Onglet «  Administrateurs »

L’écran de cet onglet est divisé en trois parties :

  • Une barre des tâches (en haut) : celle-ci affiche les différentes actions possibles sur un administrateur (Ajouter un administrateur, Supprimer, Copier les droits etc.).
  • La liste des utilisateurs et groupes d’utilisateurs répertoriés en tant qu’admin (à gauche).
  • La grille des droits des administrateurs (à droite).

 

Par souci de conformité avec le réglement européen RGPD (Règlement Général sur la Protection des Données), il est possible de définir un administrateur avec les droits en lecture et écriture sur le firewall mais ne pouvant pas visualiser les données personnelles stockées dans les logs.

L'administrateur concerné peut néanmoins demander et obtenir les droits d'accès à ces données personnelles en renseignant un code d'autorisation fourni par son superviseur. Ce code possède une durée de validité limitée définie lors de sa création.

Une fois sa tâche terminée, il peut alors relâcher ce droit de visualisation des données personnelles.

Les interactions

Certaines opérations, détaillées dans la section "Les manipulations possibles", peuvent être réalisées en effectuant un clic droit sur la grille des administrateurs :

  • Ajouter un administrateur,
  • Supprimer (un administrateur),
  • Copier les droits,
  • Coller les droits,
  • Donner tous les droits.

Les manipulations possibles

Vous allez pouvoir constituer votre grille d’administrateurs issus de votre base LDAP ainsi que leurs droits respectifs.

Ajouter un administrateur

Administrateur sans droit

Ce type d’administrateur dispose des droits de base à savoir l’’accès au Dashboard et aux modules suivants :

Licence, Maintenance, Active Update, la Haute disponibilité et son assistant, la console CLI, Réseau, Routage, DNS dynamique, DHCP, Proxy cache DNS, les Objets, les catégories d’URL et leurs groupes, Certificats et PKI, l’Authentification et son assistant, le Filtrage URL, SSL et SMTP, Applications et protections, Profils d’inspection, Antivirus, Antispam, Messages de blocage, et les Préférences.

Le module Management des Vulnérabilités nécessite le droit d’écriture pour être accessible.

Administrateur avec accès en lecture seule

Ce type d’administrateur dispose des mêmes accès de base que l’admin « sans droits » avec en plus des droits supplémentaires : la lecture des logs SNMP, Alertes e-mails, Evénements système, ainsi que la lecture du Filtrage et du VPN.

Administrateur avec tous les droits

Ce type d’administrateur aura accès à tous les modules exceptés les onglets Administrateurs et Compte Admin du module Administrateurs.

REMARQUE

Il n’existe qu’un seul « super-administrateur » qui présente les caractéristiques suivantes :

  • Il est le seul à être habilité à se connecter via la console locale sur les Firewalls Stormshield Network, et ce uniquement lors de l’installation du firewall ou pour des opérations de maintenance, en dehors de l’exploitation.
  • Il est chargé de la définition des profils des autres administrateurs.
  • Tous les accès dans les locaux où sont stockés les boîtiers firewalls, ainsi que les interventions effectuées se font sous sa surveillance.
Administrateur de comptes temporaires Ce type d'administrateur peut uniquement gérer les comptes temporaires définis sur le firewall (création, modification, suppression).
Administrateur avec accès aux données personnelles

Ce type d'administrateur peut :

accéder à l'ensemble des logs en cliquant sur le lien Accès restreint aux logs afin d'activer le droit Accès complet aux logs (données personnelles) sans devoir saisir un code d'accès aux données privées.

Administrateur sans accès aux données personnelles Ce type d'administrateur peut accéder à l'ensemble des logs ne contenant pas de données personnelles. Pour activer le droit Accès complet aux logs (données personnelles), il doit obligatoirement cliquer sur le lien Accès restreint aux logs puis saisir un code d'accès aux données privées qui lui aura été fourni.

Une fois votre administrateur importé, il apparaît dans la liste « Utilisateur – groupe d’utilisateur » à gauche de l’écran.

Vous pouvez effectuer diverses actions sur celui-ci.

 

Supprimer

Sélectionnez l’administrateur à retirer de la liste et cliquez sur Supprimer.

Monter

Placer l’administrateur au-dessus du précédent dans la liste.

Descendre

Placer l’administrateur au-dessous du suivant dans la liste.

Copier les droits

Sélectionnez l’administrateur dont vous souhaitez copier les droits et cliquez sur ce bouton.

Coller les droits

Sélectionnez l’administrateur auquel vous souhaitez attribuer les mêmes droits que celui que vous venez de copiez et cliquez sur ce bouton.

Donner tous les droits

Quelques soient les droits attribués à l’administrateur sélectionné, en cliquant sur ce bouton,

La grille des droits

Votre interface est en « vue simple » par défaut. La grille affiche 5 colonnes représentant les 5 catégories de droits auquel un administrateur est affilié ou non : Système, Réseau, Utilisateurs, Firewall et Supervision.

Les icônes de la grille ont la signification suivante :

 : L’ensemble des droits sont attribués.

 : L’ensemble des droits ne sont pas accordés.

 : Une partie des droits sont accordés, d'autres non.

 

En passant en « vue avancée » à l’aide de l’icône ou (en fonction de la longueur de votre écran), la grille affichera le détail des droits par catégorie. Pour connaître précisément les droits correspondant à chaque colonne, une bulle informative est disponible sur l’en-tête de chacune d’entre elles.

Exemple

Si vous vous positionnez en haut de la colonne Système, vous verrez apparaître les accès qu’elles incluent, à savoir les droits de « Maintenance, Objets ».

NOTE

Un double clic sur les icônes représentées change l'état des permissions (de « accordé » à « non accordé » par exemple). Un double clic sur cette icône accordera les droits, et celle-ci la remplacera à l’affichage.

NOTE

Toute modification des permissions d’un administrateur n’est effective qu’à la prochaine connexion de cet administrateur. Si vous souhaitez qu’une modification soit immédiatement prise en compte, vous devez forcer la déconnexion de l’administrateur concerné (par exemple avec la commande CLI : monitor flush user).

 

La liste des droits attribuables par la vue simple, sont les suivants :

Droits en vue simple

IntituléDescriptionDroit attribués
Système 

Droits d’effectuer des opérations de maintenance (sauvegardes, restaurations, mises à jour, Firewall arrêt et redémarrage, mise à jour de l’antivirus, modification de la fréquence de mise à jour de l’antivirus et actions relatives au RAID dans Stormshield Network Realtime Monitor).

Droits de modification de la base objet 

 

modify, base, maintenance, object 

Réseau 

Droit de modification de la politique de filtrage et du routage (route par défaut, routes statiques and réseaux de confiance)

 

modify, base, filter, route

Utilisateurs

Droit de modification des utilisateurs et de la PKI

 

modify, base, user, pki

Firewall

Droit de modification de la configuration VPN, de la prévention d'intrusion (IPS) et du management de vulnérabilités

 

modify, base, vpn, asq, pvm

Supervision 

Droit de modification de la configuration à partir de Stormshield Network Realtime Monitor et modification des traces

 

modify, base, log, maintenance

Comptes temporaires

Droit de gestion des comptes temporaires pour la politique d'authentification "Comptes temporaires"

 

modify,base,voucher

Droits en vue avancée

Intitulé Description

 

Droit attribués
Traces (L) 

Consultation des traces

 

base, log_read

Filtrage (L) 

Consultation de la politique de filtrage

 

base, filter_read

VPN (L)

Consultation de la configuration VPN

 

base, vpn_read

Accès aux données personnelles (L)Droit de consulter les logs contenant des données personnelles base, log_read, report_read, privacy_read
Traces (E) 

Droit de modification de la configuration des traces

 

modify, base, log

Filtrage (E) 

Droit de modification de la politique de filtrage

 

modify, base, filter

VPN (E)

Droit de modification de la configuration VPN

 

modify, base, vpn

Gestion des accès aux données personnellesDroit de créer des tickets pour les demandes ponctuelles d'accès aux données personnelles dans les logs. base, log_read, modify, privacy, privacy_read, report_read
PKI

Droit de modification de la PKI

 

modify, base, pki

Monitoring 

Droit de modification de la configuration à partir de Stormshield Network Realtime Monitor

 

modify, base, mon_write

Filtrage de contenu 

Droits pour les politiques de filtrage URL, Mail, SSL et la gestion des antivirus

 

modify, base, contentfilter

Objets

Droit de modification de la base objet 

 

modify, base, object 

Utilisateurs

Droit de modification des utilisateurs

 

modify, base, user

Réseau

Droit de modification de la configuration réseau (interfaces, bridges, modems, VLANs et configuration du DNS dynamique)

 

modify, base, network

Routage

Droits de modification du routage (route par défaut, routes statiques and réseaux de confiance)

 

modify, base, route

Maintenance

Droits d’effectuer des opérations de maintenance (sauvegardes, restaurations, mises à jour, arrêt et redémarrage du firewall, mise à jour de l’antivirus, modification de la fréquence de mise à jour de l’antivirus, configuration de la haute disponibilité et actions relatives au RAID dans Stormshield Network Realtime Monitor).

 

modify, base, maintenance

Comptes temporairesDroit de gestion des comptes temporaires (module Utilisateurs > Comptes temporaires) modify, base, voucher
Prévention d'intrusion

Droits de modifier la configuration de la prévention d'intrusion (IPS)

 

modify, base, asq

Management de vulnérabilités

Droit de modifier la configuration de management de vulnérabilités (Stormshield Network Vulnerability Manager)

 

modify, base, pvm 

Objets (global)

Droits d’accès aux objets globaux

 

modify, base, globalobject

Filtrage (global)

Droits d’accès à la politique de filtrage globale

 

modify, base, globalfilter

Rapports (E)

Droits de modifier Stormshield Network Activity Report

 

base, report_read

Rapports (R)

Droits d’accès à Stormshield Network Activity Report

 

modify, base, report, report_read

Le droit base est systématiquement attribué à tous les utilisateurs. Ce droit permet la lecture de toute la configuration hormis le filtrage, le VPN, les traces et le filtrage de contenu.

Le droit modify est affecté à tout utilisateur ayant un droit d'écriture.

L’utilisateur connecté en tant que admin obtient le droit admin. Seul ce droit permet d'ajouter ou de retirer des droits d'administration aux autres utilisateurs.