Gérer les Utilisateurs et les Rôles sur Votre Firebox
Avec l'administration à base de rôles de votre Firebox, vous pouvez partager les responsabilités de contrôle et de configuration de votre Firebox entre plusieurs personnes de votre entreprise. Cela vous permet de générer des rapports d'audit pour connaître les modifications apportées au fichier de configuration de votre périphérique et leur auteur. Vous pouvez utiliser les comptes d'utilisateur intégrés du Firebox ou créer les vôtres.
À propos des Rôles et des Utilisateurs du Firebox
Rôle | Description |
---|---|
Administrateur du Périphérique | Les comptes d'utilisateur avec un rôle d'Administrateur du périphérique peuvent se connecter au périphérique en lecture-écriture afin d'apporter des modifications au fichier de configuration et de contrôler le périphérique. |
Moniteur de périphériques | Les comptes d'utilisateur avec un rôle de Contrôleur du périphérique peuvent se connecter au périphérique en lecture seule afin de contrôler le périphérique. |
Administrateur Invité | Les comptes d'utilisateur avec un rôle d'Administrateur invité peuvent se connecter au périphérique uniquement pour gérer la liste des comptes d'utilisateur invités pour les connexions au point d'accès activé sur le périphérique. |
Vous pouvez activer autoriser plusieurs utilisateurs possédant les privilèges d'Administrateur du Périphérique, de Contrôleur du Périphérique ou d'Administrateur Invité à se connecter simultanément au Firebox. Si vous avez activé cette fonctionnalité et que vous êtes connecté à votre Firebox avec des informations d'identification d'Administrateur du Périphérique dans Fireware Web UI, avant de modifier les paramètres de configuration du fichier de configuration du Firebox, vous devez déverrouiller ce dernier.
Pour de plus amples informations, consultez :
- Pour savoir comment autoriser plusieurs utilisateurs possédant les privilèges d'administrateur à se connecter simultanément à votre Firebox, consultez Définir les Paramètres Généraux de Firebox.
- Pour apprendre à déverrouiller le fichier de configuration avant d'y apporter des modifications, consultez Verrouiller et Déverrouiller un Fichier de Configuration.
- Pour connaître les rôles prédéfinis disponibles sur votre Firebox, consultez À propos des rôles prédéfinis.
- Pour gérer les comptes d'utilisateur Administrateur Invité, consultez Configurer les Paramètres du Point d'Accès.
Compte d'utilisateur par défaut | Description | Mot de passe par défaut |
---|---|---|
admin | Le compte d'utilisateur par défaut d'Administrateur du périphérique avec les autorisations de lecture-écriture. | readwrite |
status | Le compte d'utilisateur par défaut de Contrôleur du périphérique avec les autorisations de lecture seule. | readonly |
wg-support | Le compte d'utilisateur par défaut de l'Assistance WatchGuard pour accéder à votre périphérique. Désactivé par défaut. | Aucun(e) |
Dans Fireware v12.0.1 et les versions ultérieures, vous pouvez activer l'option Accès de l'Assistance, qui crée un compte utilisateur temporaire en lecture seule sur votre Firebox destiné aux connexions de l'Assistance WatchGuard. Pour plus d'informations, consultez Activer l'Accès de l'Assistance.
Lorsque vous ajoutez de nouveaux utilisateurs de Gestion des Périphériques à votre Firebox, les informations de compte des utilisateurs sont stockées dans un fichier distinct du fichier de configuration du périphérique. Cela signifie que si vous devez restaurer une version antérieure de votre fichier de configuration sur votre Firebox, les comptes d'utilisateur que vous avez ajoutés ne seront pas affectés. Si vous restaurez les paramètres d'usine par défaut de votre Firebox par contre, tous les comptes d'utilisateur de Gestion des Périphériques que vous avez ajoutés seront supprimés. Seuls les comptes d'utilisateur par défaut seront disponibles avec le mot de passe par défaut.
Vous pouvez utiliser ces serveurs d'authentification pour les comptes d'utilisateur de Gestion des Périphériques sur votre Firebox :
- Firebox-DB
- Active Directory
- LDAP
- RADIUS
- AuthPoint
Pour les serveurs d'authentification externes tierces (autres que Firebox-DB), assurez-vous d'ajouter le compte d'utilisateur au serveur d'authentification avant d'ajouter le compte d'utilisateur à votre Firebox. Les informations d'identification du compte d'utilisateur spécifiées pour un compte d'utilisateur de votre Firebox sont sensibles à la casse et doivent correspondre à celles indiquées sur le serveur d'authentification tierce.
Gérer les Rôles et les Utilisateurs
Vous pouvez ajouter un compte d'utilisateur avec le rôle d'Administrateur de périphérique ou de Contrôleur du périphérique. Pour ajouter un compte utilisateur depuis un serveur d'authentification externe tierce (autre que Firebox-DB), vous devez avoir configuré au préalable les paramètres de ce serveur d'authentification sur le Firebox. Vous devez vous assurer que le compte d'utilisateur existe déjà sur le serveur d'authentification. Vous devez spécifier uniquement un mot de passe pour les comptes d'utilisateur qui utilisent le serveur d'authentification Firebox-DB. Lorsque vous ajoutez un compte d'utilisateur depuis un serveur d'authentification externe (tel que votre Active Directory Server), le mot de passe spécifié pour ce compte d'utilisateur dans les paramètres du serveur d'authentification est utilisé quand l'utilisateur se connecte au Firebox.
Pour exiger l'authentification multifacteur (MFA) lorsqu'un utilisateur de Gestion des Périphériques se connecte, spécifiez AuthPoint comme serveur d'authentification. Pour ce faire, votre Firebox doit exécuter Fireware v12.7 ou une version ultérieure et vous devez configurer une ressource Firebox dans AuthPoint.
- Sélectionnez Système > Utilisateurs et Rôles.
La page Utilisateurs et Rôles s'ouvre.
- Cliquez sur Ajouter.
La boîte de dialogue Ajouter un Utilisateur s'ouvre.
- Dans la zone de texte Nom d'utilisateur, entrez le nom pour ce ce compte d'utilisateur.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le serveur d'authentification pour ce compte d'utilisateur.
- Dans la liste déroulante Rôle, sélectionnez un rôle pour ce compte d'utilisateur.
- (Firebox-DB uniquement) Dans les zones de texte Mot de Passe et Confirmer le mot de passe, entrez le mot de passe pour ce compte d'utilisateur.
- Cliquez sur OK.
Le compte d'utilisateur apparaît dans la liste Utilisateurs et Rôles. - Cliquez sur Enregistrer.
- Sélectionnez Fichier > Gérer les Utilisateurs et les Rôles.
La boite de dialogue Connexion s'ouvre.
- Dans les zones de texte Nom d'utilisateur de l'administrateur et Mot de passe de l'administrateur, entrez les informations d'identification d'un compte d'utilisateur disposant des privilèges Administrateur du périphérique.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le bon serveur d'authentification pour le compte d'utilisateur spécifié.
- Cliquez sur OK.
La boîte de dialogue Gérer les Utilisateurs et les Rôles s'ouvre.
- Cliquez sur Ajouter.
La boîte de dialogue Ajouter un Utilisateur s'ouvre.
- Dans la zone de texte Nom d'utilisateur, entrez le nom pour ce ce compte d'utilisateur.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le serveur d'authentification pour ce compte d'utilisateur.
- Dans la liste déroulante Rôle, sélectionnez un rôle pour ce compte d'utilisateur.
- (Firebox-DB uniquement) Dans les zones de texte Mot de Passe et Confirmer le mot de passe, entrez le mot de passe pour ce compte d'utilisateur.
- Cliquez sur OK.
Le compte d'utilisateur apparaît dans la liste Gérer les Utilisateurs et les Rôles.
- Sélectionnez Outils > Gérer les Utilisateurs et les Rôles.
La boîte de dialogue de connexion Gérer les Utilisateurs et les Rôles s'affiche.
- Dans les zones de texte Nom d'Utilisateur et Mot de Passe, saisissez les informations d'identification pour le compte utilisateur avec les privilèges d'Administrateur de Périphérique.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le bon serveur d'authentification pour le compte d'utilisateur spécifié.
- Si vous sélectionnez un serveur Active Directory, dans la zone de texte Domaine, saisissez le nom de domaine de votre serveur Active Directory.
- Cliquez sur OK.
La boîte de dialogue Gérer les Utilisateurs et les Rôles s'ouvre.
- Cliquez sur Ajouter.
La boîte de dialogue Ajouter un Utilisateur s'ouvre.
- Dans la zone de texte Nom d'utilisateur, entrez le nom pour ce ce compte d'utilisateur.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le serveur d'authentification pour ce compte d'utilisateur.
- Dans la liste déroulante Rôle, sélectionnez un rôle pour ce compte d'utilisateur.
- (Firebox-DB uniquement) Dans les zones de texte Mot de Passe et Confirmer le mot de passe, entrez le mot de passe pour ce compte d'utilisateur.
- Cliquez sur OK.
Le compte d'utilisateur apparaît dans la liste Gérer les Utilisateurs et les Rôles.
Lorsque vous modifiez un compte utilisateur que vous avez créé sur votre Firebox, vous ne pouvez pas changer le nom d'utilisateur ou les paramètres du serveur d'authentification. Les autres paramètres que vous pouvez changer dépendent du serveur d'authentification que vous spécifiez pour ce compte utilisateur. Pour les comptes utilisateurs de tout serveur d'authentification externe, vous pouvez changer le rôle assigné au compte utilisateur et le mot de passe. Pour les utilisateurs que vous avez spécifié dans le serveur d'authentification Firebox-DB, vous ne pouvez changer que le mot de passe.
Pour modifier le nom d'utilisateur ou le serveur d'authentification d'un compte d'utilisateur, vous devez retirer l'utilisateur de la liste Gérer les Utilisateurs et les Rôles puis ajouter le compte d'utilisateur à nouveau avec les paramètres corrects.
Pour les comptes utilisateur admin et status intégrés, vous ne pouvez modifier que le mot de passe. Pour le compte d'utilisateur wg-support, vous pouvez modifier le rôle et le mot de passe.
- Dans la liste Utilisateurs et Rôles, sélectionnez un compte d'utilisateur.
- Cliquez sur Modifier.
La boîte de dialogue Modifier l'Utilisateur s'ouvre. - Sélectionnez un rôle différent ou spécifiez un nouveau mot de passe.
- Cliquez sur OK.
- Cliquez sur Enregistrer.
- Dans la liste Gérer les Utilisateurs et les Rôles, sélectionnez un compte d'utilisateur.
- Cliquez sur Modifier.
La boîte de dialogue Modifier l'Utilisateur s'ouvre. - Sélectionnez un rôle différent ou spécifiez un nouveau mot de passe.
- Cliquez sur OK.
Vous pouvez supprimer uniquement les comptes d'utilisateur que vous avez créés sur votre Firebox. Les comptes d'utilisateur par défaut et intégrés (admin, status et wg-spport) ne peuvent être supprimés.
- Dans la liste Utilisateurs et Rôles, sélectionnez un compte d'utilisateur.
- Cliquez sur Supprimer.
Un message de confirmation s'ouvre. - Cliquez sur Oui.
L'utilisateur est supprimé de la liste Utilisateurs et Rôles. - Cliquez sur Enregistrer.
- Dans la liste Gérer les Utilisateurs et les Rôles, sélectionnez un compte d'utilisateur.
- Cliquez sur Supprimer.
Un message de confirmation s'ouvre. - Cliquez sur Oui.
L'utilisateur est supprimé de la liste Gérer les Utilisateurs et les Rôles.
Vous pouvez activer le Verrouillage de Compte pour éviter les attaques en force visant à deviner les mots de passe des comptes d'utilisateur. Lorsque le Verrouillage de Compte est activé, le Firebox verrouille temporairement un compte d'utilisateur à l'issue du nombre spécifié de tentatives répétées de connexion et verrouille de manière permanente un compte d'utilisateur à l'issue du nombre spécifié de verrouillages de compte temporaires. Un compte d'utilisateur verrouillé de manière permanente ne peut être déverrouillé que par un utilisateur ayant les informations d'identification d'un Administrateur de Périphérique.
Le comte d'utilisateur admin par défaut peut être verrouillé de manière temporaire, mais pas permanente.
- Sélectionnez Système > Utilisateurs et Rôles.
La page Utilisateurs et Rôles s'ouvre. - Sélectionnez l'onglet Verrouillage de Compte.
- Cochez la case Autoriser le verrouillage de compte.
- Dans la zone de texte Nombre autorisé d'erreurs, saisissez le nombre d'erreurs de connexions qui peuvent être autorisées avant qu'un compte d'utilisateur soit verrouillé de manière temporaire.
- Dans la zone de texte Utilisateurs verrouillés pendant, saisissez le nombre de minutes pendant lesquelles un compte reste verrouillé de manière temporaire.
- Dans la zone de texte Verrouillages temporaires, saisissez le nombre de verrouillages temporaires autorisés avant qu'un compte soit verrouillé de manière permanente. Astuce !
- Cliquez sur Enregistrer.
- Sélectionnez Configuration > Authentification > Paramètres d'authentification.
- Dans la section Session de Gestion, cliquez sur Verrouillage de Compte.
La boîte de dialogue Verrouillage de Compte s'ouvre.
- Cochez la case Autoriser le verrouillage de compte.
- Dans la zone de texte Nombre autorisé d'erreurs, saisissez le nombre d'erreurs de connexions qui peuvent être autorisées avant qu'un compte d'utilisateur soit verrouillé de manière temporaire.
- Dans la zone de texte Utilisateurs verrouillés pendant, saisissez le nombre de minutes pendant lesquelles un compte reste verrouillé de manière temporaire.
- Dans la zone de texte Verrouillages temporaires, saisissez le nombre de verrouillages temporaires autorisés avant qu'un compte soit verrouillé de manière permanente. Astuce !
- Cliquez sur OK.
Si Verrouiller un Compte est activé pour les comptes utilisateurs de Gestion des Périphériques, un compte utilisateur de Gestion des Périphériques peut être verrouillé temporairement ou de manière permanente après un nombre spécifié d'échec de tentative de connexion. Un utilisateur disposant des privilèges Administrateur de Périphérique peut déverrouiller un compte verrouillé.
- Sélectionnez Système > Utilisateurs et Rôles.
La page Utilisateurs et Rôles s'ouvre, avec l'onglet Utilisateurs et Rôles sélectionné. La colonne État de Verrouillage affiche si un compte est verrouillé. - Sélectionnez un compte verrouillé.
- Cliquez sur Déverrouiller.
Un message de confirmation s'ouvre. - Cliquez sur Oui.
- Depuis la page Utilisateurs et Rôles, sélectionnez un compte verrouillé.
Sur l'onglet Utilisateurs et Rôles, la colonne État de Verrouillage affiche si un compte est verrouillé. - Cliquez sur Déverrouiller.
Un message de confirmation s'ouvre. - Cliquez sur Oui.
Vous pouvez également déverrouiller un compte utilisateur à partir de l'onglet Liste d'Authentification dans Firebox System Manager. Pour plus d'informations, consultez Utilisateurs authentifiés (Liste d'Authentification).
(Fireware Web UI Uniquement)
Lorsque vous autorisez plusieurs Administrateurs de Périphérique à se connecter simultanément à votre Firebox, dans Fireware Web UI, avant qu'un Administrateur de Périphérique ne puisse modifier les paramètres de configuration dans le fichier de configuration du Firebox, cet utilisateur doit déverrouiller le fichier de configuration. Lorsque le fichier de configuration est déverrouillé par un Administrateur de Périphérique afin d'y apporter des modifications, le fichier de configuration est verrouillé pour tous les autres Administrateurs de Périphérique jusqu'à ce que l'utilisateur qui l'a déverrouillé le verrouille à nouveau ou se déconnecte.
Pour savoir comment permettre à plusieurs Administrateurs de Périphérique de se connecter simultanément à votre Firebox, consultez Définir les Paramètres Généraux de Firebox.
Pour déverrouiller un fichier de configuration depuis Fireware Web UI :
En haut de la page, cliquez sur .
Pour verrouiller un fichier de configuration depuis Fireware Web UI :
En haut de la page, cliquez sur .
Pour voir quels utilisateurs en charge de la Gestion des Périphériques ont apporté des modifications à votre Firebox, vous pouvez consulter le rapport Suivi d'audit. Ce rapport comprend une liste détaillée des modifications de configuration auditées apportées à votre Firebox.
Avant de pouvoir consulter les détails du suivi d'audit dans un rapport, vous devez configurer votre Firebox pour qu'il envoie des messages de journal de suivi d'audit à votre Log Server WSM ou instance de Dimension. Dans les paramètres de Journalisation de votre Firebox, cochez la case Envoyer des messages de journal en cas de modification de la configuration de ce Firebox.
Pour de plus amples informations, consultez :
- Pour apprendre à configurer votre Firebox de manière à générer des messages de journal de piste d'audit à partir de Policy Manager, consultez Définir Où le Firebox Envoie les Messages de Journal.
- Pour apprendre à configurer votre Firebox de manière à générer des messages de journal de piste d'audit à partir de Fireware Web UI, consultez Configurer les Paramètres de Journalisation et les Statistiques de Performance (Web UI).
- Pour de plus amples informations concernant la création d'un rapport de Piste d'Audit dans Report Manager, consultez Afficher les Rapports dans Report Manager.
- Pour apprendre à afficher un rapport de Piste d'Audit dans Dimension, consultez Afficher les Rapports.