Sistema ACL Enterprise
Introducción
El modelo de ACL está basado en estilo Unix®:
role/action/group/user
(4 items).
El sistema de ACL Enterprise, permite definir -según perfil- a qué páginas (definidas una a una o por “grupos”) tienen acceso los usuarios. Esto permitirá redefinir que secciones de la interfaz puede ver un usuario. Por ejemplo, el permitir a un usuario visualizar sólo la vista Group y la vista Detallada de agente, saltándose páginas como Alert view o Monitor view, ya agrupadas en el sistema clásico ACL de Pandora FMS como AR
(Agent Read Privileges).
Los superadmin están exentos de control ACL, los demás usuarios están obligados por ACL, incluso si tienen el perfil Pandora Administrator (Administrador Pandora FMS) asignado.
Esta funcionalidad permite restringir la administración por páginas. Resulta muy útil para permitir algunas operaciones específicas de bajo nivel.
Ambos modelos son paralelos y compatibles. El sistema clásico de ACL es complementario y se evalúa antes del sistema de ACL Enterprise.
Configuración
Para poder utilizar el sistema ACL Enterprise, lo primero será activarlo en la pestaña de configuración. Menú Management → Setup → Setup → Enterprise, activar Use Enterprise ACL System → clic botón Update.
Para configurar el sistema Enterprise ACL Enterprise: Management → Profiles → Enterprise ACL Setup. En esta pantalla se pueden añadir nuevos ítems en el Sistema ACL y ver los ítems definidos por perfil. También puede borrar ítems del sistema ACL Enterprise.
Si se activa el sistema ACL Enterprise, se restringen TODAS las páginas a TODOS los grupos (Administrador incluido) a todas las páginas definidas (permitidas) en el sistema ACL Enterprise. Si un usuario con el perfil Administrador no tiene páginas incluidas en el sistema ACL Enterprise, no podrá ver nada.
Por favor, tenga cuidado con esto porque puede perder el acceso a la consola si activa la configuración inadecuada de ACL Enterprise para su usuario.
Si por error ha perdido el acceso a la Consola, puede desactivar el sistema ACL Enterprise desde la línea de comandos:
/usr/share/pandora_server/util/pandora_manage.pl /etc/pandora_server.conf --disable_eacl
Funcionamiento
Hay dos modos de añadir páginas a un perfil: con el asistente (por defecto) o con la edición personalizada. Para ello hay un botón al lado del botón Add que se alterna entre Wizard y Custom.
Asistente
Con el asistente se escogerán las secciones y las páginas de unos controles de lista desplegable.
- Las páginas que aparecen en estas listas desplegables son solamente las accesibles desde el menú. Para dar acceso a páginas a las que se accede de otro modo (por ejemplo, la vista principal de los agente) debe utilizar el editor personalizado.
- Se muestran todas las opciones de menú, sin importar si el perfil seleccionado tenga acceso a ellas. Agregar una opción de menú a la cual un perfil no tenga acceso no hará que aparezca ese ítem en el menú.
- Siempre el perfil por defecto en la lista desplegable debajo de User profile es
Chief Operator
, siempre se debe cambiar antes de agregar permiso a otro perfil.
Para incluir una página de Pandora FMS en las “páginas permitidas”, deberá seleccionar el perfil al que se aplicará la regla, después seleccionar en control Section la sección que contiene la página deseada. En ese momento, podrá seleccionar en el control Section 2 cualquiera de sus páginas y de igual manera funciona para la Section 3.
Otra opción es seleccionar una sección y el valor All en el control Section. Esto permitirá al perfil elegido poder ver “todo” de la sección escogida. Igualmente seleccionando All en ambos controles permitirá que los usuarios de ese perfil vean “todo” de “todas” las secciones, tal como sería sin el Sistema ACL Enterprise para ese perfil.
Al mover el puntero sobre cualquiera de los item se visualizará el botón de borrado correspondiente.
Para que se muestre una sección en el menú, el usuario deberá tener acceso, al menos, a la primera página de la sección.
Edición personalizada
Para añadir páginas sueltas que no son accesibles desde el menú se puede introducir manualmente el correspondiente sec2. Para ello se accede a la página a añadir y se copia el parámetro Section 2.
Por ejemplo, para añadir la vista principal de los agentes, se entra en la vista de cualquier agente y se encontrará una URL parecida a esta:
http://localhost/pandora/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702
Se introduce el contenido del parámetro sec2 (operation/agentes/ver_agente
) en la caja de texto Section 2.
Para una página “suelta” el usuario necesitará el URL, de lo contrario se deberá otorgar permiso al menú correspondiente. En la imagen del ejemplo anterior le perfil Operator (read) le fue agregado el acceso a Monitoring (Section), Views (Section 2), Agent detail (Section 3).
Seguridad
Cualquier página que esté limitada no se mostrará en el menú y no se permitirá su uso, ni siquiera cuando el usuario ponga la URL de modo “manual”.
Cualquier página no permitida por el sistema “Clásico” ACL de Pandora FMS no será permitida por el sistema ACL Enterprise (esto es válido para los sistema clásico ACL).
Además, hay un control que comprueba si una página pertenece a una sección, lo que refuerza la seguridad frente a modificaciones manuales de la URL. Esta comprobación se saltará las páginas añadidas con el editor personalizado, así como el acceso a cada página de una sección completa a la que se tenga permitido el acceso, optimizando así la carga.
Podrá consultar en cualquier momento las páginas permitidas para cada perfil mediante Filter by profile y pulsando luego el botón Filter:
Para que los usuarios puedan acceder a cambiar sus propios datos de usuario se les debe otorgar acceso a Profile | Configure user | All .