Restreindre les droits d'accès des administrateurs de dossiers

SMC permet de segmenter l'administration de votre parc de firewalls en assignant des administrateurs différents à des groupes de firewalls. Pour ce faire, vous pouvez restreindre l'accès en écriture d'un administrateur à un groupe de firewalls, en vous appuyant sur l'arborescence de dossiers disponible dans SMC. Cette segmentation permet de définir un périmètre d'administration pour chaque administrateur et ainsi de renforcer la sécurité sur votre parc de firewalls.

EXEMPLE
Si votre parc de firewalls s'étend sur plusieurs pays ou continents, vous pouvez choisir de définir un administrateur différent par pays ou continent. Chaque administrateur peut alors administrer les firewalls du dossier de sa zone uniquement. Il peut également consulter en lecture seule la configuration des autres firewalls et du serveur SMC.

Seul le super administrateur peut limiter le droit d'accès en écriture des autres administrateurs à certains dossiers.

Il peut alors définir deux profils d'administrateur possédant le droit d'accès en écriture :

Administrateur général

  • Il possède le droit d'accès en écriture au dossier racine de SMC, c'est-à-dire à tous les sous-dossiers et donc tous les firewalls SNS.

  • Il peut modifier la configuration de tous les firewalls SNS rattachés à SMC.

  • Il peut créer et modifier tous les éléments de configuration présents dans SMC (objets, règles, topologies VPN, QoS, certificats, profils de chiffrement, etc.).

  • Il peut réaliser certaines opérations de maintenance du serveur SMC.
Administrateur de dossiers

  • Son droit d'accès en écriture est restreint à un ou plusieurs dossiers et aux firewalls qu'ils contiennent.

  • Il peut modifier uniquement la configuration des firewalls qu'il administre.

  • Il peut créer des éléments de configuration et les utiliser pour les firewalls qu'il administre.

  • Il peut créer des topologies VPN uniquement avec les firewalls qu'il administre.

  • Il peut accéder en lecture/écriture directement à l'interface des firewalls qu'il administre via SMC.

  • Il peut accéder en lecture seule à la configuration des firewalls hors de son périmètre d'administration, à tous les éléments de configuration présents dans SMC, à la configuration du serveur SMC.

  • Il peut accéder directement à l'interface des firewalls hors de son périmètre d'administration via SMC, mais en lecture seule uniquement.

Pour plus de détails sur les profils d'administrateurs, les implications et limitations de la restriction des droits d'accès à des dossiers, reportez-vous à la section Gérer les administrateurs locaux et provenant d'annuaires externes et aux sections ci-dessous.

Le super administrateur choisit le ou les dossiers sur lesquels un administrateur de dossiers possède le droit d'écriture. Cela signifie qu'il donne à l'administrateur un accès en écriture complet sur ces dossiers, leurs éventuels sous-dossiers et les firewalls qu'ils contiennent, ainsi que sur les futurs sous-dossiers ou firewalls.

L'administrateur de dossiers peut toujours consulter en lecture seule la configuration des firewalls qui ne font pas partie de son périmètre d'administration.

Pour restreindre les droits d'un administrateur :

  1. Rendez-vous dans le menu Maintenance > Serveur SMC > Administrateurs.

  2. Double-cliquez sur la ligne de l'administrateur.

  3. Dans la liste déroulante Dossiers, sélectionnez le ou les dossiers que l'administrateur doit pouvoir administrer.

  4. Appliquez la modification.

Dans la vue de supervision des firewalls, par défaut l'administrateur de dossiers ne voit que les firewalls dans son périmètre d'administration, c'est-à-dire appartenant aux dossiers sur lesquels il possède le droit d'accès en écriture.

Pour afficher tous les firewalls, cliquez sur Voir les dossiers en lecture seule.

Un administrateur de dossiers peut créer des éléments de configuration (objets, règles, files d'attente QoS, etc.) et les utiliser dans la configuration des firewalls qu'il administre. Il peut également utiliser tous les éléments de configuration disponibles dans SMC et qui ont été ajoutés par d'autres administrateurs.

Cependant, il ne peut pas modifier ou supprimer ces éléments s'ils sont utilisés dans la configuration de firewalls qui ne sont pas dans son périmètre d'administration.

Pour pouvoir créer, modifier ou supprimer une topologie VPN, l'administrateur de dossiers doit posséder le droit d'accès en écriture sur tous les firewalls compris dans la topologie.

Si ce n'est pas le cas, c'est-à-dire si les correspondants d'une même topologie sont des firewalls classés dans plusieurs dossiers administrés par des administrateurs de dossiers différents, seul un administrateur général peut la créer, la modifier ou la supprimer.

Le droit d'accès en écriture au dossier prime sur le droit d'accès en écriture à une topologie. Ainsi, un administrateur de dossiers conserve le droit de configurer un firewall sur lequel il a le droit d'écriture, même si celui-ci fait partie d'une topologie sur laquelle il n'a pas l'accès complet.

EXEMPLE
schéma VPN et administrateur de dossiers
Dans cet exemple, le Firewall 1 est classé dans le dossier X et les Firewalls 2 et 3 sont classés dans le dossier Y. L'administrateur du dossier Y ne peut pas modifier la topologie A car elle comprend le firewall 1 sur lequel il n'a pas le droit d'accès en écriture. Néanmoins, il conserve le droit d'accès en écriture sur le firewall 2, même s'il fait partie de la topologie A.

Un administrateur de dossiers ne peut pas réaliser les actions suivantes sur la configuration générale de SMC :

  • ajouter ou modifier les propriétés personnalisées globales des firewalls,

  • importer des objets via un fichier CSV,

  • modifier le plan d'adressage VTI par défaut dans les topologies VPN,

  • charger et déployer une ancienne configuration,

  • activer ou modifier le contrôle de cohérence pour le mode "Diffusion restreinte (DR)",

  • saisir ou modifier un raccourci vers le serveur Stormshield Log Supervisor (SLS),

  • ajouter un script CLI SNS ou une pièce jointe à un script,

  • modifier les paramètres du serveur Active Update,

  • créer des clés API avec une utilisation "écriture" pour accéder à l'API publique de SMC.