高度な ACL システム [wiki.pandorafms.jp]

この文書は読取専用です。文書のソースを閲覧することは可能ですが、変更はできません。もし変更したい場合は管理者に連絡してください。
====== 高度な ACL システム ======

{{indexmenu_n>23}}

[[:ja:documentation:pandorafms:start|Pandora FMS ドキュメント一覧に戻る]]

<wrap #ks1 />

===== 概要 =====

The ACL model is based on //Unix® style//:

ACL モデルは Unix® スタイルに基づいています。

''role/action/group/user'' (4 items).

The <wrap en:>**ACL Advanced**</wrap> system allows defining —based on profile— which pages (defined individually or by "groups") users have access to. This will allow redefining which interface sections a user can see.

**高度な ACL システム** では、プロファイルに従って、どのページ (1 つずつまたは「グループ」ごとに定義) にユーザがアクセスできるかを定義できます。これにより、ユーザが表示できるインターフェースのセクションを再定義できます。

<WRAP center round info 90%>

The [[:en:documentation:pandorafms:introduction:03_glossary#superadmin|superadmins]] are exempt from ACL control; other users are bound by ACL, even if they have the <wrap :en>**Pandora Administrator**</wrap> (**Pandora FMS Administrator**) profile assigned.

</WRAP>

<WRAP center round info 90%>

[[:ja:documentation:pandorafms:introduction:03_glossary#スーパー管理者|スーパー管理者]] は ACL 制御から除外されますが、他のユーザは、**Pandora 管理者** プロファイル (**Pandora FMS 管理者** ) が割り当てられている場合でも ACL によって制限されます。

</WRAP>

This functionality allows you to restrict the administration by pages. It is very useful to allow some specific low-level operations.

この機能を使用すると、ページごとに管理を制限できます。特定の低レベルの操作を許可するのに非常に便利です。

<WRAP center round tip 90%>

Both models are //parallel// and compatible. The classic ACL system is complementary **and is evaluated before the <wrap en:>ACL Advanced</wrap> system**.

</WRAP>

<WRAP center round tip 90%>

両方のモデルは//並列//で互換性があります。クラシック ACL システムは、高度な ACL システムを補完し、高度な ACL システムより先に評価されます。

</WRAP>

===== 設定 =====

In order to use the **<wrap en:>ACL Advanced</wrap> system**, //the first step is to activate it// in the configuration tab:

**高度な ACL** システムを使用するには、まず設定タブでそれを有効にする必要があります。

<WRAP group>
<WRAP half column><WRAP left round box 90%>Nodes: \\ menu <wrap :en>**Management → Settings → System Settings → General Setup → Features → Use Advanced ACL System**</wrap>, activate and then click the <wrap :en>**Update**</wrap> button.</WRAP></WRAP>
<WRAP half column><WRAP left round box 90%>Command Center: \\ menu <wrap :en>**Setup → Metasetup → Use Advanced ACL System**</wrap>, activate and then click the <wrap :en>**Update**</wrap> button.</WRAP></WRAP>
</WRAP>

<WRAP group>
<WRAP half column><WRAP left round box 90%>ノード: \\メニュー <wrap :ja>**管理(Management) → セットアップ(Settings) → システム設定(System Settings) → 一般設定(General Setup) → 機能(Features) → 高度な ACL システムの使用(Use Advanced ACL System)**</wrap> を有効にしてから、<wrap :ja>**更新(Update)**</wrap> ボタンをクリックします。</WRAP></WRAP>
<WRAP half column><WRAP left round box 90%>コマンドセンター: \\ メニュー <wrap :ja>**セットアップ(Setup) → メタセットアップ(Metasetup) → 高度な ACL システムの使用(Use Advanced ACL System)**</wrap> を有効にしてから、<wrap :ja>**更新(Update)**</wrap> ボタンをクリックします。</WRAP></WRAP>
</WRAP>

<WRAP center round info 90%>

In Command Center, and each of the nodes, the use and configuration of the <wrap en:>ACL Advanced</wrap> system is completely independent of each other.

</WRAP>

<WRAP center round info 90%>

コマンドセンターと各ノードでは、<wrap ja:>高度な ACL</wrap> システムの使用と設定は完全に独立しています。

</WRAP>

To //configure// the <wrap en:>ACL Advanced</wrap> system:

<wrap ja:>高度な ACL</wrap> システムを設定するには：

<WRAP group>
<WRAP half column><WRAP left round box 90%>Nodes: \\ Menu <wrap :en>**Management → Profiles → Advanced ACL Setup**</wrap>.</WRAP></WRAP>
<WRAP half column><WRAP left round box 90%>Command Center: \\ menu <wrap :en>**Centralised → Management → Advanced ACL Setup**</wrap>.</WRAP></WRAP>
</WRAP>

<WRAP group>
<WRAP half column><WRAP left round box 90%>ノード: \\ メニュー <wrap :ja>**管理(Management) → プロファイル(Profiles) → 高度な ACL 設定(Advanced ACL Setup)**</wrap>.</WRAP></WRAP>
<WRAP half column><WRAP left round box 90%>コマンドセンター: \\ メニュー <wrap :ja>**中央管理(Centralised) → 管理(Management) → 高度な ACL 設定(Advanced ACL Setup)**</wrap>.</WRAP></WRAP>
</WRAP>

In this screen, you can add new elements and see the items already defined by profile. You can also delete items from the <wrap en:>ACL Advanced</wrap> system.

この画面では、新しい要素を追加したり、プロファイルによって既に定義されている項目を確認したりできます。また、<wrap ja:>高度な ACL</wrap> システムから項目を削除することもできます。

<WRAP center round important 90%>

If the **<wrap en:>ACL Advanced</wrap> system** is activated, ALL pages are restricted to ALL groups (including Administrator) to all pages defined (allowed) in the <wrap en:>ACL Advanced</wrap> system. //If a user with the// **Administrator** //profile has no pages included in the <wrap en:>ACL Advanced</wrap> system, they will not be able to see anything either//.

**Special care must be taken with this because you may lose access to the console if you activate an inappropriate ACL Advanced configuration for your own user**.

If web Console access has been lost by mistake, you can deactivate the <wrap en:>ACL Advanced</wrap> system from the PFMS command line with the ''[[:en:documentation:pandorafms:technical_reference:03_anexo_cli#disable_eacl|disable_eacl]]'' instruction.

</WRAP>

<WRAP center round important 90%>

**<wrap ja:>高度な ACL</wrap> システム** が有効になっている場合、すべてのページは、<wrap ja:>高度な ACL</wrap> システムで定義（許可）されているすべてのページに対して、すべてのグループ（管理者を含む）に制限されます。**管理者**//プロファイルを持つユーザに、<wrap ja:>高度な ACL</wrap> システムに含まれるページがない場合、そのユーザも何も表示できません。//

**不適切な ACL の詳細設定を自分のユーザに対して有効にすると、コンソールへのアクセス権を失う可能性があるため、特に注意が必要です。**

誤ってWebコンソールへのアクセスが失われた場合は、PFMS コマンドラインから ''[[:ja:documentation:pandorafms:technical_reference:03_anexo_cli#disable_eacl|disable_eacl]]'' という命令を使用して、<wrap ja:>高度な ACL</wrap>システムを無効化できます。

</WRAP>

<wrap #ks2_1 />

==== 操作 ====

There are two modes to add pages to a profile: with the **[[#ks2_1_1|wizard]]** (by default) or with **[[#ks2_1_1|custom edition]]**. To do this, there is a button next to the <wrap :en>**Add**</wrap> button that toggles between <wrap :en>**Wizard**</wrap> and <wrap :en>**Custom**</wrap>.

プロファイルにページを追加するには、**[[#ks2_1_1|ウィザード]]** (デフォルト) を使用する方法と **[[#ks2_1_1|カスタム編集]]** を使用する方法の 2 つがあります。この場合、**追加(Add)** ボタンの横に、**ウィザード** と **カスタム** を切り替えるボタンがあります。

<wrap #ks2_1_1 />

=== ウィザード ===

With the wizard, sections and pages will be chosen from dropdown list controls.

ウィザードを使用して、いくつかのドロップダウンリストコントロールのセクションとページを選択します。

<WRAP center round info 90%>

  * The pages that appear in these dropdown lists are only those accessible from the menu. To give access to pages accessed in another way (for example, the main agent view), the custom editor must be used.
  * All menu options are shown, //regardless of whether the selected profile has access to them//. Adding a menu option to which a profile does not have access will not make that item appear in the menu.
  * Always the default profile in the dropdown list under <wrap :en>**User profile**</wrap> is ''Chief Operator'' //and it must be changed before adding permission to another profile//.

</WRAP>

<WRAP center round info 90%>

  * これらのドロップダウンリストに表示されるページは、メニューからアクセスできるページのみです。他の方法でアクセスするページ (メインのエージェント表示など) へのアクセスを許可するには、カスタムエディタを使用する必要があります。
  * 選択したプロファイルがアクセスできるかどうかに関係なく、すべてのメニューオプションが表示されます。プロファイルがアクセスできないメニューオプションを追加しても、その項目はメニューに表示されません。
  * **ユーザプロファイル** の下のドロップダウンリストのデフォルトプロファイルは常に ''Chief Operator'' です。別のプロファイルに権限を追加する前に、必ずこれを変更してください。

</WRAP>

To include a Pandora FMS page in the "allowed pages", the profile to which the rule will apply must be selected, then select in the <wrap :en>**Section**</wrap> control the section containing the desired page. At that time, you can select any of its pages in the <wrap :en>**Section 2**</wrap> control, and it works the same way for <wrap :en>**Section 3**</wrap>.

Pandora FMS ページを "許可されたページ(allowed pages)" に含めるには、ルールを適用するプロファイルを選択し、**セクション** コントロールで目的のページを含むセクションを選択する必要があります。その時点で、**セクション 2** コントロールで任意のページを選択できるようになり、**セクション 3** でも同様に機能します。

{{  :wiki:acl_setup4-2.png  }}

Another option is to select a section and the <wrap :en>**All**</wrap> value in the <wrap :en>**Section**</wrap> control. This will allow the chosen profile to see "everything" in the chosen section. Similarly, selecting <wrap :en>**All**</wrap> in both controls will allow users of that profile to see "everything" in "all" sections, //just as it would be without the <wrap en:>ACL Advanced</wrap> system for that profile//.

もう 1 つのオプションは、セクションを選択し、**セクション** コントロールで値 **すべて** を選択することです。これにより、選択したプロファイルは選択したセクションの「すべて」を表示できます。また、両方のコントロールで **すべて** を選択すると、そのプロファイルのユーザは、そのプロファイルの高度な ACL システムがない場合と同じように、「すべての」セクションの「すべて」を表示できます。

When moving the pointer over any of the items, the corresponding delete button will be displayed.

いずれかの項目の上にポインタを移動すると、対応する削除ボタンが表示されます。

<WRAP center round important 90%>

For a section to be displayed in the menu, the user must have access to at least the first page of the section.

</WRAP>

<WRAP center round important 60%>

セクションをメニューに表示するには、ユーザが少なくともそのセクションの最初のページにアクセスできる必要があります。

</WRAP>

<wrap #ks2_1_2 />

=== カスタム編集 ===

To add individual pages that are not accessible from the menu, you can manually enter the corresponding <wrap :en>**sec2**</wrap>. To do this, access the page to be added and copy the <wrap :en>**Section\_2**</wrap> parameter.

メニューからアクセスできない単一のページを追加するには、対応する **sec2** を手動で入力します。これを行うには、追加するページにアクセスし、**セクション 2(Section 2)** へパラメータをコピーします。

For example, to add the main view of agents, go into the view of any agent and you will find a URL similar to this:

たとえば、エージェントのメイン表示を追加するには、任意のエージェントを表示する次のような URL が見つかります。

<code>
…/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702
</code>

Enter the content of the <wrap :en>**sec2**</wrap> parameter (''operation/agentes/ver_agente'') in the <wrap :en>**Section\_2**</wrap> text box.

**セクション 2(Section 2)** テキストボックスに **sec2** パラメータの内容 (''operation/agents/ver_agent'') を入力します。

{{  :wiki:acl_setup5-2.png  }}

<WRAP center round tip 90%>

For an "individual" page, the user will need the URL; otherwise, permission must be granted to the corresponding menu. In the previous example image, the <wrap :en>**Operator (read)**</wrap> profile was granted access to <wrap :en>**Monitoring** (**Section**), **Views** (**Section\_2**), **Agent detail** (**Section\_3**)</wrap>.

</WRAP>

<WRAP center round tip 90%>

「個別」ページの場合、ユーザは URL が必要になります。そうでない場合は、対応するメニューへのアクセス許可を与える必要があります。前の例の画像では、<wrap :ja>**Operator（read）**</wrap>プロファイルに<wrap :ja>**モニタリング(Monitoring)**（**Section**）、**表示(Views)**（**Section\_2**）、**エージェントの詳細(Agent detail)**（**Section\_3**）</wrap>へのアクセス権が付与されています。

</WRAP>

<wrap #ks3 />

===== セキュリティ =====

Any page that is limited will not be shown in the menu and its use will not be allowed, even if the user enters the URL "manually".

制限されたページは、ユーザが URL を「手動」で入力しても、メニューに表示されず、使用することもできません。

Any page not allowed by the "Classic" Pandora FMS ACL system will not be allowed by the ACL Advanced system (this is valid for the classic ACL systems).

Pandora FMS の「クラシック」ACL システムで許可されていないページは、高度な ACL システムでも許可されません (クラシック ACL システムが有効です)。

Additionally, there is a control that checks if a page belongs to a section, which reinforces security against manual URL modifications. This check will skip pages added with the custom editor, as well as access to each page of a full section to which access is allowed, thus optimizing the load.

さらに、ページがセクションに属しているかどうかを確認するコントロールがあり、URL の手動変更に対するセキュリティが強化されます。このチェックにより、カスタムエディターで追加されたページや、アクセスが許可されているセクション全体の各ページへのアクセスがスキップされ、読み込みが最適化されます。

Allowed pages for each profile can be consulted at any time using <wrap :en>**Filter by profile**</wrap> and then pressing the <wrap :en>**Filter**</wrap> button:

**プロファイルでフィルタ** を使用し、**フィルタ(Filter)** ボタンをクリックすると、いつでも各プロファイルで許可されているページを確認できます。

{{  :wiki:acl_example-2.png  }}

<WRAP center round tip 90%>

  * In order for users to access and change their own user data, they must be granted access to <wrap :en>**Workspace | Edit my user | All**</wrap>.
  * So they can generate their own //tokens//: <wrap :en>**Workspace | Edit my Tokens | All**</wrap>.
  * So they can read their notifications: <wrap :en>**Workspace | Messages | All**</wrap>. If, in addition, they need to reply to a message from another user, it must be added in "Custom edition", in the <wrap en:>**sec2**</wrap> parameter: <wrap :en>**operation/messages/message_edit**</wrap>.

</WRAP>

<WRAP center round tip 90%>

  * ユーザが自身のユーザデータにアクセスして変更するには、<wrap :ja>**ワークスペース | ユーザ設定 | すべて**</wrap>へのアクセス権が付与されている必要があります。
  * ユーザが自身のトークンを生成できるようにするには、<wrap :ja>**ワークスペース | トークン編集 | すべて**</wrap>にアクセスしてください。
  * ユーザが通知を閲覧できるようにするには、<wrap :ja>**ワークスペース | メッセージ | すべて**</wrap>にアクセスしてください。さらに、他のユーザからのメッセージに返信する必要がある場合は、「カスタム編集」の <wrap ja:>**sec2**</wrap> パラメータ <wrap :ja>**operation/messages/message_edit**</wrap> に追加する必要があります。

</WRAP>


[[:ja:documentation:pandorafms:start|Pandora FMS ドキュメント一覧に戻る]]