Introduction
Les droits d'accès à un hôte peuvent être paramétrés.
Ces droits se découpent en 3 parties:
- Les droits de visualisation
- L'accès aux notifications
- Les droits en édition
Le paramétrage de ces droits est relativement complexe, car il s'agit de droits dépendant les uns des autres.
Aussi, si aucun utilisateur/groupe d'utilisateurs n'est spécifié pour la visualisation d'un hôte, il existe 2 valeurs par défaut qui influencent le comportement de l'application.
Cette page décrit le paramétrage de cette fonctionnalité, en distinguant le comportement selon la valeur par défaut configurée dans Shinken.
Cette valeur par défaut est modifiable par l'administrateur Shinken. La procédure pour modifier ce réglage est décrite en dernière partie de ce document.
Paramétrage des accès
Les droits d'accès à un hôte se paramètrent depuis l'interface de Configuration, dans l'édition d'un hôte (Onglet Droits des utilisateurs).
Les accès sont séparés en 3 sections:
- L'accès en visualisation de l'hôte.
Ce paramètre permet d'autoriser certains utilisateurs à voir l'hôte concerné (dans l'UI de Visualisation, mais aussi dans l'UI de Configuration). Il est possible de lister des utilisateurs individuellement, ainsi que des groupes d'utilisateurs. - L'accès aux notifications d'un hôte.
Ce paramètre permet de lister les utilisateurs qui recevront les notifications de l'hôte. Il est possible de lister des utilisateurs individuellement, ainsi que des groupes d'utilisateurs. L'accès en édition.
Ce paramètre permet de lister les utilisateurs pouvant éditer l'hôte.Si tous les utilisateurs (ou groupes d'utilisateurs) apparaissant pour un propriété sont désactivés, un avertissement apparaîtra pour signaler que la valeur par défaut pour ce paramètre est utilisée.
Accès autorisé à aucun utilisateur
Dans Shinken Entreprise, si aucun utilisateur n'est spécifié pour les accès en visualisation d'un hôte, personne mis à part les administrateurs Shinken ne pourront voir ces hôtes.
Cela influe directement sur la manière de déclarer les droits. En effet, les 3 paramètres ne sont dans ce cas pas indépendants.
- Un accès en édition implique un accès en visualisation
- Un accès aux notifications implique un accès en visualisation
- La suppression d'un accès en visualisation implique la suppression des accès aux notifications et à l'édition.
Ces liens entre les droits d'accès sont gérés automatiquement par l'UI de Configuration. Lors de l'import ou de l'édition d'un objet dans Shinken Entreprise, les droits sont créés si besoin.
Par exemple, un hôte créé avec des droits en édition pour certains utilisateurs se verra modifié pour lui ajouter les droits en visualisation pour ce même utilisateur.
|
Accès autorisé à tous les utilisateurs
Ce comportement par défaut peut être changé. Il est possible de rendre par défaut les hôtes visibles pour tous les utilisateurs.
Dans ce cas, les liens entre les droits d'accès décrits précédemment n'ont pas besoin d'être créés.
Syntaxe d'import par fichier de configuration
Il est possible de configurer les droits d'accès aux hôtes depuis l'UI de Configuration ou bien par l'intermédiaire de fichiers de configuration.
La syntaxe à utiliser est la suivante:
define host {
host_name Test
address 192.168.1.XX
# Droits en visualisation
view_contacts user1, user2
view_contact_groups usergroup1, usergroup2
# Droits aux notifications
notification_contacts user1, user2
notification_contact_groups usergroup1, usergroup2
# Droits en edition
edition_contacts user1, user2
edition_contact_groups usergroup1, usergroup2
} |
Comme décrit par la syntaxe, il est possible de spécifier individuellement des utilisateurs ainsi que des groupes d'utilisateurs.
La syntaxe des fichiers d'import est décrite plus précisément dans la page de Syntaxe des fichiers d'imports.
Paramétrage de la valeur par défaut
L'accès par défaut en visualisation aux hôtes peut être modifié seulement depuis les fichiers de configuration.
Le fichier à modifier est /etc/shinken-user/configuration/default_element_properties/default_host_properties.cfg
#**********************************************************************************
# This file contains DEFAULT VALUES for host properties that can be changed.
#
# Note : Currently ONLY the default view_contacts property can be changed.
#**********************************************************************************
#==================================================================================
#======== default_view_contacts =========
# Describe which user will have access to hosts without view_contacts property
# (template inheritance included)
#
# Two values are possible:
# - nobody : (default) only shinken admin will be able to view then
# - everyone : all users will be able to see them
#[DEFAULT:host] view_contacts = nobody
#================================================================================== |
La clé à modifier est "[DEFAULT:host] view_contacts". Les différentes valeurs sont indiquées dans le commentaire précédant cette clé.
Ne pas oublier de décommenter la ligne, sans quoi la valeur ne sera pas prise en compte. |
Synchronisation de l'interface
Pour aider les utilisateurs, et pour garder l'élément cohérent, l'UI interagit automatiquement.
|
Accès autorisé à aucun utilisateur
Voici les règles utilisées:
| Action | Propriété | Valeur | Action synchronisé | Propriété synchronisé | Remarque |
|---|---|---|---|---|---|
| Rajout | 3 ou 5 | Utilisateur | Rajout (si absent) | 1 | |
| Rajout | 4 ou 6 | Groupe d'utilisateur | Rajout (si absent) | 2 | |
| Rajout | 3 ou 5 | + | Rajout + | 1 | |
| Rajout | 4 ou 6 | + | Rajout + | 2 | |
| Suppression | 1 | Utilisateur | Rajout (si présent dans 3 ou 5) | 1 | Vous devez supprimer l'utilisateur dans 3 ou/et 5 auparavant |
| Suppression | 2 | Groupe d'utilisateur | Rajout (si présent dans 4 ou 6) | 2 | Vous devez supprimer l'utilisateur dans 4 ou/et 6 auparavant |
| Sélection | 1 | Personne | Sélection Aucun | 3 et 5 | |
| Sélection | 2 | Aucun | Sélection Aucun | 4 et 6 | |
| Suppression | 1 | + | Suppression + | 3 et 5 | |
| Suppression | 2 | + | Suppression + | 4 et 6 | |
| Rajout ou suppression | Modèles d'hôte hérités | Modèles d'hôte | Rajout des utilisateurs et groupes d'utilisateurs absent | 1 et 2 |
Accès autorisé à tous les utilisateurs
Voici les règles utilisées:
| Action | Propriété | Valeur | Action synchronisé | Propriété synchronisé | Remarque |
|---|---|---|---|---|---|
| Rajout | 3 ou 5 | Utilisateur | Rajout (si utilisateurs existant dans (1) et si absent) | 1 | |
| Rajout | 4 ou 6 | Groupe d'utilisateur | Rajout (si groupe d'utilisateur existant ou si utilisateur existant dans (1) et si absent) | 2 | |
| Rajout | 3 ou 5 | + | Rajout + | 1 | |
| Rajout | 4 ou 6 | + | Rajout + | 2 | |
| Suppression | 1 | Utilisateur | Rajout (Si utilisateurs existant dans (1) et si présent dans 3 ou 5) | 1 | Vous devez supprimer l'utilisateur dans 3 ou/et 5 auparavant |
| Suppression | 2 | Groupe d'utilisateur | Rajout (si groupe d'utilisateur existant ou si utilisateur existant dans (1) dans 4 ou 6) | 2 | Vous devez supprimer l'utilisateur dans 4 ou/et 6 auparavant |
| Sélection | 1 | Tout le monde | - | - | |
| Sélection | 2 | Aucun | Sélection Aucun | 4 et 6 | |
| Suppression | 1 | + | Suppression + | 3 et 5 | |
| Suppression | 2 | + | Suppression + | 4 et 6 | |
| Rajout ou suppression | Modèles d'hôte hérités | Modèles d'hôte | Rajout des utilisateurs et groupes d'utilisateurs absent (si utilisateurs existant dans (1)) | 1 et 2 |