Bonnes Pratiques : bien comprendre (enfin?) les ACLs

This post is also available in: Anglais

Lorsqu’une solution de supervision est mise en place, elle sert à de nombreux utilisateurs dont les besoins diffèrent souvent. Les ACLs ou « Access Control Lists » (en français : LCA pour « listes de contrôle d’accès ») permettent de définir « qui voit quoi ? » et « qui agit sur quoi ? ». Elles sont parfois complexes à appréhender.
Voici donc une méthodologie utile pour bien les comprendre et les manipuler.

Dans Centreon, il faut commencer par définir les ACLs soit le « Qui ? ». Définir des « profils utilisateurs » est une phase importante puisqu’elle permet de se demander « que souhaite ce type d’utilisateur ? ».
Tout d’abord, il faut savoir qu’un utilisateur de type administrateur n’est soumis à aucune ACL. C’est-à-dire qu’il a accès à tout et qu’il peut réaliser toutes les actions possibles. C’est l’équivalent de « root » sur un serveur Linux.
Un utilisateur non administrateur n’a, par défaut, accès à rien. Il est nécessaire de le placer dans un groupe d’accès et de définir ses droits.
Attention, il est important de penser en terme de « profil utilisateur » donc pensez à bien regrouper tous les utilisateurs selon leurs besoins.

  1. administrateurs Windows : regroupe tous les administrateurs Windows
  2. administrateurs Linux : regroupe tous les administrateurs Linux
  3. administrateurs XXX : regroupe tous les administrateurs XXX
  4. Pilotes : regroupe tous les utilisateurs de l’équipe de pilotage
  5. Responsable Application X : regroupe tous les responsables de l’application X

De la même manière que les groupes de contacts, il est important de réfléchir à la configuration des groupes d’accès en se basant sur l’organisation interne des équipes et du Système d’informations.
Pour configurer des groupes d’accès, il suffit de se rendre dans le menu « Administration → ACL → Access groups » puis de cliquer sur le lien « Add » :

 

Définition d’un groupe d’accès

Dans le formulaire, il suffit de déclarer dans l’onglet « General Information » :

  • le nom du groupe d’accès ;
  • une description ;
  • les groupes de contact liés contenus dans ce groupe d’accès.

Les autres onglets permettent de configurer les ressources associées à ce groupe d’accès et ces sujets sont aussi abordés dans les autres menus et détaillés dans les paragraphes ci dessous.

Accès aux menus

Les accès aux menus permettent de définir « qui a accès à quelles fonctionnalités ? ».
Par exemple, un groupe d’accès pourra avoir le droit d’accéder au menu de supervision mais pas au menu de configuration. Un autre groupe d’accès pourra par contre, lui, avoir accès au menu de reporting mais pas au menu de supervision.
Pour les accès aux menus, ne vous basez surtout pas sur des groupes d’accès unitaires. C’est-à-dire ne vous référez pas au premier groupe d’accès en vous demandant « quels sont les accès nécessaires pour ce groupe ? ».

Il est préférable de se positionner en fonction des types de profils d’utilisation de l’interface. Vous éviterez de multiplier les configurations. Par exemple, vous définirez les mêmes accès aux menus pour les groupes d’accès « administrateurs Windows » et « Administrateurs Linux ». En partant des « profils d’utilisation de Centreon », la configuration des accès aux menus s’en trouvera simplifier. Voici des exemples de profils d’utilisation de l’interface Centreon :

  • « monitoring » : accès à l’interface de supervision et aux différents sous-menus
  • « reporting » : accès à l’interface de reporting
  • « metrologie » : accès aux graphiques de supervision. Parfois, cet accès est fusionné avec « monitoring »
  • « default » : accès aux menus par défaut (page « home », page « about », page « changement de mot de passe »)

Une fois ces profils d’utilisation définis, il suffit de choisir quels sont les groupes d’accès reliés accédant à ces profils d’utilisation.
Par exemple, les profils utilisateurs « administrateurs Windows » accéderont aux profils d’utilisation « monitoring » et « metrologie ». Le profil utilisateur « Responsable Application XXX » accédera aux profils d’utilisation « monitoring » et « reporting ».

Plus la configuration est fine et précise, plus il est simple de la maintenir. Par conséquent, soignez-la ! Les profils d’utilisation définis ci-dessus fonctionnent dans 80% des cas mais ils méritent systématiquement d’être affinés afin de correspondre à l’organisation de l’équipe et du Système d’information.
La configuration de ses profils d’utilisation est réalisée dans le menu « Administration → ACL → Menus Access ».
La configuration se fait en deux étapes :

  1. choix des groupes d’accès aux pages
  2. choix des pages autorisées : en cliquant sur la case à cocher, le profil utilisateur accède à la page (et les sous pages) et en cliquant sur le + on accède à la liste des sous pages

Configuration des accès aux menus

Accès aux ressources

C’est dans cette partie que l’on indique à quelles ressources ont accès les profils utilisateurs. Cependant, il y a deux subtilités à connaître : les exclusions et les filtres.
La configuration se fait dans le menu « Administration → ACL → Resources Access ».
Tout d’abord, il est nécessaire de définir le nom de l’accès aux ressources et les profils utilisateurs impactés.

 

Configuration des accès aux ressources

Ensuite, on définit quelles sont les ressources associées. Il est possible de réaliser cette configuration en sélectionnant les hôtes, les groupes d’hôtes et les hôtes exclus. En cochant la case « Include all hosts », les profils utilisateurs verront tous les hôtes. En cochant la case « Include All hostgroups », les profils utilisateurs impactés verront tous les groupes d’hôtes.

Configuration des accès aux ressources : choix des ressources

Un point sur les exclusions d’hôtes : ces exclusions concernent les hôtes inclus dans un groupe d’hôtes. C’est à dire que l’on peut donner accès à un profil utilisateur à un groupe d’hôtes sauf quelques hôtes. Exemple : je peux donner accès à tous les hôtes du groupe d’hôtes Linux sauf les hôtes « bart » et « marge ».

Dans l’onglet « Services resources », il est possible de donner accès aux groupes de services :

Configuration des accès aux ressources : choix des services groupes

Les ACLs vous permettent aussi de donner accès à des méta-services :

Configuration des accès aux ressources : choix des méta-services

Enfin, le dernier onglet permet d’ajouter des filtres sur les objets déjà ajoutés. Autrement dit, vous pouvez donner accès à tous les groupes d’hôtes mais en filtrant sur un élément donné. Dès lors seuls les objets associés à ce filtre seront visibles pour l’utilisateur. Les filtres sont les suivants :

  • poller : seuls les hôtes associés à ce poller seront visibles pour l’utilisateur.
  • Host category : seuls les hôtes associés à cette catégorie seront visibles pour l’utilisateur.
  • Service category : seuls les services associés à cette catégorie seront visibles pour l’utilisateur. Tous les autres services seront invisibles.

Configuration des accès aux ressources : filtres d’accès

Ces filtres sont complexes. Pour mieux les comprendre, voici quelques cas d’utilisation :

  •  le responsable de l’application ERP sera associé au groupe d’hôtes qui contient tous les hôtes hébergeant l’application ERP. Il sera associé au filtre de catégorie de service « ERP » : seuls les services de supervision de l’ERP (processus présent, erreurs dans les fichiers de log, temps de connexion d’un utilisateur, échanges/flux de données, …) seront visibles. Tous les autres services (CPU, mémoire, base de données, …) seront invisibles.
  • L’administrateur des serveurs Windows du client X sera associé au groupe d’hôtes « Windows » : il verra alors tous les serveurs Windows. Cependant, il sera associé à la catégorie d’hôtes « Client X » et ne verra que les serveurs Windows de ce client.
  • L’exemple précédent fonctionne aussi lorsqu’un client est associé à un et un seul poller : il suffit alors de filtrer sur le nom de poller.

 

Accès aux actions

Les accès aux actions permettent de définir quelles actions de supervision un profil utilisateur peut réaliser sur les objets auxquels il a accès. Un utilisateur pourra ou non acquitter des alertes, relancer un test…

  • acquitter une alerte
  • faire un commentaire
  • ajouter un downtime
  • relancer un test

D’autres actions ne doivent être fournies qu’à des administrateurs de supervision ou des personnes responsabilisées sur ces sujets. Ces actions sont potentiellement “dangereuses” si elles sont mal réalisées. Voici quelques exemples :

  • arrêter les notifications : si l’on arrête les notifications pour un équipement, aucune alerte ne sera envoyée (push). Les utilisateurs devront aller chercher l’information (pull).
  • arrêter la supervision : la supervision d’un hôte ou d’un service peut être arrêtée de manière unitaire, pour un temps indéfini. Il est recommandé de ne jamais désactiver la supervision mais de mettre en place un downtime qui lui possède un temps défini.
  • arrêter la collecte passive : il est nécessaire de savoir ce qu’est la collecte passive avant de vouloir l’arrêter.

Comme les accès aux menus, il est nécessaire de définir des profils d’utilisation. Ces profils sont en général assez simples à définir. Voici des types de profil souvent mis en place :

  • lecture seule : les utilisateurs ne peuvent réaliser aucune action de supervision.
  • Actions de supervision standards : ajout d’un commentaire, suppression d’un commentaire, relance d’un test
  • Actions de supervision étendues : acquittement, suppression de l’acquittement, ajout d’un downtime, suppression d’un downtime

Ces droit se définissent dans le menu « Administration → ACL → Actions Access ».

Configuration des accès aux actions de supervision

Conclusion

Comme toute la configuration de la supervision, les ACLs doivent être paramétrées pour refléter l’organisation de votre Système d’Information. Complexes à définir, elles méritent une certaine attention, notamment pour les accès aux menus et les accès aux actions.
Pensez donc à bien définir les comportements utilisateurs, les profils d’utilisation de Centreon plutôt que de partir des groupes utilisateurs.

Incoming search terms:

  • yhs-fullyhosted_003
  • comprendre centreon

Leave a Reply