameter specifies the reseller administrator's last name.
  firstName : This parameter specifies the reseller administrator's first name.
  language  : This parameter specifies the reseller administrator's supported
              language.
  
  ======================================================================
  add
      
         
         
           , String {1 to 36 characters} 
          
            , String {2 to 80 characters} [ 
           
             , Multiple Choice = {lastName, firstName, language}] 
            
              , String {1 to 30 characters} 
             
               , String {1 to 30 characters} 
              
                , String {1 to 40 characters}​ 
               
              
             
            
           
         

• Administrador corporativo/provedor de serviços:
  

  AS_CLI/SubscriberMgmt/ServiceProvider/Administrator> h add
  When adding a new service provider administrator to the system, the
  corresponding service provider administrator's user ID, first name, and last
  names are set. You are prompted for password information.
  
  Parameters description:
  svcProviderId: The service provider.
  userId       : The user ID for the service provider administrator.
  adminType    : When set to "normal", the service provider administrator has all
                 standard access rights and privileges.
                 When set to "customer", the customer administrator only has
                 access to the Group, User, and Change Password web portal pages.
                 Also, the customer administrator has no access to Call Capacity
                 and has read-only access to Intercept Group pages.
                 When set to "passwordResetOnly", this value allows the service
                 provider administrator to reset the user's web and portal
                 password only.
  attribute    : Additional attributes to include through the add command.
  lastName     : The service provider administrator's last name.
  firstName    : The service provider administrator's first name.
  language     : The service provider's supported language.
  
  ======================================================================
  add
      
         
         
           , String {1 to 30 characters} 
          
            , String {2 to 80 characters} 
           
             , Choice = {normal, customer, passwordResetOnly} [ 
            
              , Multiple Choice = {lastName, firstName, language}] 
             
               , String {1 to 30 characters} 
              
                , String {1 to 30 characters} 
               
                 , String {1 to 40 characters}​ 
                
               
              
             
            
           
         

• Administrador do grupo:
  

  AS_CLI/SubscriberMgmt/Group/Administrator> h add
  When adding a new group administrator to the system, the corresponding group
  name and service provider, and the group administrator's user ID, first name,
  and last name are set.
  
  Parameters description:
  svcProviderId: The ID of the service provider to whom the group and group
                 administrator belong.
  groupId      : The ID of the group to which the administrator belongs.
  userId       : The user ID for the group administrator.
  attribute    : Additional attributes to include through the add command.
  lastName     : The group administrator's last name.
  firstName    : The group administrator's first name.
  language     : The supported language for the group administrator.
  
  ======================================================================
  add
      
         
         
           , String {1 to 30 characters} 
          
            , String {1 to 30 characters} 
           
             , String {2 to 161 characters} [ 
            
              , Multiple Choice = {lastName, firstName, language}] 
             
               , String {1 to 30 characters} 
              
                , String {1 to 30 characters} 
               
                 , String {1 to 40 characters}​