Enterprise ACL システム

概要

ACL モデルは Unix® スタイルに基づいています。

role/action/group/user (4 items).

Enterprise ACL システム では、プロファイルに従って、どのページ (1 つずつまたは「グループ」ごとに定義) にユーザがアクセスできるかを定義できます。これにより、ユーザが表示できるインターフェースのセクションを再定義できます。たとえば、グループ 表示と 詳細 エージェント表示のみをユーザが表示できるようにし、アラート表示モニター表示 などのページはスキップします。これらは、従来の Pandora FMS ACL システムで既に AR (エージェント読み取り権限) としてグループ化されています。

スーパー管理者ACL 制御から除外されますが、他のユーザは、Pandora 管理者 プロファイル (Pandora FMS 管理者 ) が割り当てられている場合でも ACL によって制限されます。

この機能を使用すると、ページごとに管理を制限できます。特定の低レベルの操作を許可するのに非常に便利です。

両方のモデルは並列で互換性があります。クラシック ACL システムは Enterprise ACL システムを補完し、Enterprise ACL システムより先に評価されます。

設定

Enterprise ACL システムを使用するには、まず設定タブで有効にする必要があります。メニューの 管理セットアップセットアップEnterprise で、Enterprise ACL システムの使用 を有効にし、更新 ボタンをクリックします。

Enterprise ACL システムを設定するには、管理プロファイルEnterprise ACL セットアップ に進みます。この画面では、ACL システムに新しい項目を追加し、プロファイルで定義された項目を確認できます。Enterprise ACL システムから項目を削除することもできます。

Enterprise ACL システム が有効化されている場合、すべてのグループ (管理者を含む) のすべてのページは、Enterprise ACL システムで定義 (許可) されているすべてのページに制限されます。管理者 プロファイルを持つユーザに Enterprise ACL システムに含まれるページがない場合、そのユーザは何も表示できません。

ユーザに対して間違った Enterprise ACL 設定を有効にすると、コンソールにアクセスできなくなる可能性があるため、注意してください

誤ってコンソールにアクセスできなくなった場合は、PFMS コマンドラインから、disable_acl コマンドを使用して Enterprise ACL システムを無効にすることができます。

操作

プロファイルにページを追加するには、ウィザード (デフォルト) を使用する方法と カスタム編集 を使用する方法の 2 つがあります。この場合、追加(Add) ボタンの横に、ウィザードカスタム を切り替えるボタンがあります。

ウィザード

ウィザードを使用して、いくつかのドロップダウンリストコントロールのセクションとページを選択します。

  • これらのドロップダウンリストに表示されるページは、メニューからアクセスできるページのみです。他の方法でアクセスするページ (メインのエージェント表示など) へのアクセスを許可するには、カスタムエディタを使用する必要があります。
  • 選択したプロファイルがアクセスできるかどうかに関係なく、すべてのメニューオプションが表示されます。プロファイルがアクセスできないメニューオプションを追加しても、その項目はメニューに表示されません。
  • ユーザプロファイル の下のドロップダウンリストのデフォルトプロファイルは常に Chief Operator です。別のプロファイルに権限を追加する前に、必ずこれを変更してください。

Pandora FMS ページを “許可されたページ(allowed pages)” に含めるには、ルールを適用するプロファイルを選択し、セクション コントロールで目的のページを含むセクションを選択する必要があります。その時点で、セクション 2 コントロールで任意のページを選択できるようになり、セクション 3 でも同様に機能します。

もう 1 つのオプションは、セクションを選択し、セクション コントロールで値 すべて を選択することです。これにより、選択したプロファイルは選択したセクションの「すべて」を表示できます。また、両方のコントロールで すべて を選択すると、そのプロファイルのユーザは、そのプロファイルの Enterprise ACL システムがない場合と同じように、「すべての」セクションの「すべて」を表示できます。

いずれかの項目の上にポインタを移動すると、対応する削除ボタンが表示されます。

セクションをメニューに表示するには、ユーザが少なくともそのセクションの最初のページにアクセスできる必要があります。

カスタム編集

メニューからアクセスできない単一のページを追加するには、対応する sec2 を手動で入力します。これを行うには、追加するページにアクセスし、セクション 2(Section 2) へパラメータをコピーします。

たとえば、エージェントのメイン表示を追加するには、任意のエージェントを表示する次のような URL が見つかります。

http://localhost/pandora/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702

セクション 2(Section 2) テキストボックスに sec2 パラメータの内容 (operation/agents/ver_agent) を入力します。

「ドロップ」ページの場合、ユーザは URL が必要です。そうでない場合は、対応するメニューへの権限を付与する必要があります。前の例の画像では、Operator (read) プロファイルに、モニタリング (セクション)、表示 (セクション 2)、エージェントの詳細 (セクション 3) へのアクセスが追加されました。

セキュリティ

制限されたページは、ユーザが URL を「手動」で入力しても、メニューに表示されず、使用することもできません。

Pandora FMS の「クラシック」ACL システムで許可されていないページは、Enterprise ACL システムでも許可されません (クラシック ACL システムが有効です)。

さらに、ページがセクションに属しているかどうかを確認するコントロールがあり、URL の手動変更に対するセキュリティが強化されます。このチェックにより、カスタムエディターで追加されたページや、アクセスが許可されているセクション全体の各ページへのアクセスがスキップされ、読み込みが最適化されます。

プロファイルでフィルタ を使用し、フィルタ(Filter) ボタンをクリックすると、いつでも各プロファイルで許可されているページを確認できます。

ユーザが自分のユーザデータを変更できるようにするには、プロファイル | ユーザ設定 | すべて へのアクセス権を付与する必要があります。

Pandora FMS ドキュメント一覧に戻る