Onglet Administrateurs

Cet onglet se compose d'une grille contenant :

  • Une barre des tâches : elle affiche les différentes actions possibles sur un administrateur.
  • La liste des utilisateurs et groupes d’utilisateurs répertoriés en tant qu’administrateur et leurs droits.

NOTE
L'onglet Administrateurs est accessible seulement en étant connecté avec le compte admin.

Les actions possibles

Certaines actions peuvent également être réalisées en effectuant un clic droit dans la grille des administrateurs.

Ajouter un administrateur Ajoute un nouvel administrateur sur le firewall. Plusieurs choix sont proposées selon les droits à attribuer au nouvel administrateur. La procédure est détaillée dans la section Ajouter un administrateur.
Supprimer Supprime l'administrateur sélectionné.
Monter Place l’administrateur sélectionné au-dessus du précédent dans la liste.
Descendre Place l’administrateur sélectionné au-dessous du suivant dans la liste.
Copier les droits Copie les droits de l'administrateur sélectionné.
Coller les droits Colle les droits copiés à l'administrateur sélectionné.
Donner tous les droits Attribue tous les droits à l'administrateur sélectionné.
Passer en vue avancée / Passer en vue simple

Modifie l'affichage des droits dans la grille selon deux vues :

  • Vue simple : affichage par défaut comportant plusieurs colonnes représentant les catégories de droits auxquelles un administrateur est affilié ou non.

  • Vue avancée : affiche tous les droits disponibles.

Le détail des droits est disponible dans la section Les droits possibles.

Ajouter un administrateur

En cliquant sur le bouton Ajouter, plusieurs choix sont proposés :

Administrateur sans droits

Ce type d’administrateur dispose des droits de base, à savoir l'accès au Tableau de bord et aux modules suivants :

  • Licence,
  • Maintenance,
  • Active Update,
  • Haute disponibilité (et son assistant),
  • Console CLI,
  • Réseau,
  • Routage,
  • DNS dynamique,
  • DHCP,
  • Proxy cache DNS,
  • Objets,
  • Catégories d’URL (et leurs groupes),
  • Certificats et PKI,
  • Authentification (et son assistant),
  • Filtrage URL,
  • Filtrage SSL,
  • Filtrage SMTP,
  • Applications et protections,
  • Profils d’inspection,
  • Antivirus,
  • Antispam,
  • Messages de blocage,
  • Préférences.

Le module Management des Vulnérabilités nécessite le droit d’écriture pour être accessible.

Administrateur avec accès en lecture seule Ce type d’administrateur dispose des mêmes accès de base que l’admin « sans droits » avec en plus des droits supplémentaires : la lecture des logs SNMP, Alertes e-mails, Evénements système, ainsi que la lecture du Filtrage et du VPN.
Administrateur avec tous les droits

Ce type d’administrateur aura accès à tous les modules exceptés ceux où un accès super-administrateur (compte admin) est requis.

NOTE
Il n’existe qu’un seul super-administrateur qui présente les caractéristiques suivantes :
  • Il est le seul à être habilité à se connecter via la console locale sur les Firewalls Stormshield Network, et ce uniquement lors de l’installation du firewall ou pour des opérations de maintenance, en dehors de l’exploitation.
  • Il est chargé de la définition des profils des autres administrateurs.
  • Tous les accès dans les locaux où sont stockés les boîtiers firewalls, ainsi que les interventions effectuées se font sous sa surveillance.
Administrateur de comptes temporaires Ce type d'administrateur peut uniquement gérer les comptes temporaires définis sur le firewall (création, modification, suppression).
Administrateur avec accès aux données personnelles Ce type d'administrateur peut accéder à l'ensemble des logs en cliquant sur le lien Logs : accès restreint afin d'activer le droit Logs : accès complet (données personnelles) sans devoir saisir un code d'accès aux données privées.
Administrateur sans accès aux données personnelles

Par souci de conformité avec le règlement européen RGPD (Règlement Général sur la Protection des Données), il est possible de définir un administrateur avec les droits en lecture et écriture sur le firewall mais ne pouvant pas visualiser les données personnelles stockées dans les logs.

L'administrateur concerné peut néanmoins demander et obtenir les droits d'accès à ces données personnelles en renseignant un code d'autorisation fourni par son superviseur. Ce code possède une durée de validité limitée définie lors de sa création. Pour activer le droit Logs : accès complet (données personnelles), il doit obligatoirement cliquer sur le lien Logs : accès restreint puis saisir le code.

Une fois sa tâche terminée, il peut alors relâcher ce droit de visualisation des données personnelles.

Définissez ensuite l'utilisateur ou le groupe d'utilisateurs à ajouter en tant qu'administrateur.

Utilisateur - Groupe présent dans l'annuaire LDAP

Permet d'ajouter en tant qu'administrateur un utilisateur ou un groupe d'utilisateurs présent dans l'annuaire LDAP du firewall. Sélectionnez dans la liste déroulante l'utilisateur ou le groupe d'utilisateurs concerné.

Utilisateur - Groupe provenant d'un autre domaine (annuaire)

Permet d'ajouter en tant qu'administrateur un utilisateur ou un groupe d'utilisateurs provenant d'un autre domaine. Pour ce choix, complétez les informations :

  • Utilisateur / Groupe : définissez si vous souhaitez ajouter un Utilisateur ou un Groupe.

  • Utilisateur - Nom du groupe : tapez le nom de l'utilisateur ou du groupe concerné.

  • Nom de domaine : tapez le nom de domaine concerné.

Une fois ajouté, l'administrateur apparaît dans la grille dans la colonne Utilisateur – groupe d’utilisateurs.

Les droits possibles

L'affichage des droits dans la grille dispose de deux vues :

  • Vue simple : affichage par défaut comportant plusieurs colonnes représentant les catégories de droits auxquelles un administrateur est affilié ou non. Positionnez votre souris sur le titre d'une colonne pour connaître précisément les droits qu'elle contient.
  • Vue avancée : affiche tous les droits disponibles.

Utilisez le bouton Passer en vue avancée / Passer en vue simple pour modifier l'affichage.

Les icônes de la grille ont la signification suivante :

  •  : L’ensemble des droits sont attribués.
  •  : L’ensemble des droits ne sont pas accordés.
  •  : Une partie des droits sont accordés, d'autres non.

Un double clic sur les icônes représentées change l'état des permissions (de « accordé » à « non accordé » par exemple). Un double clic sur l'icône retire les droits attribués.

NOTE
Toute modification des permissions d’un administrateur n’est effective qu’à la prochaine connexion de cet administrateur. Si vous souhaitez qu’une modification soit immédiatement prise en compte, vous devez forcer la déconnexion de l’administrateur concerné (par exemple avec la commande CLI : monitor flush user).

Droits en vue simple

Intitulé Description Droit attribués
Système  Droits d’effectuer des opérations de maintenance (sauvegardes, restaurations, mises à jour, Firewall arrêt et redémarrage, mise à jour de l’antivirus, modification de la fréquence de mise à jour de l’antivirus et actions relatives au RAID).
Droits de modification de la base objet 
base, console, contentfilter, globalobject, maintenance, modify, object 
Réseau  Droit de modification de la politique de filtrage et du routage (route par défaut, routes statiques et réseaux de confiance) base, modify, network, route
Utilisateurs Droit de modification des utilisateurs et de la PKI base, modify, pki, user
Firewall Droit de modification de la configuration VPN, de la prévention d'intrusion (IPS) et du management de vulnérabilités modify, base, filter, vpn, asq, pvm, vpn, read, filter_read, globalfilter
Supervision  Droit de modification de la configuration et modification des traces modify, mon_write, base, log, log_read, report, report_read, privacy, privacy_read
Comptes temporaires Droit de gestion des comptes temporaires pour la politique d'authentification "Comptes temporaires" base, guest_admin

Droits en vue avancée

Intitulé Description Droit attribués
Traces (L)  Consultation des traces base, log_read
Filtrage (L)  Consultation de la politique de filtrage base, filter_read
VPN (L) Consultation de la configuration VPN base, vpn_read
Accès aux données personnelles (L) Droit de consulter les logs contenant des données personnelles base, privacy_read
Traces (E)  Droit de modification de la configuration des traces modify, base, log
Filtrage (E)  Droit de modification de la politique de filtrage modify, base, filter
VPN (E) Droit de modification de la configuration VPN modify, base, vpn
Gestion des accès aux données personnelles Droit de créer des tickets pour les demandes ponctuelles d'accès aux données personnelles dans les logs. base, privacy
PKI Droit de modification de la PKI base, modify, pki
Monitoring  Droit de consulter le monitoring avancé base, modify, mon_write
Filtrage de contenu  Droits pour les politiques de filtrage URL, Mail, SSL et la gestion des antivirus base, modify, contentfilter
Objets Droit de modification de la base objet  base, modify, object 
Utilisateurs Droit de modification des utilisateurs base, modify, user

Réseau

Droit de modification de la configuration réseau (interfaces, bridges, modems, VLANs et configuration du DNS dynamique) base, modify, network
Routage Droits de modification du routage (route par défaut, routes statiques and réseaux de confiance) base, modify, route
Maintenance Droits d’effectuer des opérations de maintenance (sauvegardes, restaurations, mises à jour, arrêt et redémarrage du firewall, mise à jour de l’antivirus, modification de la fréquence de mise à jour de l’antivirus, configuration de la haute disponibilité et actions relatives au RAID). base, modify, maintenance
Comptes temporaires Droit de gestion des comptes temporaires (module Utilisateurs > Comptes temporaires) base, guest_admin
Prévention d'intrusion Droits de modifier la configuration de la prévention d'intrusion (IPS) base, modify, asq
Management de vulnérabilités Droit de modifier la configuration de management de vulnérabilités (Stormshield Network Vulnerability Manager) base, modify, pvm 
Objets (global) Droits d’accès aux objets globaux base, modify, globalobject
Filtrage (global) Droits d’accès à la politique de filtrage globale base, modify, globalfilter
Rapports (E) Droits de modifier Stormshield Network Activity Report base, report_read
Rapports (L) Droits d’accès à Stormshield Network Activity Report base, report_read
Accès au TPM Lorsque le firewall est équipé d'un TPM (Trusted Platform Module), ce droit permet d'initialiser le TPM et de manipuler les données protégées par ce TPM (clés privées de certificats du firewall). base, modify, tpm
Console (SSH) Droit d'ouvrir une connexion distante en SSH sur le firewall. base, modify, console

Le droit base est systématiquement attribué à tous les utilisateurs. Ce droit permet la lecture de toute la configuration hormis le filtrage, le VPN, les traces et le filtrage de contenu.

Le droit modify est affecté à tout utilisateur ayant un droit d'écriture.

L’utilisateur connecté en tant que admin obtient le droit admin. Seul ce droit permet d'ajouter ou de retirer des droits d'administration aux autres utilisateurs.