Gérer les administrateurs

Le menu Maintenance > Serveur SMC > Administrateurs de l'interface web d'administration permet de gérer les administrateurs disposant de comptes locaux sur le serveur SMC ou de comptes provenant de serveurs d'authentification Radius ou LDAP. L'affichage du panneau diffère selon que vous êtes connecté au serveur en tant que super administrateur (utilisateur "admin") ou en temps qu'autre utilisateur.

Il existe trois profils d'administrateurs :

Profil Droits sur les administrateurs Droits sur la configuration
Super administrateur Ajout/Suppression/Modification Ajout/Suppression/Modification/Déploiement
Administrateur avec accès en lecture/écriture Modification de son propre mot de passe Ajout/Suppression/Modification/Déploiement
Administrateur avec accès en lecture seule Modification de son propre mot de passe Lecture seule

Plusieurs administrateurs peuvent se connecter simultanément à l'interface web avec les accès en lecture/écriture et à l'interface de ligne de commande. Dans ce cas, les changements effectués par un administrateur sont instantanément répercutés sur les écrans des autres administrateurs, y compris les imports d'éléments par fichier CSV. Consultez les journaux d'audit pour voir la liste des changements effectués.

Lorsqu'un administrateur déploie une configuration sur les firewalls, les autres administrateurs voient qu'un déploiement est en cours et qui l'a lancé.

NOTE
L'utilisateur "root" ne figure pas dans la liste des administrateurs mais il possède bien les droits d'accès au serveur en SSH ou via la console d'un hyperviseur. En revanche, le super administrateur ne peut pas accéder au serveur en SSH ou via une console.

Le super administrateur a tous les droits et décide d'octroyer l'accès aux autres administrateurs :

  • à l'interface web de SMC en lecture/écriture ou limité en lecture,
  • à l'interface web des firewalls en lecture/écriture ou limité en lecture,
  • à l'interface de ligne de commande en SSH,
  • à l'interface de ligne de commande via la console d'un hyperviseur.

Reportez-vous à la section suivante pour des informations sur l'exécution de commandes système via SSH ou la console d'un hyperviseur.

Pour gérer les administrateurs, allez dans le menu Administrateurs :

  • Pour ajouter un administrateur, cliquez sur Ajouter un administrateur. Les administrateurs peuvent s'authentifier avec un compte Radius ou LDAP. Sinon, vous devez leur attribuer un mot de passe local dans la partie inférieure du panneau.
  • Pour modifier le profil d'un administrateur, double-cliquez sur la ligne de l'administrateur ou survolez le nom de l'administrateur et sélectionnez l'icône crayon Icône Modifier les paramètres.
  • Pour supprimer un administrateur, survolez le nom de l'administrateur et sélectionnez la croix rouge Icône Supprimer un administrateur.

L'utilisateur "admin" ne peut pas être supprimé.

Les termes suivants sont réservés par SMC et donc inutilisables en tant qu'identifiant : root, daemon, bin, sys, sync, games, man, lp, mail, news, uucp, proxy, www-data, backup, list, irc, gnats, sshd, dhcpcd, messagebus, fwadmin-server, nobody.

NOTE
Seul le super administrateur a le droit de mettre à jour le serveur SMC depuis l'interface web d'administration.

Les administrateurs ayant le droit d'accéder à l'interface de ligne de commande en SSH ou via la console d'un hyperviseur doivent demander une élévation de privilèges avec la commande "sudo" pour exécuter certaines commandes concernant le système (réseau, comptes utilisateurs, fichiers système, etc.) :

demande d'élévation de privilèges

Le super administrateur peut désactiver l'authentification locale et ainsi ne permettre l'authentification des administrateurs que via un serveur d'authentification Radius ou LDAP.

  1. Dans le menu Maintenance > Serveur SMC > Administrateurs, cliquez sur Modifier les paramètres de l'authentification.
    Bouton Modifier les paramètres de l'authentification locale
  2. Dans l'onglet Locale, décochez la case Authentification locale activée.
  3. Cliquez sur Appliquer.

Le super administrateur conserve toujours le droit de s'authentifier avec son mot de passe local. Il s'agit du seul mode d'authentification possible pour lui.

Seul le super administrateur peut définir la politique de mots de passe pour les administrateurs disposant d'un compte local. Il peut choisir :

  • Le nombre minimum de caractères requis : le mot de passe peut contenir entre un et 128 caractères. Par défaut, 12 caractères au minimum sont requis.
  • Le type de caractères obligatoires : alphanumériques, alphabétiques et spéciaux ou aucun. Par défaut, aucun type de caractères n'est obligatoire.

Lors du déploiement d'un nouveau serveur SMC, le mot de passe du super administrateur dans l'assistant d'initialisation du serveur doit également comporter 12 caractères au minimum.

Pour définir une politique de mots de passe :

  1. Dans le menu Maintenance > Serveur SMC > Administrateurs, cliquez sur Modifier les paramètres de l'authentification,
  2. Dans l'onglet Locale, activez l'authentification locale si besoin,
  3. Sélectionnez le nombre minimum de caractères requis,
  4. Sélectionnez le type de caractères obligatoires.

La politique de mots de passe s'applique à tous les administrateurs qui disposent d'un compte local.

Les mots de passe qui ont été définis avant l'application de cette politique sont toujours valides mais nous vous recommandons de les modifier en accord avec la politique définie.

La limite de 128 caractères au maximum s'applique également à l'identifiant et au nom des administrateurs.