Announcement

Collapse
No announcement yet.

Sécurité: Utilisateur normal -> admin

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Sécurité: Utilisateur normal -> admin

    Bonjour,

    est il normal que le bouton "admin oui-non" apparaisse dans le menu Configuration->Utilisateurs pour un contact qui n'est pas admin ?
    Comment faire pour laisser les contacts changer leur mot de passe sans qu'ils puissent devenir admin par eux même ?

    Merci d'avance pour la résolution de ce trou(ble) de sécurité.

    [ ANNULE ]
    Contournement trouvé avec les ACL.
    Last edited by vcarp; 17 October 2007, 14:56. Reason: Plus d'actualité. Réponse trouvée

  • #2
    Sécurité: Utilisateur normal -> admin

    Originally posted by vcarp View Post
    Bonjour,

    est il normal que le bouton "admin oui-non" apparaisse dans le menu Configuration->Utilisateurs pour un contact qui n'est pas admin ?
    Comment faire pour laisser les contacts changer leur mot de passe sans qu'ils puissent devenir admin par eux même ?

    Merci d'avance pour la résolution de ce trou(ble) de sécurité.

    [ ANNULE ]
    Contournement trouvé avec les ACL.
    Est-il possible de décrire ceci plus en détail ?

    Je déploie des versions de nagios/centréon sur différent sites avec des administrateurs de niveau moyen qui ne connaissent rien à apache ...
    donc les ACLs , ils ne connaissent pas. Ils créent un certains nombre d'utilisateurs que je ne connais pas.
    Le nom de l'administrateur oréon, je ne le connais pas.

    Cette solution est un contournement, mais le problème est toujours présent.
    Vous créez un utilisateur lambda en cliquant sur le bouton non administrateur.
    Vous vous connectez ensuite avec cet utilisateur. Celui-ci peux aisément basculer de mode non administrateur a administrateur sans problèmes.

    Comment


    • #3
      J'ai simplement ajouté une LCA en retirant l'accès au menu Configuration->Utilisateurs.
      Il peuvent néanmoins changer leur mot de passe en cliquant sur leur nom dans la liste des personnes connectées.

      Comment


      • #4
        OK. merci
        J'en était arrivé a peu près au même point en fouillant un peu plus.

        Comment


        • #5
          Je relance un peu ce problème de sécurité. Pour moi un administrateur peut tout faire et un simple utilisateur ne peut que consulter. Le principe de listes ACL est bien fait.

          Je voudrais quand même vous proposer de déplacer "My Account" en dehors de toute configuration pour qu'un simple utilisateur puisse tout de même modifier son mot de passe. Pour l'instant "My Account" est dans >options>centreon et donc un petit malin qui aime foutre le brin pourrait très bien modifier la configuration de Centreon.
          Vous pourriez également comme pour l'admin permettre de cliquer sur l'utilisateur et arriver à sa page d'account.

          En tout cas vous faite du bon boulot

          Adeline

          Comment

          Working...
          X