Benutzer & Rollen¶
Unter Benutzer werden alle Administrator-Accounts des Management-UI verwaltet. Nur admin_full-Konten dürfen Benutzer verwalten.
Rollen¶
nmg kennt drei Rollen mit unterschiedlichen Berechtigungen:
| Rolle | Beschreibung |
|---|---|
admin_full |
Vollzugriff auf alle Einstellungen und Benutzerverwaltung |
admin |
Vollzugriff auf alle Einstellungen, aber keine Benutzerverwaltung |
training_operator |
Nur Zugriff auf Training-Seite; Mails sind maskiert, Demaskierung per Audit-Eintrag möglich |
Benutzer anlegen¶
Über + Benutzer hinzufügen (nur für admin_full sichtbar):
| Feld | Beschreibung |
|---|---|
| Login-Adresse (Benutzername) | |
| Passwort | Mindestens 12 Zeichen |
| Rolle | admin_full, admin oder training_operator |
Benutzer-Tabelle¶
| Spalte | Beschreibung |
|---|---|
| Login-Adresse | |
| Rolle | Zugewiesene Rolle |
| Aktiv | Ob der Account aktiv ist |
| 2FA | Ob TOTP-Zwei-Faktor-Authentifizierung aktiviert ist |
| Letzter Login | Zeitstempel des letzten Logins |
| Letzte IP | IP-Adresse beim letzten Login |
Benutzer bearbeiten¶
Rolle und Aktiv-Status können jederzeit geändert werden. Der letzte aktive admin_full-Account kann nicht gelöscht oder deaktiviert werden.
Passwort-Reset¶
- Admin setzt Passwort zurück: Über den Bearbeiten-Dialog ein temporäres Passwort setzen
- Selbst-Reset: Über den Passwort vergessen-Link auf der Login-Seite per E-Mail-Link (setzt konfigurierten SMTP-Ausgang voraus)
Zwei-Faktor-Authentifizierung (TOTP)¶
Jeder Benutzer kann unter Mein Account einen TOTP-Authenticator (z. B. Google Authenticator, Bitwarden, 1Password) einrichten. Nach der Einrichtung wird beim Login zusätzlich ein 6-stelliger Code abgefragt.
Admins sehen in der Benutzer-Tabelle, ob TOTP für einen Account aktiv ist. Das TOTP-Secret eines anderen Benutzers ist nicht einsehbar — bei Verlust muss der Account zurückgesetzt werden.
API-Schlüssel¶
Unter Einstellungen → API-Schlüssel (oder unter Mein Account) können API-Schlüssel für programmatischen Zugriff erstellt werden.
| Feld | Beschreibung |
|---|---|
| Name | Bezeichnung (z. B. monitoring, integration) |
| Schlüssel | Wird einmalig angezeigt — sicher speichern |
| Erstellt am | Erstellungsdatum |
| Zuletzt genutzt | Zeitstempel des letzten API-Aufrufs |
API-Schlüssel werden im HTTP-Header Authorization: Bearer <key> mitgesendet.
Audit-Log¶
Alle administrativen Aktionen werden im Audit-Log protokolliert — unveränderlich und cluster-weit aggregiert.
| Spalte | Beschreibung |
|---|---|
| Zeit | Zeitstempel der Aktion |
| Benutzer | Auslösender Admin-Account |
| Node | Cluster-Node, auf der die Aktion ausgeführt wurde |
| Aktion | Art der Änderung (z. B. domain.create, mailconfig.update, training.reveal) |
| Betreff | Betroffenes Objekt (z. B. Domain-Name) |
| Details | Geänderte Felder und neue Werte |
| IP | Browser-IP-Adresse des Admins |
Das Audit-Log ist schreibgeschützt und kann nicht gelöscht werden. Demaskierungsaktionen von training_operator-Benutzern erscheinen immer im Audit-Log.
Mein Account¶
Unter Mein Account kann jeder Benutzer: - Eigenes Passwort ändern - TOTP einrichten oder deaktivieren - Eigene API-Schlüssel verwalten