高度な ACL システム
概要
The ACL model is based on Unix® style:
ACL モデルは Unix® スタイルに基づいています。
role/action/group/user (4 items).
The ACL Advanced system allows defining —based on profile— which pages (defined individually or by “groups”) users have access to. This will allow redefining which interface sections a user can see.
高度な ACL システム では、プロファイルに従って、どのページ (1 つずつまたは「グループ」ごとに定義) にユーザがアクセスできるかを定義できます。これにより、ユーザが表示できるインターフェースのセクションを再定義できます。
The superadmins are exempt from ACL control; other users are bound by ACL, even if they have the Pandora Administrator (Pandora FMS Administrator) profile assigned.
スーパー管理者 は ACL 制御から除外されますが、他のユーザは、Pandora 管理者 プロファイル (Pandora FMS 管理者 ) が割り当てられている場合でも ACL によって制限されます。
This functionality allows you to restrict the administration by pages. It is very useful to allow some specific low-level operations.
この機能を使用すると、ページごとに管理を制限できます。特定の低レベルの操作を許可するのに非常に便利です。
Both models are parallel and compatible. The classic ACL system is complementary and is evaluated before the ACL Advanced system.
両方のモデルは並列で互換性があります。クラシック ACL システムは、高度な ACL システムを補完し、高度な ACL システムより先に評価されます。
設定
In order to use the ACL Advanced system, the first step is to activate it in the configuration tab:
高度な ACL システムを使用するには、まず設定タブでそれを有効にする必要があります。
Nodes:
menu Management → Settings → System Settings → General Setup → Features → Use Advanced ACL System, activate and then click the Update button.
Command Center:
menu Setup → Metasetup → Use Advanced ACL System, activate and then click the Update button.
ノード: \\メニュー 管理(Management) → セットアップ(Settings) → システム設定(System Settings) → 一般設定(General Setup) → 機能(Features) → 高度な ACL システムの使用(Use Advanced ACL System) を有効にしてから、更新(Update) ボタンをクリックします。
コマンドセンター:
メニュー セットアップ(Setup) → メタセットアップ(Metasetup) → 高度な ACL システムの使用(Use Advanced ACL System) を有効にしてから、更新(Update) ボタンをクリックします。
In Command Center, and each of the nodes, the use and configuration of the ACL Advanced system is completely independent of each other.
コマンドセンターと各ノードでは、高度な ACL システムの使用と設定は完全に独立しています。
To configure the ACL Advanced system:
高度な ACL システムを設定するには:
Nodes:
Menu Management → Profiles → Advanced ACL Setup.
Command Center:
menu Centralised → Management → Advanced ACL Setup.
ノード:
メニュー 管理(Management) → プロファイル(Profiles) → 高度な ACL 設定(Advanced ACL Setup).
コマンドセンター:
メニュー 中央管理(Centralised) → 管理(Management) → 高度な ACL 設定(Advanced ACL Setup).
In this screen, you can add new elements and see the items already defined by profile. You can also delete items from the ACL Advanced system.
この画面では、新しい要素を追加したり、プロファイルによって既に定義されている項目を確認したりできます。また、高度な ACL システムから項目を削除することもできます。
If the ACL Advanced system is activated, ALL pages are restricted to ALL groups (including Administrator) to all pages defined (allowed) in the ACL Advanced system. If a user with the Administrator profile has no pages included in the ACL Advanced system, they will not be able to see anything either.
Special care must be taken with this because you may lose access to the console if you activate an inappropriate ACL Advanced configuration for your own user.
If web Console access has been lost by mistake, you can deactivate the ACL Advanced system from the PFMS command line with the disable_eacl instruction.
高度な ACL システム が有効になっている場合、すべてのページは、高度な ACL システムで定義(許可)されているすべてのページに対して、すべてのグループ(管理者を含む)に制限されます。管理者プロファイルを持つユーザに、高度な ACL システムに含まれるページがない場合、そのユーザも何も表示できません。
不適切な ACL の詳細設定を自分のユーザに対して有効にすると、コンソールへのアクセス権を失う可能性があるため、特に注意が必要です。
誤ってWebコンソールへのアクセスが失われた場合は、PFMS コマンドラインから disable_eacl という命令を使用して、高度な ACLシステムを無効化できます。
操作
There are two modes to add pages to a profile: with the wizard (by default) or with custom edition. To do this, there is a button next to the Add button that toggles between Wizard and Custom.
プロファイルにページを追加するには、ウィザード (デフォルト) を使用する方法と カスタム編集 を使用する方法の 2 つがあります。この場合、追加(Add) ボタンの横に、ウィザード と カスタム を切り替えるボタンがあります。
ウィザード
With the wizard, sections and pages will be chosen from dropdown list controls.
ウィザードを使用して、いくつかのドロップダウンリストコントロールのセクションとページを選択します。
- The pages that appear in these dropdown lists are only those accessible from the menu. To give access to pages accessed in another way (for example, the main agent view), the custom editor must be used.
- All menu options are shown, regardless of whether the selected profile has access to them. Adding a menu option to which a profile does not have access will not make that item appear in the menu.
- Always the default profile in the dropdown list under User profile is
Chief Operatorand it must be changed before adding permission to another profile.
- これらのドロップダウンリストに表示されるページは、メニューからアクセスできるページのみです。他の方法でアクセスするページ (メインのエージェント表示など) へのアクセスを許可するには、カスタムエディタを使用する必要があります。
- 選択したプロファイルがアクセスできるかどうかに関係なく、すべてのメニューオプションが表示されます。プロファイルがアクセスできないメニューオプションを追加しても、その項目はメニューに表示されません。
- ユーザプロファイル の下のドロップダウンリストのデフォルトプロファイルは常に
Chief Operatorです。別のプロファイルに権限を追加する前に、必ずこれを変更してください。
To include a Pandora FMS page in the “allowed pages”, the profile to which the rule will apply must be selected, then select in the Section control the section containing the desired page. At that time, you can select any of its pages in the Section 2 control, and it works the same way for Section 3.
Pandora FMS ページを “許可されたページ(allowed pages)” に含めるには、ルールを適用するプロファイルを選択し、セクション コントロールで目的のページを含むセクションを選択する必要があります。その時点で、セクション 2 コントロールで任意のページを選択できるようになり、セクション 3 でも同様に機能します。
Another option is to select a section and the All value in the Section control. This will allow the chosen profile to see “everything” in the chosen section. Similarly, selecting All in both controls will allow users of that profile to see “everything” in “all” sections, just as it would be without the ACL Advanced system for that profile.
もう 1 つのオプションは、セクションを選択し、セクション コントロールで値 すべて を選択することです。これにより、選択したプロファイルは選択したセクションの「すべて」を表示できます。また、両方のコントロールで すべて を選択すると、そのプロファイルのユーザは、そのプロファイルの高度な ACL システムがない場合と同じように、「すべての」セクションの「すべて」を表示できます。
When moving the pointer over any of the items, the corresponding delete button will be displayed.
いずれかの項目の上にポインタを移動すると、対応する削除ボタンが表示されます。
For a section to be displayed in the menu, the user must have access to at least the first page of the section.
セクションをメニューに表示するには、ユーザが少なくともそのセクションの最初のページにアクセスできる必要があります。
カスタム編集
To add individual pages that are not accessible from the menu, you can manually enter the corresponding sec2. To do this, access the page to be added and copy the Section\_2 parameter.
メニューからアクセスできない単一のページを追加するには、対応する sec2 を手動で入力します。これを行うには、追加するページにアクセスし、セクション 2(Section 2) へパラメータをコピーします。
For example, to add the main view of agents, go into the view of any agent and you will find a URL similar to this:
たとえば、エージェントのメイン表示を追加するには、任意のエージェントを表示する次のような URL が見つかります。
…/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702
Enter the content of the sec2 parameter (operation/agentes/ver_agente) in the Section\_2 text box.
セクション 2(Section 2) テキストボックスに sec2 パラメータの内容 (operation/agents/ver_agent) を入力します。
For an “individual” page, the user will need the URL; otherwise, permission must be granted to the corresponding menu. In the previous example image, the Operator (read) profile was granted access to Monitoring (Section), Views (Section\_2), Agent detail (Section\_3).
「個別」ページの場合、ユーザは URL が必要になります。そうでない場合は、対応するメニューへのアクセス許可を与える必要があります。前の例の画像では、Operator(read)プロファイルにモニタリング(Monitoring)(Section)、表示(Views)(Section\_2)、エージェントの詳細(Agent detail)(Section\_3)へのアクセス権が付与されています。
セキュリティ
Any page that is limited will not be shown in the menu and its use will not be allowed, even if the user enters the URL “manually”.
制限されたページは、ユーザが URL を「手動」で入力しても、メニューに表示されず、使用することもできません。
Any page not allowed by the “Classic” Pandora FMS ACL system will not be allowed by the ACL Advanced system (this is valid for the classic ACL systems).
Pandora FMS の「クラシック」ACL システムで許可されていないページは、高度な ACL システムでも許可されません (クラシック ACL システムが有効です)。
Additionally, there is a control that checks if a page belongs to a section, which reinforces security against manual URL modifications. This check will skip pages added with the custom editor, as well as access to each page of a full section to which access is allowed, thus optimizing the load.
さらに、ページがセクションに属しているかどうかを確認するコントロールがあり、URL の手動変更に対するセキュリティが強化されます。このチェックにより、カスタムエディターで追加されたページや、アクセスが許可されているセクション全体の各ページへのアクセスがスキップされ、読み込みが最適化されます。
Allowed pages for each profile can be consulted at any time using Filter by profile and then pressing the Filter button:
プロファイルでフィルタ を使用し、フィルタ(Filter) ボタンをクリックすると、いつでも各プロファイルで許可されているページを確認できます。
- In order for users to access and change their own user data, they must be granted access to Workspace | Edit my user | All.
- So they can generate their own tokens: Workspace | Edit my Tokens | All.
- So they can read their notifications: Workspace | Messages | All. If, in addition, they need to reply to a message from another user, it must be added in “Custom edition”, in the sec2 parameter: operation/messages/message_edit.
- ユーザが自身のユーザデータにアクセスして変更するには、ワークスペース | ユーザ設定 | すべてへのアクセス権が付与されている必要があります。
- ユーザが自身のトークンを生成できるようにするには、ワークスペース | トークン編集 | すべてにアクセスしてください。
- ユーザが通知を閲覧できるようにするには、ワークスペース | メッセージ | すべてにアクセスしてください。さらに、他のユーザからのメッセージに返信する必要がある場合は、「カスタム編集」の sec2 パラメータ operation/messages/message_edit に追加する必要があります。