Cette partie du GCENTER permet la gestion des utilisateurs et des groupes associés, l'historique des authentifications sur la plateforme mais aussi l'association avec un serveur LDAP.

Depuis cette interface de configuration, l'administrateur pourra personnaliser les paramètres de la solution de management GCENTER avec ces cinq onglets :

1. Utilisateurs locaux

Menu : Administrators > GCenter > Accounts > User management

Depuis le menu de configuration des comptes utilisateurs de la solution TRACKWATCH, il est possible de créer des comptes utilisateurs ayant chacun des droits différents. Les groupes proposés respectent entièrement la Loi de Programmation Militaire.

La création d'un utilisateur ainsi que le profil qui lui sera associé peuvent être paramétrés depuis cette vue. En effet selon les commandes ou actions effectuées, il sera nécessaire de faire partie d'un groupe donné.

Au sein de cette documentation, le détail du groupe autorisé à effectuer l'action est spécifié dans chaque section par les badge et respectivement quand les droits Administrateur sont nécessaires ou quand les droits opérateurs sont nécessaires.

L'administrateur renseigne le nom/prénom/mail/mot de passe, de l'utilisateur qu'il souhaite créer. Ces champs remplis serviront par la suite à tracer l'utilisateur dans l'historique en cas de changements.

Username est le champ à remplir par l'administrateur pour renseigner le nom complet du nouvel utilisateur de la plateforme de management GCENTER. Cette valeur ne peut contenir que des lettres, des chiffres et des caractères [@/./+/-/-/_.].

First name, Last name et Email address sont des champs optionnels à la création de l'utilisateur et informent respectivement sur le prénom, le nom et l'adresse mail du profil.

Password est prévu pour le mot de passe du compte utilisateur créé. Ce mot de passe devra obligatoirement contenir un minimum de sept caractères.

Operator et Administrator représentent des groupes. Une fois la case cochée, l'utilisateur aura les droits adéquates au groupe sélectionné.

Active : permet d'activer/désactiver le compte utilisateur.

  • Le groupe Operator pourra : ajouter ou supprimer des règles de détection, consulter les journaux d'alertes générés, faire du scan de fichiers, observer la Smartmap ou encore avoir une vision sur les signatures Suricata dans la partie Sigflow.

  • Le groupe Administrator pourra : mettre à jour le système d'exploitation, les logiciels, redémarrer l'équipement, éditer et consulter la configuration réseau, mettre à jour les interfaces de détection, consulter la version, les attributs, ajouter ou supprimer une sonde, activer ou désactiver l'envoi des informations techniques complémentaires aux opérateurs, activer ou désactiver le stockage des informations techniques complémentaires tout en définissant la durée, consulter l'ensemble des journaux de fonctionnement et d'alertes générés.

Chacune de ces informations est prise en compte après que l'administrateur ait sauvegardé les modifications en appuyant sur Create.

Ci-dessous, on retrouve la totalité des utilisateurs créés par l'administrateur de la solution avec les informations liées à chaque profil ('Enabled' étant l'état du profil, activé ou désactivé) :

Le bouton Edit servira à l'édition du profil utilisateur en question. Différentes permissions sont possibles pour un utilisateur en fonction de l'appartenance du groupe. Il est possible de choisir d'attribuer les droits d'administration à un utilisateur en fonction de son rayon d'action.

Account's information reprend les informations du profil utilisateur à savoir son numéro d'identifiant, son nom complet, sa date de création ainsi que la dernière fois qu'il s'est connecté à la plateforme de management GCENTER.

User's configuration permet de modifier l'adresse mail, le prénom et le nom du profil utilisateur. De plus les groupes créés par défaut respectant la Loi de Programmation Militaire apparaissent et peuvent être attribués ou pas au profil en cochant la case prévue à cet effet. L'administrateur peut activer ou désactiver l'utilisateur de la plateforme via l'option Active. La conséquence de cette action sera une impossibilité de connexion à l'interface GCENTER.

La prise en compte de toute modification ne sera effective qu'après avoir appuyé sur Save.

Reset user's password permet de régénérer le mot de passe associé au compte utilisateur en cas de perte ou d'oubli. La plateforme proposera un nouveau mot de passe pour s'identifier à nouveau une fois que le bouton 'Reset' soit sélectionné.

Dans Delete user's account , l'option Delete permet à l'administrateur de supprimer n'importe quel profil utilisateur de la plateforme.

L'interface d'administration permet donc de paramétrer entièrement les droits sur tous les niveaux de l'administration du GCENTER. Toute création d'un utilisateur, depuis le GCENTER , sera prise en compte par la sonde GCAP et l'utilisateur sera ajouté dans sa base de données.

2. Intégration LDAP / ActiveDirectory

Menu : Administrators > GCenter > Accounts > LDAP Configuration

Le menu de configuration des comptes utilisateurs de la solution TRACKWATCH, permet d'utiliser le LDAP (Lightweight Directory Access Protocol) en tant que backend d'authentification plutôt que le backend interne.

Cette interface est utilisée pour gérer la connexion entre le GCENTER et un serveur LDAP/ActiveDirectory.

LDAP interconnection status permet de connaître facilement le statut de connexion.

Dans la section Turn LDAP authentication on/off cocher la case Enabled pour activer le service puis cliquer sur Save and apply pour prendre en compte la modification.

Sauvegarder et appliquer la nouvelle configuration de l'option LDAP provoquera un redémarrage de l'application et donc une coupure de connexion à la page des utilisateurs.

Une fois que l'administrateur a cliqué sur Confirm, il sera nécessaire de se reconnecter à l'interface. Avant cette manipulation, les options de connexion au serveur LDAP sont paramétrables dans la section LDAP server binding settings :

LDAP protocol : correspond au type de protocole d'authentification choisi : LDAP ou LDAPS

LDAP hostname : adresse FQDN complète ou l'IP du serveur LDAP/ActiveDirectory

LDAP port : correspond au numéro de port du service LDAP. (Exemple : 389)

Output interface : l'interface de sortie à utiliser pour joindre le serveur LDAP.

LDAP binding DN : correspond au DN (Distinguished Name) utilisé pour se connecter au répertoire LDAP. Laisser le champ vide si la liaison est anonyme. (Exemple : CN=adro,OU=Service Accounts,OU=Example,DC=Example,DC=com,ro-user)

LDAP binding password : mot de passe utilisé pour se connecter au répertoire. Laisser le champ vide si la liaison est anonyme.

Anonymous binding : permet de désactiver l'utilisation d'un mot de passe pour l'authentification.

La section LDAP users and groups mapping :

User search scope : OU (Unité d'Organisation) de base pour la recherche des utilisateurs (Exemple : ou=users,dc=ecorp,dc=net)

User search criteria : Critères de recherche de l'utilisateur LDAP, en utilisant l'espace réservé %(user) (Exemple : (|(uid=%(user)s)(sAMAccountName=%(user)s)))

Group search scope : OU (Unité d'Organisation) de base pour la recherche des groupes (Exemple : ou=GW,ou=groups,dc=ecorp,dc=net)

Group search criteria : Critères de recherche des groupes LDAP, en utilisant l'espace réservé %(group) (Exemple : (objectClass=organizationalUnit))

LDAP to GCENTER administrators group mapping : est une liste séparée par des virgules des groupes LDAP qui sont liés au groupe des administrateurs de la solution.

LDAP to GCENTER operators group mapping : est une liste séparée par des virgules des groupes LDAP qui sont liés au groupe des opérateurs de la solution.

La section LDAP advanced settings permet d'accéder aux options avancées du LDAP.

Les paramètres LDAP pour le prénom de l'utilisateur, le nom, le mail, le type, la version, le timeout du service (en seconde) après chaque requête, connexion, ou communication, sont modifiables depuis cette interface. Le temps avant le timeout (en seconde) du cache pour les utilisateurs ou les groupes est aussi paramétrable.

First name : paramètre LDAP correspondant au prénom de l'utilisateur (Exemple : givenName)

Last name : paramètre LDAP correspondant au nom de l'utilisateur (Exemple : sn)

Email : paramètre LDAP correspondant à l'adresse mail de l'utilisateur (Exemple : mail)

User to group mapping : requête LDAP pour aider le à trouver les groupes auxquels un utilisateur appartient. Les variables disponibles sont : %(user_dn), %(user_uid) et %(user_gidnumber)

LDAP version : version LDAP à sélectionner ( Version2 | Version3)

Enable StartTLS : possibilité d'activer l'utilisation du StartTLS. Désactivée par défaut.

Disable TLS check : paramètre qui consiste à arrêter la vérification de la validité du certificat lorsque le service TLS est activé.

Custom CA : Information sur la CA personnalisée utilisé.

Update custom CA : remplacera le certificat de la CA personnalisée.

LDAP timeout : délai d'attente en secondes modifiable pour les recherches ou autres requêtes LDAP (Exemple : 2)

Network timeout : délai d'attente du réseau en secondes pour les connexions ou les communications (Exemple : 2)

Cache timeout : délai d'expiration du cache LDAP en secondes pour les utilisateurs et les groupes (Exemple : 300)



Pour une configuration de LDAPS :

Il faut, à partir de la configuration LDAP standard expliquée ci-dessus :

  • Renseigner dans "LDAP server binding settings":

    • LDAP protocol: ldaps://

    • LDAP_port: 636

  • Renseigner le certificat de l'autorité de certification dans "LDAP advanced settings"

LDAPS LDAPS



Pour une configuration de LDAP over TLS :

Il faut, à partir de la configuration LDAP standard expliquée ci-dessus :

  • Renseigner le certificat de l'autorité de certification dans "LDAP advanced settings".

  • Cocher la case "Enable StartTLS" dans "LDAP advanced settings"

TLS

3. Audit trail

Menu : Administrators > GCenter > Accounts

La solution TRACKWATCH va enregistrer les différentes actions effectuées sur l'ihm lié à la gestion des utilisateurs sur la plateforme de management au fil du temps, ceci afin d'en assurer la traçabilité. Cette traçabilité est effectuée aussi bien pour la connexion des utilisateurs que pour la création / suppression ou encore modification de permissions.

3.1. Authentications history

Menu : Administrators > GCenter > Accounts > Authentications history

L'historique de toutes les authentifications sur le GCENTER est disponible.

Un historique de connexion des logins utilisateurs sur la plateforme est présent sous forme d'un timestamp au format [jour , xx mois année hh : mm : ss].

3.1.1. Creations/Deletions history

Menu : Administrators > GCenter > Accounts > Creation/Deletion history

L'historique de toutes les créations ou suppressions des utilisateurs du GCENTER est disponible. On retrouve à ce niveau toutes les modifications faites par un compte administrateur de la solution sur un utilisateur.

Dans la colonne Username le nom de l'administrateur responsable de l'ajout ou la suppression de l'utilisateur est visible.

Log message comporte plusieurs informations comme le nom de l'utilisateur et son action associée au compte (created ou deleted).

Un historique des créations et suppressions des logins utilisateurs sur la plateforme est présent sous forme d'un Timestamp au format [jour , xx mois année hh : mm : ss].

3.1.2. Permissions history

Menu : Administrators > GCenter > Accounts > Permission history

L'historique de toutes les permissions des utilisateurs sur le GCENTER est disponible. Toutes les modifications de droits sur un profil sont visibles via cette page.

Dans la colonne Username le nom de l'administrateur responsable de la modification du groupe de l'utilisateur est visible. A savoir que l'appartenance à tel ou tel groupe engendre des modifications de droit du profil utilisateur sur la plateforme.

Dans Log message, on retrouve plusieurs informations comme le nom de l'utilisateur et son action associée au compte (was added to…).

Un historique de l'attribution des droits sur les logins utilisateurs de la plateforme est présent sous forme d'un timestamp au format [jour , xx mois année hh : mm : ss].