Home
Système ACL enterprise
Introduction
Le modèle ACL est basé sur le style Unix®:
role/action/group/user (4 articles).
Le système ACL Enterprise vous permet de définir - en fonction du profil - les pages (définies une à une ou par «groupes») auxquelles les utilisateurs ont accès. Cela vous permettra de redéfinir les sections de l'interface qu'un utilisateur peut voir.
Les superadmin sont exemptés du contrôle de l'ACL, tous les autres utilisateurs sont liés par l'ACL, même s'ils ont le profile Pandora Administrator (Administrateur de Pandora) qui leur est assigné.
Cette fonctionnalité permet de restreindre l'administration par page. Elle est très utile pour autoriser certaines opérations spécifiques de bas niveau.
Les deux modèles sont parallèles et compatibles. Le système ACL classique est complémentaire et est évalué avant le système ACL enterprise.
Configuration
Afin d'utiliser le Système ACL d'entreprise, la première chose à faire est de l'activer dans l'onglet de configuration. Menu Management → Settings → System settings → Advanced, activer Use Enterprise ACL System → cliquez sur le bouton Update.
Pour configurer le système ACL d'entreprise : menu Management → Profiles → Enterprise ACL Setup. Dans cet écran, vous pouvez ajouter de nouveaux éléments dans le système ACL et afficher les éléments définis par profil. Vous pouvez également supprimer des éléments du système ACL Enterprise.
Si le Système ACL d'entreprise est activé, TOUTES les pages sont limitées à TOUS les groupes (y compris l'administrateur) à toutes les pages définies (autorisées) dans le système ACL d'entreprise. Si un utilisateur ayant le profil Administrateur n'a pas de pages incluses dans le système ACL d'entreprise, il ne pourra rien voir.
Une attention particulière doit être apportée à ce point car l'accès à la console peut être perdu si vous activez la mauvaise configuration ACL Enterprise pour votre propre utilisateur.
Si, par erreur, vous avez perdu l'accès à la console Web, vous pouvez désactiver le système ACL Enterprise à partir de la ligne de commande PFMS avec la commande disable_acl.
Fonctionnement
Il y a deux façons d'ajouter des pages à un profil : avec l'assistant (par défaut) ou avec l'édition personnalisée. Pour ce faire, un bouton situé à côté du bouton Add permet de basculer entre Wizard et Custom.
Assistant
L'assistant choisira les sections et les pages à partir d'une liste déroulante de contrôles.
- Les pages qui apparaissent dans ces listes déroulantes sont uniquement celles qui sont accessibles à partir du menu. Pour accéder à des pages qui sont accessibles autrement (par exemple la vue principale de l'agent), vous devez utiliser l'éditeur personnalisé.
- Toutes les options de menu sont affichées, que le profil sélectionné y ait accès ou non. L'ajout d'une option de menu à laquelle un profil n'a pas accès n'entraînera pas l'apparition de cet élément dans le menu.
- Le profil par défaut dans la liste déroulante sous User profile est toujours
Chief Operator, modifiez-le toujours avant d'ajouter une autorisation à un autre profil.
Pour inclure une page de Pandora FMS dans les «pages autorisées», vous devez sélectionner le profil auquel la règle sera appliquée, puis sélectionner dans Section control la section qui contient la page souhaitée. À ce moment-là, vous pourrez sélectionner dans le contrôle Section 2 n'importe laquelle de ses pages et de la même manière pour Section 3.
Une autre option consiste à sélectionner une section et la valeur All dans le contrôle Section. Cela permettra au profil choisi de voir «toute» la section choisie. De même, la sélection de All dans les deux contrôles permettra aux utilisateurs de ce profil de voir «toutes» les sections, comme ce serait le cas sans le système ACL d'entreprise pour ce profil.
En déplaçant le pointeur sur l'un des éléments, le bouton de suppression correspondant s'affiche.
Pour qu'une section soit affichée dans le menu, l'utilisateur doit avoir accès au moins à la première page de la section.
Édition personnalisée
Pour ajouter des pages individuelles qui ne sont pas accessibles à partir du menu, la sec2 correspondante peut être introduite manuellement. Pour ce faire, accédez à la page à ajouter et copiez le paramètre Section 2.
Par exemple, pour ajouter la vue principale des agents, vous entrez la vue de n'importe quel agent et vous trouverez une URL similaire à celle-ci:
http://localhost/pandora/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702
Le contenu du paramètre sec2 (operation/agentes/ver_agente) est saisi dans la zone de texte Section 2.
Pour une page «libre», l'utilisateur aura besoin de l'URL, sinon l'autorisation doit être donnée au menu correspondant. Dans l'exemple ci-dessus, le profil Operator (read) a été ajouté l'accès à Monitoring (Section), Views (Section 2), Agent detail (Section 3).
Sécurité
Toute page dont l'accès est restreint ne sera pas affichée dans le menu et ne pourra pas être utilisée, même si l'utilisateur définit l'URL «manuellement».
Toute page non autorisée par le système ACL «classique» de Pandora FMS ne sera pas autorisée par le système ACL de l'entreprise (ceci est valable pour le système ACL classique).
En outre, il existe un contrôle qui vérifie si une page appartient à une section, ce qui renforce la sécurité contre les modifications manuelles de l'URL. Ce contrôle ignore les pages ajoutées avec l'éditeur personnalisé, ainsi que l'accès à chaque page d'une section complète dont l'accès est autorisé, ce qui optimise le chargement.
Les pages autorisées pour chaque profil peuvent être consultées à tout moment en utilisant Filter by profile et en cliquant ensuite sur le bouton Filter:
Pour que les utilisateurs puissent modifier leurs propres données d'utilisateur, ils doivent avoir accès aux éléments suivants Workspace | Edit my user | All .
