2021年3月22日月曜日

Home / SSB / syslog-ng PE / syslog-ng Store Box / Syslogサーバー / シスログサーバー / ログ管理 / ログ保存 / syslog-ng Store Box大活用連載企画第16回「ユーザーアクセス制御。アクセス権限とタイプを設定してみる!」

syslog-ng Store Box大活用連載企画第16回「ユーザーアクセス制御。アクセス権限とタイプを設定してみる!」

by on in , , , , , ,

SSBローカルユーザー画面例

螺子です。SSBは、ログを安全に管理できるようにユーザー毎にアクセス権を設定する機能を持っており、ログの不正アクセスや漏洩を予防できます。

今回、SSBにローカルユーザーのアカウントを作成し、そのユーザーが属するグループにアクセス権を設定する手順を紹介します。


この記事では、アクセス権限を設定し、ユーザーがアクセスできるメニューと、それらのページを[読み取りのみ]または[実行可能]かどうかを設定します。


これまでの連載記事:


ローカルユーザーのアカウント作成

新しいローカルユーザーを作成するには、[AAA]>[Local Users]に移動します。

右下のボタンをクリックします。新しいローカルユーザーを作成するための追加のフィールドが表示されます。

ユーザー名(ここでは、"user2")と対応するパスワードを入力します。

[Groups]フィールドのボタンをクリックします。ドロップダウンリストが表示されるので適用するグループを選択します。複数のグループを適用するには、この手順を繰り返します。

図1. [Local Users]の[Groups]ドロップダウンリスト例

ここでは、"basic-view"(デフォルトで定義済みの組込みユーザーグループ)を選択しています。[Commit]をクリックして設定を保存します。

図2. [Local Users]設定例(その1)

※[admin]ユーザーはデフォルトで利用可能で、すべての権限を持っています。このユーザーは削除することはできません。

※SSBでは、デフォルトで以下の組込ユーザーグループが定義されています。詳細については、syslog-ng Store Box6 LTS管理者ガイドの「5.6.5 SSBの組込みユーザーグループ」をご参照ください。

  • basic-view
  • basic-write
  • auth-view
  • auth-write
  • search
  • changelog
  • report
  • policies-view
  • policies-write
  • log-view
  • log-write

ここで、"user2"でログインしてみます。

SSBのメニューが"Basic Settings"のみ表示されています。

図3. "user2"の表示メニュー例

また、各設定画面(ここでは、[Network])の各フィールドがグレーアウトされ、設定変更が出来なくなっています。

図4. "user2"の[Network]画面表示例

ローカルユーザーグループの作成

新しいローカルユーザーグループを作成するには、[AAA]>[Group Management]に移動します。

図5. [Group Management]画面例

右下のボタンをクリックします。新しいローカルユーザーグループための追加のフィールドが表示されます。

ここでは、グループ名に"viewer"と入力して、[Commit]をクリックして設定を保存します。

図6. ローカルユーザーグループ設定例

※[AAA]>[Group Management]で、既存のユーザーをグループのメンバーすることができますが、このブログでは割愛いたします。


アクセス権限の割り当て

次に、作成したグループにアクセス権限を割り当てます。

新しいローカルユーザーグループにアクセス権限を割り当てるには、[AAA]>[Access Control]に移動します。

図7. [Access Control]画面例

右下のボタンをクリックします。新しくアクセス権限を割り当てるための追加のフィールドが表示されます。

[Group]フィールドに、上述で作成したグループ名"viewer"を入力します。補完機能により、入力した文字が含まれるグループがリストされます。

図8. [Group]フィールドの補完機能例

グループに、どのメニューにアクセスできるかを指定するのに、グループ名の横のボタンをクリックします。

[Select object]ウィンドウがポップアップされます。

図9. [Select object]ウィンドウ例

オブジェクト(メニュー)のボタンをクリックすると、オブジェクト(メニュー)が展開されます。

図10. [Select object]ウィンドウ(展開)例

アクセスさせるオブジェクト(メニュー)にチェックを入れます。ここでは、[Search]と[Reports]にチェックしています。ボタンをクリックして保存します。

図11. [Select object]ウィンドウチェック例

ボタン横のドロップダウンリストから[read]または[write/perform]を選択します。それぞれ、[読み取りのみ]または[実行可能]かを表しています。

図11. [read]または[write/perform]ドロップダウンリスト例

これで、"viewer"グループに、[Search]と[Reports]オブジェクト(メニュー)への読み込みアクセス権限が割り当てられました。[Commit]をクリックして設定を保存します。

図12. [Access Control]設定例

※以下の権限は、デフォルトで定義済みの組込みユーザーグループには含まれていません。

  • SSBのコンフィグレーションをエクスポートするには、[Export configuration]権限が必要です。
  • SSBのコンフィグレーションをインポートするには、[Import configuration]権限が必要です。
  • デバッグバンドルを取得するには、[System debug]権限が必要です。

最後に、[AAA]>[Local Users]で、ローカルユーザー(ここでは、"user1")にグループ("viewer")を割り当てます。[Groups]フィールドのドロップダウンリストに"viewer"がリストされています。

図13. [Local Users]設定例(その2)

"user1"でログインしてみます。

SSBのメニューが"Search"および"Reports"のみ表示され、[Reports]>[Configuration]の入力フィールドはグレーアウトしていて参照のみが可能になっています。

図14. "user1"の表示メニュー例
図15. [Reports]>[Configuration]の表示例(その1)
図16. [Reports]>[Configuration]の表示例(その2)


参考資料

詳細については、syslog-ng Store Box6 LTS管理者ガイドの「5.1 SSBのローカルユーザー管理」、「5.3 ローカルユーザーグループの管理」および「5.6 ユーザー権限とユーザーグループの管理」をご参照ください。


なお、SSBは外部のLDAPデータベース、あるいはRADIUSサーバーにユーザー認証することができます。LDAPデータベースを使用してユーザー認証するには、過去記事「syslog-ng Store Box大活用連載企画第7回「Active Directoryと連携して、Active Directoryユーザー認証!」」も参照してください。



いかがでしたでしょうか。今回は、ユーザーアクセス制御について紹介しました。


それでは、次回の連載記事をお楽しみに!


SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。

syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。


評価版のダウンロード

問合わせ

By 時刻:
ラベル: , , , , , ,