Onglet Administrateurs
Cet onglet se compose d'une grille contenant :
- Une barre des tâches : elle affiche les différentes actions possibles sur un administrateur.
- La liste des utilisateurs et groupes d’utilisateurs répertoriés en tant qu’administrateur et leurs droits.
NOTE
L'onglet Administrateurs est accessible seulement en étant connecté avec le compte admin.
Les actions possibles
Certaines actions peuvent également être réalisées en effectuant un clic droit dans la grille des administrateurs.
Ajouter un administrateur | Ajoute un nouvel administrateur sur le firewall. Plusieurs choix sont proposées selon les droits à attribuer au nouvel administrateur. La procédure est détaillée dans la section Ajouter un administrateur. |
Supprimer | Supprime l'administrateur sélectionné. |
Monter | Place l’administrateur sélectionné au-dessus du précédent dans la liste. |
Descendre | Place l’administrateur sélectionné au-dessous du suivant dans la liste. |
Copier les droits | Copie les droits de l'administrateur sélectionné. |
Coller les droits | Colle les droits copiés à l'administrateur sélectionné. |
Donner tous les droits | Attribue tous les droits à l'administrateur sélectionné. |
Passer en vue avancée / Passer en vue simple |
Modifie l'affichage des droits dans la grille selon deux vues :
Le détail des droits est disponible dans la section Les droits possibles. |
Ajouter un administrateur
En cliquant sur le bouton Ajouter, plusieurs choix sont proposés :
Administrateur sans droits |
Ce type d’administrateur dispose des droits de base, à savoir l'accès au Tableau de bord et aux modules suivants :
Le module Management des Vulnérabilités nécessite le droit d’écriture pour être accessible. |
Administrateur avec accès en lecture seule | Ce type d’administrateur dispose des mêmes accès de base que l’admin « sans droits » avec en plus des droits supplémentaires : la lecture des logs SNMP, Alertes e-mails, Evénements système, ainsi que la lecture du Filtrage et du VPN. |
Administrateur avec tous les droits |
Ce type d’administrateur aura accès à tous les modules exceptés ceux où un accès super-administrateur (compte admin) est requis. NOTE
Il n’existe qu’un seul super-administrateur qui présente les caractéristiques suivantes :
|
Administrateur de comptes temporaires | Ce type d'administrateur peut uniquement gérer les comptes temporaires définis sur le firewall (création, modification, suppression). |
Administrateur avec accès aux données personnelles | Ce type d'administrateur peut accéder à l'ensemble des logs en cliquant sur le lien Logs : accès restreint afin d'activer le droit Logs : accès complet (données personnelles) sans devoir saisir un code d'accès aux données privées. |
Administrateur sans accès aux données personnelles |
Par souci de conformité avec le règlement européen RGPD (Règlement Général sur la Protection des Données), il est possible de définir un administrateur avec les droits en lecture et écriture sur le firewall mais ne pouvant pas visualiser les données personnelles stockées dans les logs. L'administrateur concerné peut néanmoins demander et obtenir les droits d'accès à ces données personnelles en renseignant un code d'autorisation fourni par son superviseur. Ce code possède une durée de validité limitée définie lors de sa création. Pour activer le droit Logs : accès complet (données personnelles), il doit obligatoirement cliquer sur le lien Logs : accès restreint puis saisir le code. Une fois sa tâche terminée, il peut alors relâcher ce droit de visualisation des données personnelles. |
Définissez ensuite l'utilisateur ou le groupe d'utilisateurs à ajouter en tant qu'administrateur.
Utilisateur - Groupe présent dans l'annuaire LDAP |
Permet d'ajouter en tant qu'administrateur un utilisateur ou un groupe d'utilisateurs présent dans l'annuaire LDAP du firewall. Sélectionnez dans la liste déroulante l'utilisateur ou le groupe d'utilisateurs concerné. |
Utilisateur - Groupe provenant d'un autre domaine (annuaire) |
Permet d'ajouter en tant qu'administrateur un utilisateur ou un groupe d'utilisateurs provenant d'un autre domaine. Pour ce choix, complétez les informations :
|
Une fois ajouté, l'administrateur apparaît dans la grille dans la colonne Utilisateur – groupe d’utilisateurs.
Les droits possibles
L'affichage des droits dans la grille dispose de deux vues :
- Vue simple : affichage par défaut comportant plusieurs colonnes représentant les catégories de droits auxquelles un administrateur est affilié ou non. Positionnez votre souris sur le titre d'une colonne pour connaître précisément les droits qu'elle contient.
-
Vue avancée : affiche tous les droits disponibles.
Utilisez le bouton Passer en vue avancée / Passer en vue simple pour modifier l'affichage.
Les icônes de la grille ont la signification suivante :
- : L’ensemble des droits sont attribués.
- : L’ensemble des droits ne sont pas accordés.
- : Une partie des droits sont accordés, d'autres non.
Un double clic sur les icônes représentées change l'état des permissions (de « accordé » à « non accordé » par exemple). Un double clic sur l'icône retire les droits attribués.
NOTE
Toute modification des permissions d’un administrateur n’est effective qu’à la prochaine connexion de cet administrateur. Si vous souhaitez qu’une modification soit immédiatement prise en compte, vous devez forcer la déconnexion de l’administrateur concerné (par exemple avec la commande CLI : monitor flush user).
Droits en vue simple
Intitulé | Description | Droit attribués | |||
Système | Droits d’effectuer des opérations de maintenance (sauvegardes, restaurations, mises à jour, Firewall arrêt et redémarrage, mise à jour de l’antivirus, modification de la fréquence de mise à jour de l’antivirus et actions relatives au RAID). Droits de modification de la base objet |
base, console, contentfilter, globalobject, maintenance, modify, object | |||
Réseau | Droit de modification de la politique de filtrage et du routage (route par défaut, routes statiques et réseaux de confiance) | base, modify, network, route | |||
Utilisateurs | Droit de modification des utilisateurs et de la PKI | base, modify, pki, user | |||
Firewall | Droit de modification de la configuration VPN, de la prévention d'intrusion (IPS) et du management de vulnérabilités | modify, base, filter, vpn, asq, pvm, vpn, read, filter_read, globalfilter | |||
Supervision | Droit de modification de la configuration et modification des traces | modify, mon_write, base, log, log_read, report, report_read, privacy, privacy_read | |||
Comptes temporaires | Droit de gestion des comptes temporaires pour la politique d'authentification "Comptes temporaires" | base, guest_admin |
Droits en vue avancée
Intitulé | Description | Droit attribués |
Traces (L) | Consultation des traces | base, log_read |
Filtrage (L) | Consultation de la politique de filtrage | base, filter_read |
VPN (L) | Consultation de la configuration VPN | base, vpn_read |
Accès aux données personnelles (L) | Droit de consulter les logs contenant des données personnelles | base, privacy_read |
Traces (E) | Droit de modification de la configuration des traces | modify, base, log |
Filtrage (E) | Droit de modification de la politique de filtrage | modify, base, filter |
VPN (E) | Droit de modification de la configuration VPN | modify, base, vpn |
Gestion des accès aux données personnelles | Droit de créer des tickets pour les demandes ponctuelles d'accès aux données personnelles dans les logs. | base, privacy |
PKI | Droit de modification de la PKI | base, modify, pki |
Monitoring | Droit de consulter le monitoring avancé | base, modify, mon_write |
Filtrage de contenu | Droits pour les politiques de filtrage URL, Mail, SSL et la gestion des antivirus | base, modify, contentfilter |
Objets | Droit de modification de la base objet | base, modify, object |
Utilisateurs | Droit de modification des utilisateurs | base, modify, user |
Réseau |
Droit de modification de la configuration réseau (interfaces, bridges, modems, VLANs et configuration du DNS dynamique) | base, modify, network |
Routage | Droits de modification du routage (route par défaut, routes statiques and réseaux de confiance) | base, modify, route |
Maintenance | Droits d’effectuer des opérations de maintenance (sauvegardes, restaurations, mises à jour, arrêt et redémarrage du firewall, mise à jour de l’antivirus, modification de la fréquence de mise à jour de l’antivirus, configuration de la haute disponibilité et actions relatives au RAID). | base, modify, maintenance |
Comptes temporaires | Droit de gestion des comptes temporaires (module Utilisateurs > Comptes temporaires) | base, guest_admin |
Prévention d'intrusion | Droits de modifier la configuration de la prévention d'intrusion (IPS) | base, modify, asq |
Management de vulnérabilités | Droit de modifier la configuration de management de vulnérabilités (Stormshield Network Vulnerability Manager) | base, modify, pvm |
Objets (global) | Droits d’accès aux objets globaux | base, modify, globalobject |
Filtrage (global) | Droits d’accès à la politique de filtrage globale | base, modify, globalfilter |
Rapports (E) | Droits de modifier Stormshield Network Activity Report | base, report_read |
Rapports (L) | Droits d’accès à Stormshield Network Activity Report | base, report_read |
Accès au TPM | Lorsque le firewall est équipé d'un TPM (Trusted Platform Module), ce droit permet d'initialiser le TPM et de manipuler les données protégées par ce TPM (clés privées de certificats du firewall). | base, modify, tpm |
Console (SSH) | Droit d'ouvrir une connexion distante en SSH sur le firewall. | base, modify, console |
Le droit base est systématiquement attribué à tous les utilisateurs. Ce droit permet la lecture de toute la configuration hormis le filtrage, le VPN, les traces et le filtrage de contenu.
Le droit modify est affecté à tout utilisateur ayant un droit d'écriture.
L’utilisateur connecté en tant que admin obtient le droit admin. Seul ce droit permet d'ajouter ou de retirer des droits d'administration aux autres utilisateurs.