Home
Système ACL Advanced
Introduction
Le modèle ACL est basé sur le style Unix® :
role/action/group/user (4 items).
Le système ACL Advanced permet de définir — selon le profil — les pages (définies une par une ou par “groupes”) auxquelles les utilisateurs ont accès. Cela permettra de redéfinir les sections de l'interface qu'un utilisateur peut voir.
Les superadmin sont exemptés du contrôle ACL, les autres utilisateurs y sont soumis, même s'ils ont le profil Pandora Administrator (Administrateur Pandora FMS) assigné.
Cette fonctionnalité permet de restreindre l'administration par pages. Elle est très utile pour autoriser certaines opérations spécifiques de bas niveau.
Les deux modèles sont parallèles et compatibles. Le système ACL classique est complémentaire et est évalué avant le système ACL Advanced.
Configuration
Pour pouvoir utiliser le système ACL Advanced, la première chose à faire est de l'activer dans l'onglet de configuration :
Nœuds :
menu Management → Settings → System Settings → General Setup → Features → Use Advanced ACL System, activer puis cliquer sur le bouton Update.
Command Center :
menu Setup → Metasetup → Use Advanced ACL System, activer puis cliquer sur le bouton Update.
Dans le Command Center, et chacun des nœuds, l'utilisation et la configuration du système ACL Advanced sont complètement indépendantes les unes des autres.
Pour configurer le système ACL Advanced :
Nœuds :
Menu Management → Profiles → Advanced ACL Setup.
Command Center :
menu Centralised → Management → Advanced ACL Setup.
Sur cet écran, vous pouvez ajouter de nouveaux éléments et voir les items déjà définis par profil. Vous pouvez également supprimer des items du système ACL Advanced.
Si le système ACL Advanced est activé, TOUTES les pages sont restreintes pour TOUS les groupes (y compris l'Administrateur) à toutes les pages définies (autorisées) dans le système ACL Advanced. Si un utilisateur ayant le profil Administrateur n'a pas de pages incluses dans le système ACL Advanced, il ne pourra rien voir non plus.
Il faut faire particulièrement attention car vous pouvez perdre l'accès à la console si vous activez une configuration inappropriée d'ACL Advanced pour votre propre utilisateur.
Si vous avez perdu par erreur l'accès à la Console Web, vous pouvez désactiver le système ACL Advanced depuis la ligne de commande PFMS avec l'instruction disable_eacl.
Fonctionnement
Il existe deux modes pour ajouter des pages à un profil : avec l'assistant (par défaut) ou avec l'édition personnalisée. Pour cela, il y a un bouton à côté du bouton Add qui alterne entre Wizard et Custom.
Assistant
Avec l'assistant, vous choisirez les sections et les pages à partir de listes déroulantes.
- Les pages qui apparaissent dans ces listes déroulantes sont uniquement celles accessibles depuis le menu. Pour donner accès à des pages accessibles d'une autre manière (par exemple, la vue principale des agents), l'éditeur personnalisé doit être utilisé.
- Toutes les options de menu sont affichées, peu importe si le profil sélectionné y a accès ou non. Ajouter une option de menu à laquelle un profil n'a pas accès ne fera pas apparaître cet élément dans le menu.
- Le profil par défaut dans la liste déroulante sous User profile est toujours
Chief Operatoret il doit être modifié avant d'ajouter des permissions à un autre profil.
Pour inclure une page de Pandora FMS dans les “pages autorisées”, vous devrez sélectionner le profil auquel la règle s'appliquera, puis sélectionner dans le contrôle Section la section contenant la page souhaitée. À ce moment-là, vous pourrez sélectionner dans le contrôle Section 2 n'importe laquelle de ses pages, et cela fonctionne de la même manière pour la Section 3.
Une autre option consiste à sélectionner une section et la valeur All dans le contrôle Section. Cela permettra au profil choisi de voir “tout” de la section sélectionnée. De même, la sélection de All dans les deux contrôles permettra aux utilisateurs de ce profil de voir “tout” de “toutes” les sections, comme ce serait le cas sans le Système ACL Advanced pour ce profil.
En déplaçant le curseur sur l'un des items, le bouton de suppression correspondant s'affichera.
Pour qu'une section s'affiche dans le menu, l'utilisateur doit avoir accès, au moins, à la première page de la section.
Édition personnalisée
Pour ajouter des pages isolées qui ne sont pas accessibles depuis le menu, vous pouvez saisir manuellement le sec2 correspondant. Pour ce faire, accédez à la page à ajouter et copiez le paramètre Section 2.
Par exemple, pour ajouter la vue principale des agents, entrez dans la vue de n'importe quel agent et vous trouverez une URL semblable à celle-ci :
…/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702
Saisissez le contenu du paramètre sec2 (operation/agentes/ver_agente) dans la zone de texte Section 2.
Pour une page “isolée”, l'utilisateur aura besoin de l'URL, sinon une permission devra être accordée au menu correspondant. Dans l'image de l'exemple précédent, l'accès à Monitoring (Section), Views (Section 2), Agent detail (Section 3) a été ajouté au profil Operator (read).
Sécurité
Toute page limitée ne sera pas affichée dans le menu et son utilisation ne sera pas autorisée, même si l'utilisateur saisit l'URL de manière “manuelle”.
Toute page non autorisée par le système “Classique” ACL de Pandora FMS ne sera pas autorisée par le système ACL Advanced (ceci est valable pour le système classique ACL).
De plus, il existe un contrôle qui vérifie si une page appartient à une section, ce qui renforce la sécurité contre les modifications manuelles de l'URL. Cette vérification ignorera les pages ajoutées avec l'éditeur personnalisé, ainsi que l'accès à chaque page d'une section complète pour laquelle l'accès est autorisé, optimisant ainsi le chargement.
Les pages autorisées pour chaque profil peuvent être consultées à tout moment via Filter by profile puis en cliquant sur le bouton Filter :
- Pour que les utilisateurs puissent accéder à la modification de leurs propres données utilisateur, ils doivent recevoir l'accès à Workspace | Edit my user | All.
- Pour qu'ils puissent générer leurs propres tokens : Workspace | Edit my Tokens | All.
- Pour qu'ils puissent lire leurs notifications : Workspace | Messages | All. Si, en plus, ils doivent répondre à un message d'un autre utilisateur, il faudra ajouter dans l' “Édition personnalisée”, au paramètre sec2 : operation/messages/message_edit.
