docs: add security settings and builtin security reference

ydb/docs/ru/core/_includes/builtin-groups-graph.md

@@ -0,0 +1,56 @@
+```mermaid
+---
+config:
+  layout: elk
+  elk:
+    mergeEdges: true
+    nodePlacementStrategy: NETWORK_SIMPLEX
+---
+graph BT
+
+DATA-WRITERS & DATABASE-ADMINS --> ADMINS
+DDL-ADMINS & ACCESS-ADMINS --> DATABASE-ADMINS
+DATA-READERS --> DATA-WRITERS
+METADATA-READERS --> DATA-READERS & DDL-ADMINS
+%%USERS --> METADATA-READERS & DATA-READERS & DATA-WRITERS & DDL-ADMINS & ACCESS-ADMINS & DATABASE-ADMINS & ADMINS
+USERS --> METADATA-READERS & DDL-ADMINS & ACCESS-ADMINS
+
+    DATA-READERS["<b>DATA-READERS</b>
+    +SelectRow"
+    ]
+
+    DATA-WRITERS["<b>DATA-WRITERS</b>
+    +UpdateRow
+    +EraseRow"
+    ]
+
+    METADATA-READERS["<b>METADATA-READERS</b>
+    +DescribeSchema
+    +ReadAttributes"
+    ]
+
+    DATABASE-ADMINS["<b>DATABASE-ADMINS</b>
+    +CreateDatabase
+    +DropDatabase"
+    ]
+
+    ACCESS-ADMINS["<b>ACCESS-ADMINS</b>
+    +GrantAccessRights"
+    ]
+
+    DDL-ADMINS["<b>DDL-ADMINS</b>
+    +CreateDirectory
+    +CreateTable
+    +CreateQueue
+    +WriteAttributes
+    +AlterSchema
+    +RemoveSchema"
+    ]
+
+    USERS[<b>USERS</b>
+    +ConnectDatabase
+    ]
+    ADMINS[<b>ADMINS</b>]
+```
+
+[//]: # (diplodoc support for mermaid lacks support for markdown in labels)

ydb/docs/ru/core/_includes/do-not-create-users-in-ldap.md

@@ -3,6 +3,6 @@
 Область действия команд `CREATE USER`, `ALTER USER`, `DROP USER` не распространяется на внешние каталоги пользователей.
 Учитывайте это, если к {{ ydb-short-name }} подключаются пользователи со сторонней аутентификацией (например, LDAP).
 Например, команда `CREATE USER` не создаст пользователя в LDAP-каталоге.
-Подробнее про [взаимодействие {{ ydb-short-name }} с LDAP-каталогом](../security/authentication.md#ldap-auth-provider).
+Подробнее про [взаимодействие {{ ydb-short-name }} с LDAP-каталогом](../security/authentication.md#ldap).
 
 {% endnote %}

ydb/docs/ru/core/changelog-server.md

@@ -85,7 +85,7 @@
 
 * Добавлена возможность [задать приоритеты](./devops/manual/maintenance-without-downtime#priority) задачам обслуживания в [системе управления кластером](./concepts/glossary#cms).
 * Добавлена [настройка стабильных имён](./reference/configuration/#node-broker-config) для узлов кластера в рамках тенанта.
-* Добавлено получение вложенных групп от [LDAP-сервера](./concepts/auth#ldap-auth-provider), в [LDAP-конфигурации](./reference/configuration/#ldap-auth-config) улучшен парсинг хостов и добавлена настройка для отключения встроенной аутентификацию по логину и паролю.
+* Добавлено получение вложенных групп от [LDAP-сервера](./concepts/auth#ldap), в [LDAP-конфигурации](./reference/configuration/#ldap-auth-config) улучшен парсинг хостов и добавлена настройка для отключения встроенной аутентификацию по логину и паролю.
 * Добавлена возможность аутентификации [динамических узлов](./concepts/glossary#dynamic) по SSL-сертификату.
 * Реализовано удаление неактивных узлов из [Hive](./concepts/glossary#hive) без его перезапуска.
 * Улучшено управление inflight pings при перезапуске Hive в кластерах большого размера.

ydb/docs/ru/core/concepts/glossary.md

@@ -269,6 +269,12 @@
 
 **Секрет** или **secret** — это конфиденциальные метаданные, требующие особого обращения. Например, секреты могут использоваться в определениях [внешних источников данных](#external-data-source) и представляют собой такие сущности, как пароли и токены.
 
+### Аутентификационный токен {#auth-token}
+
+**Аутентификационный токен** или **auth token** — токен, используемый для [аутентификации](../security/authentication.md) в {{ ydb-short-name }}.
+
+{{ ydb-short-name }} поддерживает [разные виды аутентификации](../security/authentication.md) и разные типы токенов.
+
 ### Объект схемы {#scheme-object}
 
 Схема базы данных состоит из **схемных объектов** или **объектов схемы**, которыми могут быть базы данных, [таблицы](#table) (включая [внешние таблицы](#external-table)), [топики](#topic), [папки](#folder) и т.д.
@@ -284,21 +290,36 @@
 ### Объект доступа {#access-object}
 
 **Объект доступа** или **access object** при [авторизации](../security/authorization.md) — сущность, для которой настраиваются права и ограничения доступа. В {{ ydb-short-name }} объектами доступа являются [объекты схемы](#scheme-object).
-У каждого объекта доступа есть [владелец](#access-owner) и [список разрешений](#access-control-list).
+
+У каждого [объекта схемы](#scheme-object) есть [владелец](#access-owner) и [список прав](#access-control-list) на этот объект, выданных пользователям и группам ([субъектам доступа](#access-subject)).
 
 ### Субъект доступа {#access-subject}
 
-**Субъект доступа** или **access subject** — сущность, которая может обращаться к [объектам доступа](#access-object) или выполнять определённые действия в системе. Получение доступа при этих обращениях и действиях зависит от настроенных [списков разрешений](#access-control-list).
+**Субъект доступа** или **access subject** — сущность, которая может обращаться к [объектам доступа](#access-object) и выполнять определённые действия в системе.
+
+Получение доступа при этих обращениях и действиях зависит от настроенных [списков прав](#access-control-list) и [уровня доступа](#access-level) субъекта.
 
 Субъектом доступа может быть [пользователь](#access-user) или [группа](#access-group).
 
-### Право доступа {#access-right}
+### Право {#access-right}
+
+**[Право доступа](../security/authorization.md#right)**  или **access right** — сущность, отражающая разрешение [субъекту доступа](#access-subject) выполнять конкретный набор операций в кластере или базе данных над конкретным [объектом доступа](#access-object).
+
+### Список прав {#access-control-list}
+
+**[Список прав](../security/authorization.md#right)**, **access control list** или **ACL** — список всех [прав](#access-right), предоставленных [субъектам доступа](#access-subject) (пользователям и группам) на конкретный [объект доступа](#access-object).
 
-**[Право доступа](../security/authorization.md#right)** или **access right** — сущность, отражающая разрешение [субъекту доступа](#access-subject) выполнять конкретный набор операций в кластере или базе данных над конкретным [объектом доступа](#access-object).
+### Уровень доступа {#access-level}
 
-### Список разрешений {#access-control-list}
+**[Уровень доступа](../security/authorization.md#level)** — состояние, определяющее дополнительные возможности [субъекта доступа](#access-subject) при работе с [объектами схемы](#scheme-object), а также возможности [субъекта доступа](#access-subject) в контекстах, не связанных с [объектами схемы](#scheme-object).
 
-**Список разрешений**, **access control list** или **ACL** — список всех [прав](#access-right), предоставленных [субъектам доступа](#access-subject) (пользователям и группам) на конкретный [объект доступа](#access-object).
+Уровень доступа определяется принадлежностью субъекта к [спискам разрешений](#access-level-list).
+
+### Список уровня доступа {#access-level-list}
+
+**Список уровня доступа** или **список разрешений** — список [SID](#access-sid)'ов [субъектов доступа](#access-subject), которым разрешён определённый [уровень доступа](#access-level).
+
+{{ ydb-short-name }} имеет несколько [списков уровней доступа](../reference/configuration/index.md#security-access-levels), совместно определяющих набор [уровней доступа](#access-level) в системе.
 
 ### Владелец {#access-owner}
 
@@ -308,13 +329,23 @@
 
 **[Пользователь](../security/authorization.md#user)** - лицо, использующее {{ ydb-short-name }} для выполнения конкретной функции.
 
+Пользователь идентифицируется [SID](#access-sid).
+
 ### Группа {#access-group}
 
-**[Группа](../security/authorization.md#group)** или **группа доступа** - именованное множество [пользователей](#access-user) с одинаковыми [правами доступа](#access-right) к тем или иным [объектам доступа](#access-object).
+**[Группа](../security/authorization.md#group)** или **группа доступа** - именованное множество [пользователей](#access-user) и других групп с равными возможностями для своих членов.
+
+Группа идентифицируется [SID](#access-sid).
 
 ### SID {#access-sid}
 
- **SID** (**Security Identifier**) - строка вида `<login>[@<subsystem>]`, идентифицирующая [субъект доступа](../concepts/glossary.md#access-subject) в [списках разрешений](#access-control-list).
+ **SID** (**Security Identifier**) - строка вида `<name>[@<auth-domain>]`, идентифицирующая [субъект доступа](../concepts/glossary.md#access-subject). Используется при аутентификации, авторизации, в [списках прав](#access-control-list) и в [списках уровней доступа](#access-level-list).
+
+SID идентифицирует индивидуального [пользователя](#access-user) или пользовательскую [группу](#access-group).
+
+Суффикс `@<auth-domain>` идентифицирует «источник пользователя», то есть каталог или систему, откуда пользователь пришёл. Например, пользователи или группы из LDAP-каталога могут иметь суффикс `@ldap`.
+
+Отсутствие суффикса означает, что пользователь или группа созданы и существуют непосредственно в {{ ydb-short-name }}.
 
 ### Оптимизатор запросов {#optimizer}
 

ydb/docs/ru/core/devops/manual/initial-deployment.md

@@ -484,7 +484,7 @@ sudo chmod 700 /opt/ydb/certs
 
 Если в файле настроек кластера включен режим аутентификации, то перед началом работы с кластером {{ ydb-short-name }} необходимо выполнить первоначальную настройку учетных записей.
 
-При первоначальной установке кластера {{ ydb-short-name }} автоматически создается учетная запись `root` с пустым паролем, а также стандартный набор групп пользователей, описанный в разделе [{#T}](../../yql/reference/syntax/alter-group.md#builtin).
+При первоначальной установке кластера {{ ydb-short-name }} автоматически создается учетная запись `root` с пустым паролем, а также стандартный набор групп пользователей, описанный в разделе [{#T}](../../security/builtin-security.md).
 
 Для выполнения первоначальной настройки учетных записей в созданном кластере {{ ydb-short-name }} выполните следующие операции: