Home
高度な ACL システム
概要
ACL モデルは Unix® スタイルに基づいています。
role/action/group/user (4 items).
高度な ACL システム では、プロファイルに従って、どのページ (1 つずつまたは「グループ」ごとに定義) にユーザがアクセスできるかを定義できます。これにより、ユーザが表示できるインターフェースのセクションを再定義できます。
スーパー管理者 は ACL 制御から除外されますが、他のユーザは、Pandora 管理者 プロファイル (Pandora FMS 管理者 ) が割り当てられている場合でも ACL によって制限されます。
この機能を使用すると、ページごとに管理を制限できます。特定の低レベルの操作を許可するのに非常に便利です。
両方のモデルは並列で互換性があります。クラシック ACL システムは、高度な ACL システムを補完し、高度な ACL システムより先に評価されます。
設定
高度な ACL システムを使用するには、まず設定タブでそれを有効にする必要があります。
ノード: \\メニュー 管理(Management) → セットアップ(Settings) → システム設定(System Settings) → 一般設定(General Setup) → 機能(Features) → 高度な ACL システムの使用(Use Advanced ACL System) を有効にしてから、更新(Update) ボタンをクリックします。
コマンドセンター:
メニュー セットアップ(Setup) → メタセットアップ(Metasetup) → 高度な ACL システムの使用(Use Advanced ACL System) を有効にしてから、更新(Update) ボタンをクリックします。
コマンドセンターと各ノードでは、高度な ACL システムの使用と設定は完全に独立しています。
高度な ACL システムを設定するには:
ノード:
メニュー 管理(Management) → プロファイル(Profiles) → 高度な ACL 設定(Advanced ACL Setup).
コマンドセンター:
メニュー 中央管理(Centralised) → 管理(Management) → 高度な ACL 設定(Advanced ACL Setup).
この画面では、新しい要素を追加したり、プロファイルによって既に定義されている項目を確認したりできます。また、高度な ACL システムから項目を削除することもできます。
高度な ACL システム が有効になっている場合、すべてのページは、高度な ACL システムで定義(許可)されているすべてのページに対して、すべてのグループ(管理者を含む)に制限されます。管理者プロファイルを持つユーザに、高度な ACL システムに含まれるページがない場合、そのユーザも何も表示できません。
不適切な ACL の詳細設定を自分のユーザに対して有効にすると、コンソールへのアクセス権を失う可能性があるため、特に注意が必要です。
誤ってWebコンソールへのアクセスが失われた場合は、PFMS コマンドラインから disable_eacl という命令を使用して、高度な ACLシステムを無効化できます。
操作
プロファイルにページを追加するには、ウィザード (デフォルト) を使用する方法と カスタム編集 を使用する方法の 2 つがあります。この場合、追加(Add) ボタンの横に、ウィザード と カスタム を切り替えるボタンがあります。
ウィザード
ウィザードを使用して、いくつかのドロップダウンリストコントロールのセクションとページを選択します。
- これらのドロップダウンリストに表示されるページは、メニューからアクセスできるページのみです。他の方法でアクセスするページ (メインのエージェント表示など) へのアクセスを許可するには、カスタムエディタを使用する必要があります。
- 選択したプロファイルがアクセスできるかどうかに関係なく、すべてのメニューオプションが表示されます。プロファイルがアクセスできないメニューオプションを追加しても、その項目はメニューに表示されません。
- ユーザプロファイル の下のドロップダウンリストのデフォルトプロファイルは常に
Chief Operatorです。別のプロファイルに権限を追加する前に、必ずこれを変更してください。
Pandora FMS ページを “許可されたページ(allowed pages)” に含めるには、ルールを適用するプロファイルを選択し、セクション コントロールで目的のページを含むセクションを選択する必要があります。その時点で、セクション 2 コントロールで任意のページを選択できるようになり、セクション 3 でも同様に機能します。
もう 1 つのオプションは、セクションを選択し、セクション コントロールで値 すべて を選択することです。これにより、選択したプロファイルは選択したセクションの「すべて」を表示できます。また、両方のコントロールで すべて を選択すると、そのプロファイルのユーザは、そのプロファイルの高度な ACL システムがない場合と同じように、「すべての」セクションの「すべて」を表示できます。
いずれかの項目の上にポインタを移動すると、対応する削除ボタンが表示されます。
セクションをメニューに表示するには、ユーザが少なくともそのセクションの最初のページにアクセスできる必要があります。
カスタム編集
メニューからアクセスできない単一のページを追加するには、対応する sec2 を手動で入力します。これを行うには、追加するページにアクセスし、セクション 2(Section 2) へパラメータをコピーします。
たとえば、エージェントのメイン表示を追加するには、任意のエージェントを表示する次のような URL が見つかります。
…/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702
セクション 2(Section 2) テキストボックスに sec2 パラメータの内容 (operation/agents/ver_agent) を入力します。
「個別」ページの場合、ユーザは URL が必要になります。そうでない場合は、対応するメニューへのアクセス許可を与える必要があります。前の例の画像では、Operator(read)プロファイルにモニタリング(Monitoring)(Section)、表示(Views)(Section 2)、エージェントの詳細(Agent detail)(Section 3)へのアクセス権が付与されています。
セキュリティ
制限されたページは、ユーザが URL を「手動」で入力しても、メニューに表示されず、使用することもできません。
Pandora FMS の「クラシック」ACL システムで許可されていないページは、高度な ACL システムでも許可されません (クラシック ACL システムが有効です)。
さらに、ページがセクションに属しているかどうかを確認するコントロールがあり、URL の手動変更に対するセキュリティが強化されます。このチェックにより、カスタムエディターで追加されたページや、アクセスが許可されているセクション全体の各ページへのアクセスがスキップされ、読み込みが最適化されます。
プロファイルでフィルタ を使用し、フィルタ(Filter) ボタンをクリックすると、いつでも各プロファイルで許可されているページを確認できます。
- ユーザが自身のユーザデータにアクセスして変更するには、ワークスペース | ユーザ設定 | すべてへのアクセス権が付与されている必要があります。
- ユーザが自身のトークンを生成できるようにするには、ワークスペース | トークン編集 | すべてにアクセスしてください。
- ユーザが通知を閲覧できるようにするには、ワークスペース | メッセージ | すべてにアクセスしてください。さらに、他のユーザからのメッセージに返信する必要がある場合は、「カスタム編集」の sec2 パラメータ operation/messages/message_edit に追加する必要があります。
