Onglet Administrateurs

L’écran de cet onglet est divisé en trois parties :

  • Une barre des tâches (en haut) : celle-ci affiche les différentes actions possibles sur un administrateur (Ajouter un administrateur, Supprimer, Copier les droits etc.).
  • La liste des utilisateurs et groupes d’utilisateurs répertoriés en tant qu’admin (à gauche).
  • La grille des droits des administrateurs (à droite).

Par souci de conformité avec le règlement européen RGPD (Règlement Général sur la Protection des Données), il est possible de définir un administrateur avec les droits en lecture et écriture sur le firewall mais ne pouvant pas visualiser les données personnelles stockées dans les logs.

L'administrateur concerné peut néanmoins demander et obtenir les droits d'accès à ces données personnelles en renseignant un code d'autorisation fourni par son superviseur. Ce code possède une durée de validité limitée définie lors de sa création.

Une fois sa tâche terminée, il peut alors relâcher ce droit de visualisation des données personnelles.

Les interactions

Certaines opérations, détaillées dans la section Les manipulations possibles, peuvent être réalisées en effectuant un clic droit sur la grille des administrateurs :

  • Ajouter un administrateur,
  • Supprimer (un administrateur),
  • Copier les droits,
  • Coller les droits,
  • Donner tous les droits.

Les manipulations possibles

Vous allez pouvoir constituer votre grille d’administrateurs issus de votre base LDAP ainsi que leurs droits respectifs.

Ajouter un administrateur

Administrateur sans droit

Ce type d’administrateur dispose des droits de base à savoir l'accès au Dashboard et aux modules suivants :

  • Licence,

  • Maintenance,

  • Active Update,

  • Haute disponibilité (et son assistant),

  • Console CLI,

  • Réseau,

  • Routage,

  • DNS dynamique,

  • DHCP,

  • Proxy cache DNS,

  • Objets,

  • Catégories d’URL (et leurs groupes),

  • Certificats et PKI,

  • Authentification (et son assistant),

  • Filtrage URL,

  • Filtrage SSL,

  • Filtrage SMTP,

  • Applications et protections,

  • Profils d’inspection,

  • Antivirus,

  • Antispam,

  • Messages de blocage,

  • Préférences.

Le module Management des Vulnérabilités nécessite le droit d’écriture pour être accessible.
Administrateur avec accès en lecture seule

Ce type d’administrateur dispose des mêmes accès de base que l’admin « sans droits » avec en plus des droits supplémentaires : la lecture des logs SNMP, Alertes e-mails, Evénements système, ainsi que la lecture du Filtrage et du VPN.
Administrateur avec tous les droits

Ce type d’administrateur aura accès à tous les modules exceptés les onglets Administrateurs et Compte Admin du module Administrateurs.

NOTE

Il n’existe qu’un seul « super-administrateur » qui présente les caractéristiques suivantes :

  • Il est le seul à être habilité à se connecter via la console locale sur les Firewalls Stormshield Network, et ce uniquement lors de l’installation du firewall ou pour des opérations de maintenance, en dehors de l’exploitation.
  • Il est chargé de la définition des profils des autres administrateurs.
  • Tous les accès dans les locaux où sont stockés les boîtiers firewalls, ainsi que les interventions effectuées se font sous sa surveillance.
Administrateur de comptes temporaires Ce type d'administrateur peut uniquement gérer les comptes temporaires définis sur le firewall (création, modification, suppression).
Administrateur avec accès aux données personnelles

Ce type d'administrateur peut accéder à l'ensemble des logs en cliquant sur le lien Accès restreint aux logs afin d'activer le droit Accès complet aux logs (données personnelles) sans devoir saisir un code d'accès aux données privées.
Administrateur sans accès aux données personnelles Ce type d'administrateur peut accéder à l'ensemble des logs ne contenant pas de données personnelles. Pour activer le droit Accès complet aux logs (données personnelles), il doit obligatoirement cliquer sur le lien Accès restreint aux logs puis saisir un code d'accès aux données privées qui lui aura été fourni.

Une fois votre administrateur importé, il apparaît dans la liste « Utilisateur – groupe d’utilisateur » à gauche de l’écran.
Vous pouvez effectuer diverses actions sur celui-ci.

Supprimer

Sélectionnez l’administrateur à retirer de la liste et cliquez sur Supprimer.
Monter

Placer l’administrateur au-dessus du précédent dans la liste.
Descendre

Placer l’administrateur au-dessous du suivant dans la liste.
Copier les droits

Sélectionnez l’administrateur dont vous souhaitez copier les droits et cliquez sur ce bouton.
Coller les droits

Sélectionnez l’administrateur auquel vous souhaitez attribuer les mêmes droits que celui que vous venez de copiez et cliquez sur ce bouton.
Donner tous les droits

Quels que soient les droits attribués à l’administrateur sélectionné, en cliquant sur ce bouton.

La grille des droits

Votre interface est en « vue simple » par défaut. La grille affiche 5 colonnes représentant les 5 catégories de droits auquel un administrateur est affilié ou non : Système, Réseau, Utilisateurs, Firewall et Supervision.

Les icônes de la grille ont la signification suivante :

  •  : L’ensemble des droits sont attribués.

  •  : L’ensemble des droits ne sont pas accordés.

  •  : Une partie des droits sont accordés, d'autres non.

En passant en « vue avancée » à l’aide de l’icône ou (en fonction de la longueur de votre écran), la grille affichera le détail des droits par catégorie. Pour connaître précisément les droits correspondant à chaque colonne, une bulle informative est disponible sur l’en-tête de chacune d’entre elles.

EXEMPLE
Si vous vous positionnez en haut de la colonne Système, vous verrez apparaître les accès qu’elles incluent, à savoir les droits de « Maintenance, Objets ».

NOTES
  • Un double clic sur les icônes représentées change l'état des permissions (de « accordé » à « non accordé » par exemple).
    Un double clic sur cette icône accordera les droits, et celle-ci la remplacera à l’affichage.
  • Toute modification des permissions d’un administrateur n’est effective qu’à la prochaine connexion de cet administrateur. Si vous souhaitez qu’une modification soit immédiatement prise en compte, vous devez forcer la déconnexion de l’administrateur concerné (par exemple avec la commande CLI : monitor flush user).

La liste des droits attribuables par la vue simple, sont les suivants :

Droits en vue simple

Intitulé Description Droits attribués
Système 

Droits d’effectuer des opérations de maintenance (sauvegardes, restaurations, mises à jour, Firewall arrêt et redémarrage, mise à jour de l’antivirus, modification de la fréquence de mise à jour de l’antivirus et actions relatives au RAID dans Stormshield Network Real-Time Monitor).

Droits de modification de la base objet 

modify, base, maintenance, object 

Réseau 

Droit de modification de la politique de filtrage et du routage (route par défaut, routes statiques and réseaux de confiance)

modify, base, filter, route
Utilisateurs

Droit de modification des utilisateurs et de la PKI

modify, base, user, pki
Firewall

Droit de modification de la configuration VPN, de la prévention d'intrusion (IPS) et du management de vulnérabilités

modify, base, vpn, asq, pvm
Supervision 

Droit de modification de la configuration à partir de Stormshield Network Real-Time Monitor et modification des traces

modify, base, log, maintenance
Comptes temporaires

Droit de gestion des comptes temporaires pour la politique d'authentification "Comptes temporaires"

modify,base,voucher

Droits en vue avancée

Intitulé Description Droits attribués
Traces (L) 

Consultation des traces

base, log_read
Filtrage (L) 

Consultation de la politique de filtrage

base, filter_read
VPN (L)

Consultation de la configuration VPN

base, vpn_read
Accès aux données personnelles (L) Droit de consulter les logs contenant des données personnelles base, log_read, report_read, privacy_read
Traces (E) 

Droit de modification de la configuration des traces

modify, base, log

Filtrage (E) 

Droit de modification de la politique de filtrage

modify, base, filter

VPN (E)

Droit de modification de la configuration VPN

modify, base, vpn

Gestion des accès aux données personnelles Droit de créer des tickets pour les demandes ponctuelles d'accès aux données personnelles dans les logs. base, log_read, modify, privacy, privacy_read, report_read
PKI

Droit de modification de la PKI

modify, base, pki
Monitoring 

Droit de modification de la configuration à partir de Stormshield Network Real-Time Monitor

modify, base, mon_write
Filtrage de contenu 

Droits pour les politiques de filtrage URL, Mail, SSL et la gestion des antivirus

modify, base, contentfilter
Objets

Droit de modification de la base objet 

modify, base, object 

Utilisateurs

Droit de modification des utilisateurs

modify, base, user

Réseau

Droit de modification de la configuration réseau (interfaces, bridges, modems, VLANs et configuration du DNS dynamique)

modify, base, network

Routage

Droits de modification du routage (route par défaut, routes statiques and réseaux de confiance)

modify, base, route

Maintenance

Droits d’effectuer des opérations de maintenance (sauvegardes, restaurations, mises à jour, arrêt et redémarrage du firewall, mise à jour de l’antivirus, modification de la fréquence de mise à jour de l’antivirus, configuration de la haute disponibilité et actions relatives au RAID dans Stormshield Network Real-Time Monitor).

modify, base, maintenance

Comptes temporaires Droit de gestion des comptes temporaires (module Utilisateurs > Comptes temporaires) modify, base, voucher
Prévention d'intrusion

Droits de modifier la configuration de la prévention d'intrusion (IPS)

modify, base, asq
Management de vulnérabilités

Droit de modifier la configuration de management de vulnérabilités (Stormshield Network Vulnerability Manager)

modify, base, pvm 
Objets (global)

Droits d’accès aux objets globaux

modify, base, globalobject

Filtrage (global)

Droits d’accès à la politique de filtrage globale

modify, base, globalfilter

Rapports (E)

Droits de modifier Stormshield Network Activity Report

base, report_read
Rapports (L)

Droits d’accès à Stormshield Network Activity Report

modify, base, report, report_read
Accès au TPM Lorsque le firewall est équipé d'un TPM (Trusted Platform Module), ce droit permet d'initialiser le TPM et de manipuler les données protégées par ce TPM (clés privées de certificats du firewall). modify, base, tpm

Le droit base est systématiquement attribué à tous les utilisateurs. Ce droit permet la lecture de toute la configuration hormis le filtrage, le VPN, les traces et le filtrage de contenu.

Le droit modify est affecté à tout utilisateur ayant un droit d'écriture.

L’utilisateur connecté en tant que admin obtient le droit admin. Seul ce droit permet d'ajouter ou de retirer des droits d'administration aux autres utilisateurs.