Restreindre les droits d'accès des administrateurs de dossiers

Le super administrateur choisit le ou les dossiers sur lesquels un administrateur de dossiers possède le droit d'écriture. Cela signifie qu'il donne à l'administrateur un accès en écriture complet sur ces dossiers, leurs éventuels sous-dossiers et les firewalls qu'ils contiennent, ainsi que sur les futurs sous-dossiers ou firewalls.

L'administrateur de dossiers peut toujours consulter en lecture seule la configuration des firewalls qui ne font pas partie de son périmètre d'administration.

Pour restreindre les droits d'un administrateur :

1. Rendez-vous dans le menu Maintenance > Serveur SMC > Administrateurs.

2. Double-cliquez sur la ligne de l'administrateur.

3. Dans la liste déroulante Dossiers, sélectionnez le ou les dossiers que l'administrateur doit pouvoir administrer.

4. Appliquez la modification.

Dans la vue de supervision des firewalls, par défaut l'administrateur de dossiers ne voit que les firewalls dans son périmètre d'administration, c'est-à-dire appartenant aux dossiers sur lesquels il possède le droit d'accès en écriture.

Pour afficher tous les firewalls, cliquez sur Voir les dossiers en lecture seule.

Un administrateur de dossiers peut créer des éléments de configuration (objets, règles, files d'attente QoS, etc.) et les utiliser dans la configuration des firewalls qu'il administre. Il peut également utiliser tous les éléments de configuration disponibles dans SMC et qui ont été ajoutés par d'autres administrateurs.

Cependant, il ne peut pas modifier ou supprimer ces éléments s'ils sont utilisés dans la configuration de firewalls qui ne sont pas dans son périmètre d'administration.

Pour pouvoir créer, modifier ou supprimer une topologie VPN, l'administrateur de dossiers doit posséder le droit d'accès en écriture sur tous les firewalls compris dans la topologie.

Si ce n'est pas le cas, c'est-à-dire si les correspondants d'une même topologie sont des firewalls classés dans plusieurs dossiers administrés par des administrateurs de dossiers différents, seul un administrateur général peut la créer, la modifier ou la supprimer.

Le droit d'accès en écriture au dossier prime sur le droit d'accès en écriture à une topologie. Ainsi, un administrateur de dossiers conserve le droit de configurer un firewall sur lequel il a le droit d'écriture, même si celui-ci fait partie d'une topologie sur laquelle il n'a pas l'accès complet.

EXEMPLE

Dans cet exemple, le Firewall 1 est classé dans le dossier X et les Firewalls 2 et 3 sont classés dans le dossier Y. L'administrateur du dossier Y ne peut pas modifier la topologie A car elle comprend le firewall 1 sur lequel il n'a pas le droit d'accès en écriture. Néanmoins, il conserve le droit d'accès en écriture sur le firewall 2, même s'il fait partie de la topologie A.

Un administrateur de dossiers ne peut pas réaliser les actions suivantes sur la configuration générale de SMC :

• ajouter ou modifier les propriétés personnalisées globales des firewalls,

• importer des objets via un fichier CSV,

• modifier le plan d'adressage VTI par défaut dans les topologies VPN,

• charger et déployer une ancienne configuration,

• activer ou modifier le contrôle de cohérence pour le mode "Diffusion restreinte (DR)",

• saisir ou modifier un raccourci vers le serveur Stormshield Log Supervisor (SLS),

• ajouter un script CLI SNS ou une pièce jointe à un script,

• modifier les paramètres du serveur Active Update,

• créer des clés API avec une utilisation "écriture" pour accéder à l'API publique de SMC.