文書の過去の版を表示しています。
Enterprise ACL システム
概要
The ACL model is based on Unix® style:
ACL モデルは Unix® スタイルに基づいています。
role/action/group/user
(4 items).
The Enterprise ACL system allows defining -according to profile- which pages (defined one by one or by “groups”) have access users. This will allow you to redefine which sections of the interface a user can see. For example, allowing a user to view only the Group view and the Detailed agent view, skipping pages such as Alert view or Monitor view, already grouped in the system classic Pandora FMS ACL as AR
(Agent Read Privileges).
Enterprise ACL システム では、プロファイルに従って、どのページ (1 つずつまたは「グループ」ごとに定義) にユーザがアクセスできるかを定義できます。これにより、ユーザが表示できるインターフェースのセクションを再定義できます。たとえば、グループ 表示と 詳細 エージェント表示のみをユーザが表示できるようにし、アラート表示 や モニター表示 などのページはスキップします。これらは、従来の Pandora FMS ACL システムで既に AR
(エージェント読み取り権限) としてグループ化されています。
superadmin are exempt from ACL control, other users are bound by ACL, even if they have the Pandora Administrator profile (Pandora FMS Administrator ) assigned.
スーパー管理者 は ACL 制御から除外されますが、他のユーザは、Pandora 管理者 プロファイル (Pandora FMS 管理者 ) が割り当てられている場合でも ACL によって制限されます。
This functionality allows you to restrict the administration by pages. It is very useful to allow some specific low-level operations.
この機能を使用すると、ページごとに管理を制限できます。特定の低レベルの操作を許可するのに非常に便利です。
Both models are parallel and compatible. The classic ACL system is complementary to, and is evaluated before, the ACL Enterprise system.
両方のモデルは並列で互換性があります。クラシック ACL システムは Enterprise ACL システムを補完し、Enterprise ACL システムより先に評価されます。
設定
In order to use the ACL Enterprise system, the first thing to do is to activate it in the configuration tab. Menu Management menu → Setup → Setup → Enterprise, enable Use Enterprise ACL System → click Update button.
Enterprise ACL システムを使用するには、まず設定タブで有効にする必要があります。メニューの 管理 → セットアップ → セットアップ → Enterprise で、Enterprise ACL システムの使用 を有効にし、更新 ボタンをクリックします。
To configure the Enterprise ACL Enterprise system: Management → Profiles → Enterprise ACL Setup. In this screen you can add new items in the ACL System and see the items defined by profile. You can also delete items from the ACL Enterprise system.
Enterprise ACL システムを設定するには、管理 → プロファイル → Enterprise ACL セットアップ に進みます。この画面では、ACL システムに新しい項目を追加し、プロファイルで定義された項目を確認できます。Enterprise ACL システムから項目を削除することもできます。
If the ACL Enterprise system is activated, ALL pages to ALL groups (Administrator included) are restricted to all pages defined (allowed) in the ACL Enterprise system. If a user with the Administrator profile does not have pages included in the ACL Enterprise system, they will not be able to see anything.
Please be careful with this because you may lose access to the console if you activate the wrong ACL Enterprise configuration for your user.
If by mistake you have lost access to the Console, you can disable the ACL Enterprise system from the PFMS command line with the disable_acl command.
Enterprise ACL システム が有効化されている場合、すべてのグループ (管理者を含む) のすべてのページは、Enterprise ACL システムで定義 (許可) されているすべてのページに制限されます。管理者 プロファイルを持つユーザに Enterprise ACL システムに含まれるページがない場合、そのユーザは何も表示できません。
ユーザに対して間違った Enterprise ACL 設定を有効にすると、コンソールにアクセスできなくなる可能性があるため、注意してください。
誤ってコンソールにアクセスできなくなった場合は、PFMS コマンドラインから、disable_acl コマンドを使用して Enterprise ACL システムを無効にすることができます。
操作
There are two ways to add pages to a profile: with the wizard (default) or with the custom edition. For this there is a button next to the Add button that toggles between Wizard and Custom.
プロファイルにページを追加するには、ウィザード (デフォルト) を使用する方法と カスタム編集 を使用する方法の 2 つがあります。この場合、追加(Add) ボタンの横に、ウィザード と カスタム を切り替えるボタンがあります。
ウィザード
With the wizard you will choose the sections and pages of some drop-down list controls.
ウィザードを使用して、いくつかのドロップダウンリストコントロールのセクションとページを選択します。
- The pages that appear in these dropdown lists are only those accessible from the menu. To give access to pages that are otherwise accessed (for example, the main agent view) you must use the custom editor.
- All menu options are displayed, regardless of whether the selected profile has access to them. Adding a menu option to which a profile does not have access will not cause that item to appear in the menu.
- Always the default profile in the drop down list under User profile is
Chief Operator
, this should always be changed before adding permission to another profile.
- これらのドロップダウンリストに表示されるページは、メニューからアクセスできるページのみです。他の方法でアクセスするページ (メインのエージェント表示など) へのアクセスを許可するには、カスタムエディタを使用する必要があります。
- 選択したプロファイルがアクセスできるかどうかに関係なく、すべてのメニューオプションが表示されます。プロファイルがアクセスできないメニューオプションを追加しても、その項目はメニューに表示されません。
- ユーザプロファイル の下のドロップダウンリストのデフォルトプロファイルは常に
Chief Operator
です。別のプロファイルに権限を追加する前に、必ずこれを変更してください。
To include a Pandora FMS page in the “allowed pages”, you must select the profile to which the rule will be applied, then select in the Section control the section that contains the desired page. At that time, you will be able to select in the Section 2 control any of your pages and it works the same way for Section 3.
Pandora FMS ページを “許可されたページ(allowed pages)” に含めるには、ルールを適用するプロファイルを選択し、セクション コントロールで目的のページを含むセクションを選択する必要があります。その時点で、セクション 2 コントロールで任意のページを選択できるようになり、セクション 3 でも同様に機能します。
Another option is to select a section and the value All in the Section control. This will allow the chosen profile to see “everything” of the chosen section. Also selecting All on both controls will allow users of that profile to see “all” of “all” sections, just as they would without the ACL Enterprise System for that profile.
もう 1 つのオプションは、セクションを選択し、セクション コントロールで値 すべて を選択することです。これにより、選択したプロファイルは選択したセクションの「すべて」を表示できます。また、両方のコントロールで すべて を選択すると、そのプロファイルのユーザは、そのプロファイルの Enterprise ACL システムがない場合と同じように、「すべての」セクションの「すべて」を表示できます。
Moving the pointer over any of the items will display the corresponding delete button.
いずれかの項目の上にポインタを移動すると、対応する削除ボタンが表示されます。
For a section to be displayed in the menu, the user must have access to at least the first page of the section.
セクションをメニューに表示するには、ユーザが少なくともそのセクションの最初のページにアクセスできる必要があります。
カスタム編集
To add single pages that are not accessible from the menu you can manually enter the corresponding sec2. To do this, the page to be added is accessed and the parameter is copied.other Section 2.
メニューからアクセスできない単一のページを追加するには、対応する sec2 を手動で入力します。これを行うには、追加するページにアクセスし、セクション 2(Section 2) へパラメータをコピーします。
For example, to add the main view of the agents, you enter the view of any agent and you will find a URL similar to this:
たとえば、エージェントのメイン表示を追加するには、任意のエージェントを表示する次のような URL が見つかります。
http://localhost/pandora/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702
Enter the content of the sec2 parameter (operation/agents/ver_agent
) in the Section 2 text box.
セクション 2(Section 2) テキストボックスに sec2 パラメータの内容 (operation/agents/ver_agent
) を入力します。
For a “drop” page the user will need the URL, otherwise permission must be granted to the corresponding menu. In the image of the previous example, the Operator (read) profile was added access to Monitoring (Section), Views (Section 2), Agent detail (Section 3).
「ドロップ」ページの場合、ユーザは URL が必要です。そうでない場合は、対応するメニューへの権限を付与する必要があります。前の例の画像では、Operator (read) プロファイルに、モニタリング (セクション)、表示 (セクション 2)、エージェントの詳細 (セクション 3) へのアクセスが追加されました。
セキュリティ
Any page that is limited will not be displayed in the menu and will not be allowed to be used, even when the user puts the URL in “manual” mode.
制限されたページは、ユーザが URL を「手動」で入力しても、メニューに表示されず、使用することもできません。
Any page not allowed by the “Classic” ACL system of Pandora FMS will not be allowed by the ACL Enterprise system (this is valid for the classic ACL system).
Pandora FMS の「クラシック」ACL システムで許可されていないページは、Enterprise ACL システムでも許可されません (クラシック ACL システムが有効です)。
In addition, there is a control that checks if a page belongs to a section, which reinforces the security against manual modifications of the URL. This check will skip pages added with the custom editor, as well as access to each page in an entire section that is allowed access, thus optimizing loading.
さらに、ページがセクションに属しているかどうかを確認するコントロールがあり、URL の手動変更に対するセキュリティが強化されます。このチェックにより、カスタムエディターで追加されたページや、アクセスが許可されているセクション全体の各ページへのアクセスがスキップされ、読み込みが最適化されます。
You can check at any time the pages allowed for each profile using Filter by profile and then clicking the Filter button:
プロファイルでフィルタ を使用し、フィルタ(Filter) ボタンをクリックすると、いつでも各プロファイルで許可されているページを確認できます。
In order for users to be able to change their own user data, they must be granted access to Profile | Configure user | All .
ユーザが自分のユーザデータを変更できるようにするには、プロファイル | ユーザ設定 | すべて へのアクセス権を付与する必要があります。