Enterprise ACL システム
概要
ACL モデルは Unix® スタイルに基づいています。
role/action/group/user
(4 items).
Enterprise ACL システム では、プロファイルに従って、どのページ (1 つずつまたは「グループ」ごとに定義) にユーザがアクセスできるかを定義できます。これにより、ユーザが表示できるインターフェースのセクションを再定義できます。たとえば、グループ 表示と 詳細 エージェント表示のみをユーザが表示できるようにし、アラート表示 や モニター表示 などのページはスキップします。これらは、従来の Pandora FMS ACL システムで既に AR
(エージェント読み取り権限) としてグループ化されています。
スーパー管理者 は ACL 制御から除外されますが、他のユーザは、Pandora 管理者 プロファイル (Pandora FMS 管理者 ) が割り当てられている場合でも ACL によって制限されます。
この機能を使用すると、ページごとに管理を制限できます。特定の低レベルの操作を許可するのに非常に便利です。
両方のモデルは並列で互換性があります。クラシック ACL システムは Enterprise ACL システムを補完し、Enterprise ACL システムより先に評価されます。
設定
Enterprise ACL システムを使用するには、まず設定タブで有効にする必要があります。メニューの 管理 → セットアップ → セットアップ → Enterprise で、Enterprise ACL システムの使用 を有効にし、更新 ボタンをクリックします。
Enterprise ACL システムを設定するには、管理 → プロファイル → Enterprise ACL セットアップ に進みます。この画面では、ACL システムに新しい項目を追加し、プロファイルで定義された項目を確認できます。Enterprise ACL システムから項目を削除することもできます。
Enterprise ACL システム が有効化されている場合、すべてのグループ (管理者を含む) のすべてのページは、Enterprise ACL システムで定義 (許可) されているすべてのページに制限されます。管理者 プロファイルを持つユーザに Enterprise ACL システムに含まれるページがない場合、そのユーザは何も表示できません。
ユーザに対して間違った Enterprise ACL 設定を有効にすると、コンソールにアクセスできなくなる可能性があるため、注意してください。
誤ってコンソールにアクセスできなくなった場合は、PFMS コマンドラインから、disable_acl コマンドを使用して Enterprise ACL システムを無効にすることができます。
操作
プロファイルにページを追加するには、ウィザード (デフォルト) を使用する方法と カスタム編集 を使用する方法の 2 つがあります。この場合、追加(Add) ボタンの横に、ウィザード と カスタム を切り替えるボタンがあります。
ウィザード
ウィザードを使用して、いくつかのドロップダウンリストコントロールのセクションとページを選択します。
- これらのドロップダウンリストに表示されるページは、メニューからアクセスできるページのみです。他の方法でアクセスするページ (メインのエージェント表示など) へのアクセスを許可するには、カスタムエディタを使用する必要があります。
- 選択したプロファイルがアクセスできるかどうかに関係なく、すべてのメニューオプションが表示されます。プロファイルがアクセスできないメニューオプションを追加しても、その項目はメニューに表示されません。
- ユーザプロファイル の下のドロップダウンリストのデフォルトプロファイルは常に
Chief Operator
です。別のプロファイルに権限を追加する前に、必ずこれを変更してください。
Pandora FMS ページを “許可されたページ(allowed pages)” に含めるには、ルールを適用するプロファイルを選択し、セクション コントロールで目的のページを含むセクションを選択する必要があります。その時点で、セクション 2 コントロールで任意のページを選択できるようになり、セクション 3 でも同様に機能します。
もう 1 つのオプションは、セクションを選択し、セクション コントロールで値 すべて を選択することです。これにより、選択したプロファイルは選択したセクションの「すべて」を表示できます。また、両方のコントロールで すべて を選択すると、そのプロファイルのユーザは、そのプロファイルの Enterprise ACL システムがない場合と同じように、「すべての」セクションの「すべて」を表示できます。
いずれかの項目の上にポインタを移動すると、対応する削除ボタンが表示されます。
セクションをメニューに表示するには、ユーザが少なくともそのセクションの最初のページにアクセスできる必要があります。
カスタム編集
メニューからアクセスできない単一のページを追加するには、対応する sec2 を手動で入力します。これを行うには、追加するページにアクセスし、セクション 2(Section 2) へパラメータをコピーします。
たとえば、エージェントのメイン表示を追加するには、任意のエージェントを表示する次のような URL が見つかります。
http://localhost/pandora/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702
セクション 2(Section 2) テキストボックスに sec2 パラメータの内容 (operation/agents/ver_agent
) を入力します。
「ドロップ」ページの場合、ユーザは URL が必要です。そうでない場合は、対応するメニューへの権限を付与する必要があります。前の例の画像では、Operator (read) プロファイルに、モニタリング (セクション)、表示 (セクション 2)、エージェントの詳細 (セクション 3) へのアクセスが追加されました。
セキュリティ
制限されたページは、ユーザが URL を「手動」で入力しても、メニューに表示されず、使用することもできません。
Pandora FMS の「クラシック」ACL システムで許可されていないページは、Enterprise ACL システムでも許可されません (クラシック ACL システムが有効です)。
さらに、ページがセクションに属しているかどうかを確認するコントロールがあり、URL の手動変更に対するセキュリティが強化されます。このチェックにより、カスタムエディターで追加されたページや、アクセスが許可されているセクション全体の各ページへのアクセスがスキップされ、読み込みが最適化されます。
プロファイルでフィルタ を使用し、フィルタ(Filter) ボタンをクリックすると、いつでも各プロファイルで許可されているページを確認できます。
ユーザが自分のユーザデータを変更できるようにするには、プロファイル | ユーザ設定 | すべて へのアクセス権を付与する必要があります。