Onglet Administrateurs

L’écran de cet onglet est divisé en trois parties :

  • Une barre des tâches (en haut) : celle-ci affiche les différentes actions possibles sur un administrateur (Ajouter un administrateur, Supprimer, Copier les droits etc.).
  • La liste des utilisateurs et groupes d’utilisateurs répertoriés en tant qu’admin (à gauche).
  • La grille des droits des administrateurs (à droite).

Par souci de conformité avec le règlement européen RGPD (Règlement Général sur la Protection des Données), il est possible de définir un administrateur avec les droits en lecture et écriture sur le firewall mais ne pouvant pas visualiser les données personnelles stockées dans les logs.

L'administrateur concerné peut néanmoins demander et obtenir les droits d'accès à ces données personnelles en renseignant un code d'autorisation fourni par son superviseur. Ce code possède une durée de validité limitée définie lors de sa création.

Une fois sa tâche terminée, il peut alors relâcher ce droit de visualisation des données personnelles.

Les interactions

Certaines opérations, détaillées dans la section Les manipulations possibles, peuvent être réalisées en effectuant un clic droit sur la grille des administrateurs :

  • Ajouter un administrateur,
  • Supprimer (un administrateur),
  • Copier les droits,
  • Coller les droits,
  • Donner tous les droits.

Les manipulations possibles

Vous allez pouvoir constituer votre grille d’administrateurs issus de votre base LDAP ainsi que leurs droits respectifs.

Ajouter un administrateur

Administrateur sans droit

Ce type d’administrateur dispose des droits de base à savoir l’’accès au Dashboard et aux modules suivants :

  • Licence,
  • Maintenance,
  • Active Update,
  • Haute disponibilité (et son assistant),
  • Console CLI,
  • Réseau,
  • Routage,
  • DNS dynamique,
  • DHCP,
  • Proxy cache DNS,
  • Objets,
  • Catégories d’URL (et leurs groupes),
  • Certificats et PKI,
  • Authentification (et son assistant),
  • Filtrage URL,
  • Filtrage SSL,
  • Filtrage SMTP,
  • Applications et protections,
  • Profils d’inspection,
  • Antivirus,
  • Antispam,
  • Messages de blocage,
  • Préférences.

Le module Management des Vulnérabilités nécessite le droit d’écriture pour être accessible.

Administrateur avec accès en lecture seule Ce type d’administrateur dispose des mêmes accès de base que l’admin « sans droits » avec en plus des droits supplémentaires : la lecture des logs SNMP, Alertes e-mails, Evénements système, ainsi que la lecture du Filtrage et du VPN.
Administrateur avec tous les droits

Ce type d’administrateur aura accès à tous les modules exceptés les onglets Administrateurs et Compte Admin du module Administrateurs.

REMARQUE
Il n’existe qu’un seul « super-administrateur » qui présente les caractéristiques suivantes :

  • Il est le seul à être habilité à se connecter via la console locale sur les Firewalls Stormshield Network, et ce uniquement lors de l’installation du firewall ou pour des opérations de maintenance, en dehors de l’exploitation.
  • Il est chargé de la définition des profils des autres administrateurs.
  • Tous les accès dans les locaux où sont stockés les boîtiers firewalls, ainsi que les interventions effectuées se font sous sa surveillance.

Administrateur de comptes temporaires Ce type d'administrateur peut uniquement gérer les comptes temporaires définis sur le firewall (création, modification, suppression).
Administrateur avec accès aux données personnelles Ce type d'administrateur peut accéder à l'ensemble des logs en cliquant sur le lien Logs : accès restreint afin d'activer le droit Logs : accès complet (données personnelles) sans devoir saisir un code d'accès aux données privées.
Administrateur sans accès aux données personnelles Ce type d'administrateur peut accéder à l'ensemble des logs ne contenant pas de données personnelles. Pour activer le droit Logs : accès complet (données personnelles), il doit obligatoirement cliquer sur le lien Logs : accès restreint puis saisir un code d'accès aux données privées qui lui aura été fourni.

Une fois votre administrateur importé, il apparaît dans la liste « Utilisateur – groupe d’utilisateur » à gauche de l’écran.
Vous pouvez effectuer diverses actions sur celui-ci :

Supprimer Sélectionnez l’administrateur à retirer de la liste et cliquez sur Supprimer.
Monter Placer l’administrateur au-dessus du précédent dans la liste.
Descendre Placer l’administrateur au-dessous du suivant dans la liste.
Copier les droits Sélectionnez l’administrateur dont vous souhaitez copier les droits et cliquez sur ce bouton.
Coller les droits Sélectionnez l’administrateur auquel vous souhaitez attribuer les mêmes droits que celui que vous venez de copiez et cliquez sur ce bouton.
Donner tous les droits Quels que soient les droits attribués à l’administrateur sélectionné, en cliquant sur ce bouton,

La grille des droits

Votre interface est en « vue simple » par défaut. La grille affiche 5 colonnes représentant les 5 catégories de droits auquel un administrateur est affilié ou non : Système, Réseau, Utilisateurs, Firewall et Supervision.

Les icônes de la grille ont la signification suivante :

  •  : L’ensemble des droits sont attribués.
  •  : L’ensemble des droits ne sont pas accordés.
  •  : Une partie des droits sont accordés, d'autres non.

En passant en « vue avancée » à l’aide de l’icône ou (en fonction de la longueur de votre écran), la grille affichera le détail des droits par catégorie. Pour connaître précisément les droits correspondant à chaque colonne, une bulle informative est disponible sur l’en-tête de chacune d’entre elles.

Exemple
Positionnez-vous en haut de la colonne Système pour voir apparaître les accès qu’elles incluent, à savoir les droits de « Maintenance, Objets ».

NOTE
Un double clic sur les icônes représentées change l'état des permissions (de « accordé » à « non accordé » par exemple).
Un double clic sur cette icône accordera les droits, et celle-ci la remplacera à l’affichage.

NOTE
Toute modification des permissions d’un administrateur n’est effective qu’à la prochaine connexion de cet administrateur. Si vous souhaitez qu’une modification soit immédiatement prise en compte, vous devez forcer la déconnexion de l’administrateur concerné (par exemple avec la commande CLI : monitor flush user).

 

La liste des droits attribuables par la vue simple est la suivante :

Droits en vue simple

IntituléDescriptionDroit attribués
Système Droits d’effectuer des opérations de maintenance (sauvegardes, restaurations, mises à jour, Firewall arrêt et redémarrage, mise à jour de l’antivirus, modification de la fréquence de mise à jour de l’antivirus et actions relatives au RAID dans Stormshield Network Real-Time Monitor).
Droits de modification de la base objet 
modify, base, maintenance, object 
Réseau Droit de modification de la politique de filtrage et du routage (route par défaut, routes statiques et réseaux de confiance)modify, base, filter, route
UtilisateursDroit de modification des utilisateurs et de la PKImodify, base, user, pki
FirewallDroit de modification de la configuration VPN, de la prévention d'intrusion (IPS) et du management de vulnérabilitésmodify, base, vpn, asq, pvm
Supervision Droit de modification de la configuration à partir de Stormshield Network Real-Time Monitor et modification des tracesmodify, base, log, maintenance
Comptes temporairesDroit de gestion des comptes temporaires pour la politique d'authentification "Comptes temporaires"modify, base, voucher

Droits en vue avancée

Intitulé Description

 

Droit attribués
Traces (L) Consultation des traces

 

base, log_read
Filtrage (L) Consultation de la politique de filtrage

 

base, filter_read
VPN (L)Consultation de la configuration VPN

 

base, vpn_read
Accès aux données personnelles (L)Droit de consulter les logs contenant des données personnelles base, log_read, report_read, privacy_read
Traces (E) Droit de modification de la configuration des traces

 

modify, base, log
Filtrage (E) Droit de modification de la politique de filtrage

 

modify, base, filter
VPN (E)Droit de modification de la configuration VPN

 

modify, base, vpn
Gestion des accès aux données personnellesDroit de créer des tickets pour les demandes ponctuelles d'accès aux données personnelles dans les logs. base, log_read, modify, privacy, privacy_read, report_read
PKIDroit de modification de la PKI

 

modify, base, pki
Monitoring Droit de modification de la configuration à partir de Stormshield Network Real-Time Monitor

 

modify, base, mon_write
Filtrage de contenu Droits pour les politiques de filtrage URL, Mail, SSL et la gestion des antivirus

 

modify, base, contentfilter
ObjetsDroit de modification de la base objet 

 

modify, base, object 
UtilisateursDroit de modification des utilisateurs

 

modify, base, user

Réseau

Droit de modification de la configuration réseau (interfaces, bridges, modems, VLANs et configuration du DNS dynamique)

 

modify, base, network
RoutageDroits de modification du routage (route par défaut, routes statiques and réseaux de confiance)

 

modify, base, route
MaintenanceDroits d’effectuer des opérations de maintenance (sauvegardes, restaurations, mises à jour, arrêt et redémarrage du firewall, mise à jour de l’antivirus, modification de la fréquence de mise à jour de l’antivirus, configuration de la haute disponibilité et actions relatives au RAID dans Stormshield Network Real-Time Monitor).

 

modify, base, maintenance
Comptes temporairesDroit de gestion des comptes temporaires (module Utilisateurs > Comptes temporaires) modify, base, voucher
Prévention d'intrusionDroits de modifier la configuration de la prévention d'intrusion (IPS)

 

modify, base, asq
Management de vulnérabilitésDroit de modifier la configuration de management de vulnérabilités (Stormshield Network Vulnerability Manager)

 

modify, base, pvm 
Objets (global)Droits d’accès aux objets globaux

 

modify, base, globalobject
Filtrage (global)Droits d’accès à la politique de filtrage globale

 

modify, base, globalfilter
Rapports (E)Droits de modifier Stormshield Network Activity Report

 

base, report_read
Rapports (L)Droits d’accès à Stormshield Network Activity Report

 

modify, base, report, report_read
Accès au TPMLorsque le firewall est équipé d'un TPM (Trusted Platform Module), ce droit permet d'initialiser le TPM et de manipuler les données protégées par ce TPM (certificats, clés...). modify, base, tpm

Le droit base est systématiquement attribué à tous les utilisateurs. Ce droit permet la lecture de toute la configuration hormis le filtrage, le VPN, les traces et le filtrage de contenu.

Le droit modify est affecté à tout utilisateur ayant un droit d'écriture.

L’utilisateur connecté en tant que admin obtient le droit admin. Seul ce droit permet d'ajouter ou de retirer des droits d'administration aux autres utilisateurs.